查看: 5917|回复: 10
收起左侧

关于咖啡漏洞的补充方法

[复制链接]
两可
发表于 2007-1-14 19:29:14 | 显示全部楼层 |阅读模式
咖啡对文件的保护和排除都是以文件名来识别的,有人提出病毒很容易通过修改名字,从而逃过规则(比如规则排除了rundll32.exe,病毒通过改名为rundll32.exe而逃脱),今天找到一个可以相对更安全点的方法,当然还是存在问题的,只是减少这种风险的方法:

1.比如要排除rundll32.exe,我们不要直接排除rundll32.exe这个名字,而加上**\WINDOWS\system32\rundll32.exe这个路径,这样相对与名字更安全些,
2.再建一条保护rundll32.exe的规则,,达到双保险

当然,排除的东西太多,不可能每个都去这样排除,我建议只是把容易被冒充的敏感文件这样写,这样就相对少了,一定程度上提高了安全性,同时,其实咖啡默认规则中排除的东西太多,个人建议去掉一些不太会用到的,或者全部删除,看日志来添加排除,当然,这样工作量会大些,这是中方法,对要求不高的朋友可能是多余的~~呵呵,这些方法仅供参考,欢迎大家提出意见建议~~

评分

参与人数 1经验 +3 收起 理由
小邪邪 + 3 感谢提供分享

查看全部评分

renjiescut2001
发表于 2007-1-14 22:05:17 | 显示全部楼层
排除的选项可以添加路径吗?不是很清楚。
如果将mcafee和HIPS软件结合的话,可以很好解决文件被改名的危险。
现在HIPS软件中EQSecure for system 3.11和mcafee8.5i不冲突可以试试,楼主。
小邪邪
发表于 2007-1-14 23:15:42 | 显示全部楼层
排除路径?
Oceanzd
发表于 2007-1-15 01:27:20 | 显示全部楼层

回复 #3 小邪邪 的帖子

它是说如果其他盘有rundll32.exe之类的冒充名称的病毒,但是你在排除项里添加了它,那么排除项是不管路径的,所以容易出现问题
小邪邪
发表于 2007-1-15 08:50:00 | 显示全部楼层
以前也试过排除路径,但那次没成功
刚才又试验了一下,成功了:mcafee的升级程序改用路径排除,然后去升级,成功了,虽然暂时还没病毒库可升级,不过已经完成了完整的升级连接过程
aribeth199
发表于 2007-1-15 09:57:34 | 显示全部楼层
禁止 Svchost 执行非 Windows 可执行文件
监视进程:svchost.exe
文件类型(执行): 所有文件
排除文件:所有exe文件,windows目录以及所有子目录下的文件
禁止伪装 Windows 进程
文件路径(创建,读取,执行,写入):所有svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
排除文件:windows目录及其所有子目录下的svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
这两条不就是这个作用吗?
aribeth199
发表于 2007-1-15 10:06:31 | 显示全部楼层

回复 #6 aribeth199 的帖子

如果第一条存在漏洞,可以在第二条加以补充。欢迎大家讨论。
iszeds
发表于 2007-1-15 11:37:53 | 显示全部楼层
原帖由 aribeth199 于 2007-1-15 09:57 发表
禁止 Svchost 执行非 Windows 可执行文件
监视进程:svchost.exe
文件类型(执行): 所有文件
排除文件:所有exe文件,windows目录以及所有子目录下的文件
禁止伪装 Windows 进程
文件路径(创建,读取,执行 ...


不能完全吧..
某些非windows程序很可能在排除项里面..
比如默认的setup.exe,或者自己设在的 winrar,ie,qq,thunder..等等.上面那2个规则就不起作用了..
那些进程的父进程不是svchost
小邪邪
发表于 2007-1-15 11:51:13 | 显示全部楼层
由于“禁止伪装 Windows 进程”默认排除了对整个windows目录的监视,所以还是存在漏洞
比如svchost.exe只会在system32目录下有
但如果病毒在windows目录下的其它地方也建一个svchost.exe(比如Windows根目录下)
那么这条规则是管不到的

[ 本帖最后由 小邪邪 于 2007-1-15 11:54 编辑 ]
sxingbai
发表于 2007-1-15 12:31:28 | 显示全部楼层
楼主说的并不只针对svchost.exe的调用,更具通用性
虽然排除路径,马蹄莲提到过,但楼主谈得更全面,支持一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 00:36 , Processed in 0.113348 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表