喝着咖啡的一次“熊猫之旅”～～

显示全部楼层 · 发表于 2007-1-18 23:34:58

听有人说熊猫可以毙掉咖啡～～为了看看是否如此～～昨晚我以身试法～开启影子～在论坛样本区下了熊猫病毒包～以下为简略过程～（我是咖啡8.5～规则为那个霏凡的吧～忘了～反正是针对很多流氓软件像3721订规则的那个～～我的咖啡8.5dat是4938～）

～在咖啡右键扫描的时候倒有提示有一个里面有一个antorun.inf的毒～～但是一解压缩熊猫程序包～结果咖啡8.5反而没有报警～～然后我运行熊猫程序～～咖啡8.5的监控进程就被当场ko了～应该先是把咖啡的服务停掉～然后设为禁用～～然后把咖啡的两个启动项mcshield.exe服务和shstat.exe去掉～～

扫描功能还能用～～但是额对着那个熊猫图标直接扫描咖啡还是反应～～扫整个盘也是没有反应～～后面出来一个sxs.exe～～直接对着扫（监控废掉了～）～咖啡倒是报警了～～

所以想问一下～～如果熊猫在运行状态下～～咖啡能不能报警然后进一步防住？～～
在样本区看见小邪邪版主也下了那个包包～～他那里是连熊猫本身都运行不了？～～不知道是怎么设置的～～

我觉得我的咖啡防不住这只熊猫～～分析可能有这几个原因～～

咖啡监控被废掉的第一步是服务被停掉～～因为我的咖啡是没有选择“禁止停掉咖啡服务”～～不知道如果选择这一项能不能防住～～有机会再试～～
第二个会不会是病毒库更新不够与时俱进？～～因为这个病毒包是熊猫13号的最新变种～～我看了dat4938的文件创建日期是1月12号星期五～～所以我的咖啡认不出这只熊猫？～～反正以后我是肯定要勤劳升级了～～

还有规则的问题～～按照一般的想法～把c盘守住了～～病毒就很难进来～但是这只熊猫是先把你的咖啡监控废掉～～这样再好的规则也白废了～～所以我觉得就算再好的规则～也要配以比较好的自我防护～～不知道如果我选择“禁止停掉咖啡服务”能不能解决这个问题～～

当然我这次是自己手动运行的熊猫程序～～不知道熊猫在咖啡的规则防护下还能不能有办法运行～～因为一般都有防止写入任何autorun.inf的规则～～熊猫好像就是靠这个东西运行的～～就是磁盘的自动播放功能（为防万一，我干脆进组策略把自动播放功能停掉了～）～～如果熊猫运行不起来～～那它也就没法杀死咖啡了～～这样就算熊猫的程序已经通过某些途径进入你的电脑（u盘啥滴～）～～就算咖啡暂时不认识～也没有危险（只要你不自己没事找抽去运行它～）～～而且升级之后应该可以认识进而报警了吧～～

以上是我这次“熊猫体验行动”的一些想法～～大家指正指正～～

显示全部楼层 · 发表于 2007-1-18 23:47:09

我无语。。。。

显示全部楼层 · 发表于 2007-1-18 23:49:59

版主不发表点意见教教咱？～～

显示全部楼层 · 发表于 2007-1-18 23:57:01

主要在规则，不知道您用的是什么样的规则？

显示全部楼层 · 发表于 2007-1-19 00:07:01

样本区的这个贴子里有一个属于比较厉害点的”病毒“（会造成黑屏）
熊猫的就不再搞了，玩得都腻了

http://www.kpfans.com/bbs/viewthread.php?tid=40960&extra=page%3D1

现在我来把它运行一下

[ 本帖最后由小邪邪于 2007-1-19 00:50 编辑 ]

显示全部楼层 · 发表于 2007-1-19 00:11:15

看好了哦，我特意让它成功加载入内存，但是它仍然是无法产生任何破坏的

日志部分：（可以看出被哪些规则所阻挡）
2007-1-19 0:16:07 1092 D:\Downloads\VIRUS\gg.rar.EXE
C:\WINDOWS\System32\IMM32.DLL 用户定义的规则:A86 超级防护规则
2007-1-19 0:16:07 1092 D:\Downloads\VIRUS\gg.rar.EXE
C:\WINDOWS\System32\LPK.DLL 用户定义的规则:A86 超级防护规则
2007-1-19 0:16:07 1092 D:\Downloads\VIRUS\gg.rar.EXE
C:\Documents and Settings\用户\IXP000.TMP\TMP4351$.TMP 防病毒爆发控制:将所有共享项设为只读
2007-1-19 0:16:07 1092 D:\Downloads\VIRUS\gg.rar.EXE
C:\WINDOWS\msdownld.tmp\IXP000.TMP\TMP4351$.TMP 防病毒爆发控制:将所有共享项设为只读
2007-1-19 0:16:18  D:\Downloads\VIRUS\gg.rar.EXE
C:\WINDOWS\msdownld.tmp\IXP000.TMP\TMP4351$.TMP 防病毒爆发控制:将所有共享项设为只读

[ 本帖最后由小邪邪于 2007-1-19 00:28 编辑 ]

显示全部楼层 · 发表于 2007-1-19 00:15:19

我不想让它运行起来的话它根本动一下都休想（至少要有超级版规则）

所以说要用好mcafee主要要学好规则的制定和合理运用
一时半会的也说不好。。需要自己慢慢体会，慢慢品味，才知其中的味道

显示全部楼层 · 发表于 2007-1-19 01:20:34

LZ真勇啊。。我在虚拟机里也运行熊猫、当时记得时调用CMD刷了半天。不过偶把CMD禁了

咖啡的自保应该会有作用的吧。有机会我也是下

显示全部楼层 · 发表于 2007-1-19 04:22:46

试了太多病毒了，感觉咖啡＋SSM是病毒是不错的哈

显示全部楼层 · 发表于 2007-1-19 08:18:38

我就是用ssm看的熊猫～～想了一下～～因为我的规则里面setup.exe和*setup.exe都在白名单里面～～(不知道咖啡的创作人员为什么把这些放进来～）～而熊猫的主程序刚好是setup.exe～所以很多规则都没有起到作用（它首先要在system32复制自己）～～不过其实如果有“禁止写入autorun.inf”这个规则（一般都有）～～相信熊猫自己应该运行不起来吧～～不过奇怪的是我运行熊猫之后的时候还特意看了磁盘的右键菜单～并没有'自动播放“～～奇怪～～

喝着咖啡的一次“熊猫之旅”～～

评分

本帖子中包含更多资源