破除对咖啡的迷信（突破Mcafee）

显示全部楼层 · 发表于 2007-1-25 11:33:21

附件中只是杀毒软件demo测试，不是病毒！

看到很多人对咖啡的能力深信不疑，甚至太过于迷信咖啡的防护能力了，确实，咖啡是目前这个时代里将杀毒与HIPS结合的最完美的杀毒软件。
NAI公司，世界首屈一指的安全公司，访问保护，将HIPS 3D中最强的FD纳入其中，尤其是8.5版的内置规则也相当强大。

但是任何杀软都不是万能的，没有固若金汤、百毒不侵的杀软，安全的意识才是真正的防护！

再次重申：附件中不是病毒！只需一路next下去，该测试会结束咖啡的Mcshield.exe进程，即使咖啡开启了保护禁止结束，然后你的咖啡就成“残废”了，当然咯，重启电脑就一切恢复了，呵呵，去试试吧，8.0和8.5两个版本都适用哦。。。

（不知加了小邪邪老大的规则防得住不？？？？

大家试了告诉一下。。。）

[ 本帖最后由 zzybwdb_2007 于 2007-1-25 11:35 编辑 ]

显示全部楼层 · 发表于 2007-1-25 11:42:35

呵呵，连续运行了10几次，结果第一道防线就把它给压制住了
由于是一个未被信任的程序，所以它根本就无法加载入内存

显示全部楼层 · 发表于 2007-1-25 11:50:01

值得注意的是：大众版规则是无法防住它的
只有超级规则或加强版规则能防住它，精简版的规则也是可以完全防住它的

显示全部楼层 · 发表于 2007-1-25 11:50:26

不过它确实厉害，你如果让它执行那咖啡就完了

我正在想它执行的这几个dll
哪一个在其中起着关键作用
是否常用软件都要用，否则保护它

显示全部楼层 · 发表于 2007-1-25 11:59:04

2007-1-25 11:46:271092 D:\Downloads\pg-demo\pg-demo.exe
\REGISTRY\USER\S-1-5-21-1343024091-527237240-725345543-1003\Keyboard Layout\Toggle 用户定义的规则:C11 禁止未经授权的程序访问注册表（项）

2007-1-25 11:46:27 1092 D:\Downloads\pg-demo\pg-demo.exe
\REGISTRY\USER\S-1-5-21-1343024091-527237240-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 用户定义的规则:C11 禁止未经授权的程序访问注册表（项）

2007-1-25 11:46:27 1092 SURELTD-Y7VEFWH\sure010 D:\Downloads\pg-demo\pg-demo.exe
C:\Documents and Settings\用户\Application Data\Microsoft\IME\winabc\tmmr.rem 防病毒爆发控制:将所有共享项设为只读
2007-1-25 11:53:49 1092D:\Downloads\pg-demo\pg-demo.exe
\REGISTRY\USER\S-1-5-21-1343024091-527237240-725345543-1003\Keyboard Layout\Toggle 用户定义的规则:C11 禁止未经授权的程序访问注册表（项）

2007-1-25 11:53:49 1092 D:\Downloads\pg-demo\pg-demo.exe
\REGISTRY\USER\S-1-5-21-1343024091-527237240-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 用户定义的规则:C11 禁止未经授权的程序访问注册表（项）

2007-1-25 11:53:49 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\Documents and Settings\用户\Application Data\Microsoft\IME\winabc\tmmr.rem 防病毒爆发控制:将所有共享项设为只读

2007-1-25 11:54:19 1092D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\System32\IMM32.DLL 用户定义的规则:A86 超级防护规则

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\System32\LPK.DLL 用户定义的规则:A86 超级防护规则

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\system32\rpcss.dll 用户定义的规则:A86 超级防护规则

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\System32\MSCTF.dll 用户定义的规则:A86 超级防护规则

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\FONTS\VERDANA.TTF 用户定义的规则:C39 禁读保护

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\system32\kernel32.dll 用户定义的规则:C39 禁读保护

2007-1-25 11:54:19 1092 D:\Downloads\pg-demo\pg-demo.exe
C:\WINDOWS\System32\MSCTF.dll 用户定义的规则:A86 超级防护规则

[ 本帖最后由小邪邪于 2007-1-25 12:02 编辑 ]

显示全部楼层 · 发表于 2007-1-25 12:01:23

神啊，这是什么怪物啊

显示全部楼层 · 发表于 2007-1-25 12:13:18

当然我们不要对咖啡有什么迷信
咖啡的防御能力强是在规则设置得好的前提下才能更好的表现出来

换句话说：即使咖啡有这个能力，但能否发挥出来还要看个人水平
主要在于用的人的经验跟知识等等

并不是说用了咖啡就不会中毒
任何一个软件都是差不多，不同水平的人就会用出很不同的结果

显示全部楼层 · 发表于 2007-1-25 12:17:02

我执行时没见它修改注册表
调用的文件和版主相同的有
IMM32.DLL
LPK.DLL
rpcss.dll
MSCTF.dll
VERDANA.TTF

显示全部楼层 · 发表于 2007-1-25 12:21:24

还有一个kernel32.dll，系统内核级动态连接库文件
其实如果真需要的话直接用任务管理器即可轻易结束掉咖啡的进程，呵呵

显示全部楼层 · 发表于 2007-1-25 12:35:03

我在运行时没有kernel32.dll记录，也许是咖啡漏了？
不过真的让人心寒
研究中

[讨论] 破除对咖啡的迷信（突破Mcafee）

本帖子中包含更多资源

评分

呵呵，看一下日志就明白了，它要修改的还真不少