破除对咖啡的迷信（突破Mcafee）

yangt1193

这个帖子非常好，感谢楼主和小邪版主。虽然没有试，但学习了......

zxc789

你让这样的程序运行起来咖啡当然挡不住了～～有的程序本身就是设计专杀杀软和防火墙的～～咖啡的规则我觉得主要就是为了限制病毒程序的写入和运行～～你一路next不是自己挂绳子悬梁自尽吗？～～

peacekeeper

这个是diamond CS的测试程序吧，我装了diamond CS的process guard，所以阻挡了进程终止，当然hip 6.0在程序运行时也有提示，deny的话根本运行不起来。

zxc789

我的Process Explorer被终止了～～我用ssm保护mcshield～所以没事～～不然估计也要挂～～而且没看见有任何文件写入（咖啡监控）和注册表写入（ssm监控）的提示～～也没有调用其他程序～～它是怎么结束掉进程的？～～

而且为什么小邪邪版主那么多记录～～我这边没有～～还要看长相吗？～～
如果这个程序的原理用到一个伪装成一个正常的安装程序～～那不是很多人要糟？～～像熊猫～～setup.exe运行的时候是先要写spovlo.exe到system32下面才运行病毒程序spovlo.exe～～父进程setup.exe本身不作破坏活动～～相当于一个母体～～而子进程spovlo.exe负责破坏杀软和防火墙～～然后再做下一步破坏～～


但是咖啡的规则可以限制熊猫写spovlo.exe到system32～～从而限制熊猫～～所以就算熊猫父进程setup.exe运行也不要紧～～子进程spovlo.exe无法写入system32～也就不会有下一步的破坏活动～～

但是如果它设定那个setup.exe本身运行就可以破坏杀软和防火墙（就像楼主这个程序～不过病毒程序应该是不需要你next的吧～～）～～我觉得好像更危险很多～～这样只要你一运行这个程序你的安全软件就遭废了～～不知道熊猫的作者为什么不这么设计？～～


[ 本帖最后由 zxc789 于 2007-1-25 13:37 编辑 ]

zxc789

刚才看了一篇“熊猫真相”的帖子～～这只熊猫结束掉用户的安全软件～～明摆着就是告诉你～～你中毒拉拉拉（最怕那种你中毒还不知道的病毒～）～～原来是有人造毒赚钱～～

lijiejack

刚试了下，进程没有被终止，但是貌似死机了。。

jpzy

呵呵，看了小邪邪版主的试验结果！很有感触！

很多人说，咖啡自身保护意识不够，很容易（利用任务管理器）就能结束进程，可是，实际上，要是在访问保护里面设计好规则，那想结束咖啡的进程自身都很难运行起来，又怎么调用系统的API呢？！

可见，咖啡不是不能做到像NOD那样不能被中止（很多木马也可以做到，可见技术上不是问题），问题是，不需要那样做

zxc789

不是不需要～～而是没有那个意识吧～～再强的防护总有漏网之鱼的时候～～我觉得咖啡的保护的确比其他杀软差了点～～需要你自己去定规则或者第三方工具去保护它～

楼上的～～病毒是通过API杀杀软的吗？～～是怎么个机理呢？～～如果是这样～怎么防？（假定在病毒程序运行起来的情况下～～当然我们可以通过规则去限制病毒程序的运行）～～

jpzy

呵呵，具体的我也不是很清楚！但是看过一篇介绍原理的文章，似乎是调用系统的某个函数就可以kill掉任何进程！关键就是病毒一定要运行起来并且取得比较高的权限！

wweir

运行程序，GSS阻挡，允许一下，咖啡被禁用，但不知某程序能否先禁用GSS再禁用咖啡，若真这样，偶还真防不住了！