报废咖啡原理及解决方案初探

sxingbai

昨天那个小小的软件pg-demo让我哭笑不得。想法如下：
1.小心为上，不要相信神话，也不要轻信别人。刚试这个软件（或病毒）时被我设置的规则阻挡不能运行，因为它不是系统程序也不是常用程序，欣喜之余，也觉不足，想既然别人说它不是病毒，那就试试咖啡的自我保护能力如何。解阻，一路next，咖啡废了！lns废了！并且系统还要重装！！！
2.这个软件是如何突破咖啡的防护的呢？系统既然已被感染，我就干脆再试一次，打开filemon监控。结果filemon也被停止，哈哈，555.好在临死前还留下记录。再后，又查看了咖啡和病毒的进程模块，得出如下结论：
A。病毒调用系统dll,尤其是NTDLL.DLL，使自己由用户级变为系统级（？）
B。查询系统盘和自身所在盘，估计在搜寻安全软件并获取相关信息，主要是进程所需模块
C。读取安全软件所需dll信息并将它关闭
这样看来病毒没有大模大样地调用安全软件的父进程来关闭，而是巧妙地釜底抽薪，但关键是它拥有了系统权限
3.怎么办呢？咖啡已提示过应该在受限用户下运行以保安全，于是就试试看，果然病毒无效。不过现在又怀疑自己是不是看错了，装了新系统实在不愿再放开手脚去玩火，装虚拟机的朋友试试说一下。如果真是这样，不失为一种简便的方法。
保护系统重要文件，如NTDLL.DLL。声明，我没试
唉，说来说去，规则+安全意识
其他想到了再补充吧
大家多讨论

sxingbai

补充一下这个软件是不是病毒的看法：
我认为是病毒
1.它修改系统文件并创建了文件，且在重新启动后删不掉
2.我在cmos中设置了反病毒才得以进入安全模式
3.大家都认为杀毒软件不报就不是病毒，其实这个病毒正是打着演示的幌子使杀软失手的，因为它要求用户下一步，病毒一般是自动的，杀软经过虚拟机测试就可发现

star1258

学习了，支持分享经验

zxc789

2.这个软件是如何突破咖啡的防护的呢？系统既然已被感染，我就干脆再试一次，打开filemon监控。结果filemon也被停止，哈哈，555.好在临死前还留下记录。再后，又查看了咖啡和病毒的进程模块，得出如下结论：
A。病毒调用系统dll,尤其是NTDLL.DLL，使自己由用户级变为系统级（？）
B。查询系统盘和自身所在盘，估计在搜寻安全软件并获取相关信息，主要是进程所需模块
C。读取安全软件所需dll信息并将它关闭
这样看来病毒没有大模大样地调用安全软件的父进程来关闭，而是巧妙地釜底抽薪，但关键是它拥有了系统权限
－－－－－－－－－－－－－－－－－－－－－－－
A.似乎每个进程都要调用NTDLL.DLL吧～～这个应该和取得系统权限无关～～
其他的没看懂～～filemon的东西一直没搞懂是怎么回事～～

gy0518

学习了，这样的东西还是不要试的好，就不知道它对ghost文件有没有影响。

ppoa

咖啡已提示过应该在受限用户下运行以保安全？？？

是在服务端设置吗！

zxc789

一直听说用user组户登陆比较安全～～不知道是怎么个登陆法？～～高手指点呐～

jpzy

刚才看了另外一个帖子里面的兄弟的filemon的报告，没看懂！但是这个东西只是利用了explorer调用了一些系统的dll，只是在C盘里生成了一个pf文件！不过，根据那位兄弟的描述，后来他让规则放行以后，filemon也被干掉了，所以这些记录估计只是病毒发作前的一些记录！

目前还是不了解这个东西的原理！

不妨考虑上报试试！！

李乾坤

真强

lijiejack

原帖由 zxc789 于 2007-1-26 17:18 发表
一直听说用user组户登陆比较安全～～不知道是怎么个登陆法？～～高手指点呐～

是不是就是受限用户吧，在控制面板中建一个就可以，在它里面咖啡的设置都不能改的