咖啡你让我伤心!!!

冷杉

昨日中了病毒和木马,分别是sysm.....exe,BQ....,AQ....,公司装的8.0正版,我家分别装的是,8.5官方版病毒样本是2月3日39个,4955.防火墙是MDF8.0    2007版8和1,对病毒毫无反映,升级后发现杀毒完成后,发现其他盘双击打不开了,右键可以少了程序,没办法GHOST用瑞星杀毒,问题解决一切OK,咖啡的升级太慢了,这次我对它很不满意!我用的是正版系统,补丁一个不少.还有陆游器,硬件防火墙.咖啡你怎麽了!!!

nix1

mafee不适合新手，建议你看看论坛帖子。
图简单就用kaspersky，等等

小邪邪

毕竟防患于未然才是上策，杀为下策，杀毒一千，自伤八百
不知道规则是怎样设置的呢？当时中毒的大概情况又是怎样的？
大家来研究一下也好

小邪邪

我比较感兴趣的还是病毒将自身隐藏在哪个角落？
Documents and Settings目录里？
WINDOWS目录里？
还是Program Files目录里？
或者TEMP目录里？

冷杉

新手我用的是论坛上所有的帖子的集合,邪邪老大的规则包,设置一项不少,这次病毒是通过U盘和移动硬盘传播的,咖啡的病毒库反映慢了,公司还有100多台通过内网感染,今早我同公司IT讲了,哎!涛声依旧,另外公司前两月,中了微金,所有电脑全部重装,相当惨烈!!!公司有专业网管,欧州培训的.咖啡太令我失望了!另外公司同人的家用电脑都用咖啡的,全躺下了!太惨了!!!

小邪邪

我在绅博也见到有人发了个相同的贴子，看着看着我就明白了，明摆着就是那个公司的所谓专业网管不够专业，居然还说是欧州培训的，那个发贴的也是楼主吗？

ouran

好像有好多人过于迷信咖啡的规则，完全忽视检测率和启发式扫描的作用。甚至有人说咖啡根本没有必要参加VB100%测试．实在好笑实际上行为阻断也可以用启发方式实现。不过咖啡用的是规则，微点，nod更多用的是行判断或者启发。

总是先有新的病毒技术，后有病毒防御技术，使用新技术的病毒往往用特别的方式提升权限，获取控制权，规则甚至HIPS也是在分析新技术的基础上完善提高防御能力的．

所以，无论规则还是特征码或者启发式都基于对病毒行为的分析和研究，不过现在的咖啡太过于忽视上报样本，面对消毒的问题，可能比较麻烦

规则对于采用新技术的病毒之防御，如同特征库没有新样本代码一样，能力是有限的，只不过程度不同而已．否则，防病毒厂商就不会经常发放补丁更新引擎了

[ 本帖最后由 ouran 于 2007-2-7 23:55 编辑 ]

小邪邪

能力上要综合吧，咖啡的查杀可能是处于一个比诺顿稍好的水平上
而且咖啡的企业版主要就是靠策略来防御未知的威胁

小邪邪

绅博的那个贴子里可没说是用我的规则包的哦，呵呵

ouran

原帖由 小邪邪 于 2007-2-7 23:55 发表
能力上要综合吧，咖啡的查杀可能是处于一个比诺顿稍好的水平上
而且咖啡的企业版主要就是靠策略来防御未知的威胁

斑竹说的是，确实要综合考虑，本人喜欢咖啡，就是因为她能自定义策略
不过，在个人收集的样本中，咖啡的检测率现在要比诺顿低了好多（至少２００５年的咖啡是比诺顿检测率高得多＿仅仅是个人收集样本的试验）

诺顿２００７的一些防御技术很不错的说，不过他不是通过规则实现的

还有，哪个８．０的进程比较容易结束，防御能力比８．５弱了好多，如果没有打上最新补丁，中毒是完全有可能的．

呵呵，最后还是建议喜欢咖啡的网友偶尔上报一下样本，本人上报的样本都超过６０００了．

[ 本帖最后由 ouran 于 2007-2-8 00:04 编辑 ]