关于咖啡规则是否完全有效的一个小试验

显示全部楼层 · 发表于 2007-2-21 09:47:35

看来任何事情都不能绝对化

对系统安全要求高的用户又增加压力了

显示全部楼层 · 发表于 2007-2-21 12:15:40

（转贴）yumiren89写的原文：-------写的不错，转贴一下给大伙看。

感谢楼上讲解
咖啡规则不是基于底层保护早已公认，进程容易被终结也是事实。
咖啡企业版是运行于epo平台上，其理念应该是：被病毒感染是必然发生的情况，而不应考虑局域网内机子如何不被感染（事实上也做不到）。在于被病毒感染后，运用epo同步及时发现非正常电脑，从而为下一步的及时隔离和保护数据留下空间。
的确存在运行病毒样本后，咖啡不能识别病毒，规则阻止而内存仍存在病毒的情况。
对于内核级工具最好的方式的确是禁止运行，此外没有更好的办法。
病毒特征码无所谓迷信，而在于它是一种识别比较准确而误杀概率小的成熟技术。
至于不成熟的启发式大行其道，个人更不以为然，对于启发式的误报以及由用户判断是否允许的方式是极不负责的，国人大都以为宁可误杀三千，也不放过一个，殊不知法律上的无罪判定是一个基本条件，而这正是体现了我国法律的不健全。假如使用者是一个菜菜鸟，安装软件时启发式判断未知，那么菜鸟该如何选择？yes or no.那就像生存或死亡轮盘赌，所不同的是：此时杀软将选择的权利交给了使用者。
至于咖啡的病毒库一直被人诟病，似乎对于中国区的上报病毒是采用集中时段添加入库，并且也是极少一部分。这可能与咖啡的全球战略策略有关，收到一个病毒样本后，咖啡可能是首先分析是否病毒，判定后再研究此病毒的扩散范围以及危害，然后再决定是否添加到病毒库（卡巴一般是不在病毒库内就会及时添加，而不会有扩散范围的评估）。
不论如何，咖啡这种带有hips性质的杀软毕竟是走的一条独特的路。喜欢稳定的用户还是值得选择。
最后希望用咖啡和不用咖啡的朋友都少中毒，最好不中毒~~~过年了，最好病毒也放假吧。

显示全部楼层 · 发表于 2007-2-21 13:28:29

拜读了

显示全部楼层 · 发表于 2007-2-21 22:37:07

非常支持12楼的观点

显示全部楼层 · 发表于 2007-2-21 23:09:37

写得不错，支持一下。

显示全部楼层 · 发表于 2007-2-21 23:17:04

LZ我看了你的文章后
觉得能不能把Tiny也来个这样的FD测试

显示全部楼层 · 发表于 2007-2-22 00:08:01

楼主写的不错，很好啊

显示全部楼层 · 发表于 2007-2-22 11:50:20

我的见解，冰刃、killbox和将民他们3个从你分析来看，确实反映出内核级别的工具mcafee无法阻挡，但是killbox和将民把文件删除是靠重启后执行的操作。mcafee8.5里面有条规则是‘禁止程序注册为自启动’，我认为既然有了这条规则说明一律和此规则刮边的操作都应该归此规则负责，而非阻挡删除文件规则起作用。或者说优先级高低不同导致结果不同。因为只有现在修改了注册表变成自动启动，下次启动机器的时候才会删除文件。

显示全部楼层 · 发表于 2007-2-22 13:56:39

原帖由 小红魔 于 2007-2-22 11:50 发表
我的见解，冰刃、killbox和将民他们3个从你分析来看，确实反映出内核级别的工具mcafee无法阻挡，但是killbox和将民把文件删除是靠重启后执行的操作。mcafee8.5里面有条规则是‘禁止程序注册为自启动’，我认为既 ...

我在做上述一个小试验的时候,已经开启了‘禁止程序注册为自启动’规则,并且设置了额外的防止自启动规则
至于以上工具在系统重新启动后突破了咖啡的规则(病毒也可以这样做),我想,他们不是靠什么启动项来执行
而是,它们可能利用了系统原生的应用程序执行的,这些应用程序甚至在加载任何子系统前就执行了,当然要比咖啡的监控启动要早得多!!
比如autochk.exe就是这样一个原生程序.

补充一下个人认为以下几种情况或许更为危险!

首先，咖啡没有ad，尽管其阻断了一些规则不容许的动作，但是病毒还在进程之中，如果不马上结束，关机的时候可能被加入启动项，下次执行．(这个说过了)
其次，如果遇到反制性的内核病毒，防护软件可就成了泥菩萨过河了，谁来保护卫士自己呢
再次，如果遇到遍历某种特定文件然后将其删除的恶意程序，（因为病毒还在进程中！！）比如删除.xls文件，损失可就大了，我们肯定没有保护所有的文件类型．保护的只是普遍的而已．如此损人不利己的、低级而且恶心的恶意代码在样本区已经发现了不少，恶意代码的编写者道德无底线！
最后，我们可能遇到对特定文件加密的木马程序。

你可以在自己的机器上实验下,反正自己建一个垃圾文件,然后执行删除操作是无害的,还有冰刃和ProcessExplorer10.2之类的软件突破咖啡规则甚是容易,根本不需要重新启动计算机,甚至不用强制模式都可以.至于killbox,应该不属于什么内核级工具,估计一个apihook它就没招了

[ 本帖最后由 ouran 于 2007-2-22 14:12 编辑 ]

显示全部楼层 · 发表于 2007-2-22 22:36:18

毕竟咖啡非系统核心态工作，想要很好的更多的保护系统还是有困难的。那种类似删除xls的病毒是更加恶心的恶意程序。我们不可能用咖啡去保护所有的文件。这样下来后果更是不堪设想。想起来一句话，大意是 “大家都不乐意等待备份所用的时间，一旦出现问题要恢复的时候，曾经的备份是多么重要。救命稻草一样。”
做好十全十美还得是一套方案才能解决。
冰刃和ProcessExplorer10.2工具有时间试验一下。后头谈一下感想。

[讨论] 关于咖啡规则是否完全有效的一个小试验