关于咖啡规则是否完全有效的一个小试验

显示全部楼层 · 发表于 2007-2-22 23:22:23

刚刚试验过了冰刃和ProcessExplorer10.2。2个软件一个是可以删除磁盘中的文件，一个可以杀进程。结果大家都知道咖啡并没有阻止他们而且也没有提示什么。不过这2个工具在安装还是使用的时候都会把自己注册成服务。
《C:\TDdownload\IceSword1.12\IceSword.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\IsPubDrv 通用最大保护:禁止将程序注册为服务》这是日值中的一部分。

大胆的设想无论是核心态还是用户态。只要优先级高于咖啡，就可以操作一切咖啡不容许的。
现在至少知道最大保护那里禁止程序注册成服务。这个功能还算有点作用。

显示全部楼层 · 发表于 2007-2-23 14:33:35

如果咖啡也加入AD.或许情况会好点..但那样就更不是一般人能用的了...

显示全部楼层 · 发表于 2007-2-23 14:43:25

这个。。。。
嗯
说得对
杀毒软件不是万能的

显示全部楼层 · 发表于 2007-2-23 15:37:28

其实早就去下过冰刃试验过，在强规则监控下会被视为陌生程序因而完全无法启动
如果是已被列为受信任程序的话，应该就是可以杀咖啡的进程的

显示全部楼层 · 发表于 2007-2-24 00:49:11

是啊。从某种意义上看，咖啡做的很好了。至少他挡住冰刃的进入。如果个人的误操作导致了可以成功注册成服务。无非是引狼入室最后的结果家贼难防啊。让进去的工具杀掉了也没的办法了。呵呵。

显示全部楼层 · 发表于 2007-2-24 01:25:19

这东西写得好...支持下

显示全部楼层 · 发表于 2007-2-24 08:27:21

楼主分析的不错！12楼的回帖同样精彩～！
毕竟不是微软自己的软件，不能完全深入底层啊！
咖啡前面的路还很长～～～

显示全部楼层 · 发表于 2007-2-24 20:11:11

原帖由 小邪邪 于 2007-2-23 15:37 发表
其实早就去下过冰刃试验过，在强规则监控下会被视为陌生程序因而完全无法启动
如果是已被列为受信任程序的话，应该就是可以杀咖啡的进程的

这不废话吗,你这样就是说允许小偷进来,掉了东西去说看门的--有必要吗???那要它干嘛?裸奔吧,中招了重装系统,或是用冰点或影子也很

显示全部楼层 · 发表于 2007-2-28 16:44:25

看来微软该多给点源代码给咖啡,不然不能深入底层,只要优先级高于咖啡就束手无策了

显示全部楼层 · 发表于 2007-2-28 17:06:04

咖啡感觉用的很爽，如果以后出的版本能在保护自身上多下点功夫……那就更好了~！

[讨论] 关于咖啡规则是否完全有效的一个小试验