原创:今天没事就尝试了一下用冰刃结束咖啡的进程

显示全部楼层 · 发表于 2007-2-25 18:38:58

使用的冰刃的版本(icesword)是： V1.20 Final For Vista
使用防护规则是:呵呵自己打造的只适合于自己的规则，也就相当于是那个精简版规则的扩展版吧。
重要是对正在使用中的规则不做任何改动，否则就没有意义了，呵呵，制定规则要就是前瞻性。

显示全部楼层 · 发表于 2007-2-25 18:41:00

第一次运行：

冰刃无法启动，提示无法访问相关项目

相关阻止日志：
C:\WINDOWS\Explorer.EXE
D:\Program Files\IceSword120_cn\IceSword.exe
用户定义的规则:121AD:对D盘程序的执行进行管制

按照提示排除

显示全部楼层 · 发表于 2007-2-25 18:42:48

第二次运行：

冰刃仍然无法启动，这次提示的是初始化失败

相关阻止日志：
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\winspool.drv
用户定义的规则:114AD:对C盘程序的执行进行管制

按照提示再排除之

显示全部楼层 · 发表于 2007-2-25 18:44:47

第三次运行：

还是无法初始化，程序退出

相关阻止日志：
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\IsDrv120.sys
防病毒爆发控制:将所有共享项设为只读

D:\Program Files\IceSword120_cn\IceSword.exe
D:\Program Files\IceSword120_cn\drivers\fllahd.sys
防病毒爆发控制:将所有共享项设为只读

按它的提示在只读规则里排除掉

显示全部楼层 · 发表于 2007-2-25 18:47:34

第五次运行失败的相关阻止日志：
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\azpyqud.sys
用户定义的规则:103FD WINDOWS目录监视
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\frtjmnb.sys
用户定义的规则:103FD WINDOWS目录监视

第六次运行失败的相关阻止日志：
C:\WINDOWS\System32\drivers\IsDrv120.sys
用户定义的规则:107FD C盘SYS文件管制
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\qmidha.sys
用户定义的规则:107FD C盘SYS文件管制

第七次运行失败的相关阻止日志：
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\IsDrv120.sys
用户定义的规则:127FD SYSTEM32目录监视

D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\nnmec.sys
用户定义的规则:127FD SYSTEM32目录监视

显示全部楼层 · 发表于 2007-2-25 18:51:52

再排除下去相信冰刃最终要结束掉咖啡的进程不是问题，其实我的规则并不是很严厉，FD的自定义规则部分只是阻止创建行为而已，也就是说在规则开着的情况下对非正常的创建行为会看得比较严一点，而对于已经安装的正常程序的使用则不会有太大影响，希望能给大家一点启发。

[ 本帖最后由小邪邪于 2007-2-25 18:59 编辑 ]

显示全部楼层 · 发表于 2007-2-25 19:15:04

恩,同感,很多人热衷于网上的测试,一有问题就觉得某软件不好,其实他们自己本身使用上存在问题,咖啡真的能用好了,应该是很强的

显示全部楼层 · 发表于 2007-2-25 20:00:21

偶用精简规则包不用排除这么多,太多的规则偶又怕麻烦,正在考虑放弃MCAFEE8.5.

[ 本帖最后由 DJ 于 2007-2-25 20:02 编辑 ]

显示全部楼层 · 发表于 2007-2-25 20:09:53

一般不用排除这么多的，我写规则用了两个小时左右，排除用了一个半小时左右
搞定之后就很悠闲了

因为我们使用杀毒软件的初衷就是不要让机器上出现来路不明的东西或程序，不要让系统随便受到恶意的侵犯，修改，这就是FD的意义所在

只监视创建行为的意义在于，大大减小了麻烦程度，但这样势必会造成无法安装任何程序，所以安装程序时要暂关掉保护，安装后再开启规则，这时该写的都已经写入，需要做的就是选择“是否允许运行”而已了

显示全部楼层 · 发表于 2007-2-25 20:48:10

原帖由 小邪邪 于 2007-2-25 20:09 发表
一般不用排除这么多的，我写规则用了两个小时左右，排除用了一个半小时左右
搞定之后就很悠闲了

因为我们使用杀毒软件的初衷就是不要让机器上出现来路不明的东西或程序，不要让系统随便受到恶意的侵犯，修改 ...

同意,偶就是这样做的,不过还是对咖啡的自我保护能力深表怀疑---------偶认为,出现绕过甚至是专KILL咖啡的病毒只是时间问题从技术上的角度并不难-----内存----启动抢先运行.
期待MCAFEE8.5I的补丁可以解决诸如环境变量之类的BUG.

[其他相关] 原创:今天没事就尝试了一下用冰刃结束咖啡的进程

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 #6 小邪邪的帖子

[其他相关] 原创:今天没事就尝试了一下用冰刃结束咖啡的进程

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 #6 小邪邪 的帖子

回复 #6 小邪邪的帖子