查看: 5917|回复: 21
收起左侧

[其他相关] 原创:今天没事就尝试了一下用冰刃结束咖啡的进程

[复制链接]
小邪邪
发表于 2007-2-25 18:38:58 | 显示全部楼层 |阅读模式
使用的冰刃的版本(icesword)是: V1.20 Final For Vista
使用防护规则是:呵呵自己打造的只适合于自己的规则,也就相当于是那个精简版规则的扩展版吧。
重要是对正在使用中的规则不做任何改动,否则就没有意义了,呵呵,制定规则要就是前瞻性。
小邪邪
 楼主| 发表于 2007-2-25 18:41:00 | 显示全部楼层
第一次运行:

冰刃无法启动,提示无法访问相关项目

相关阻止日志:
C:\WINDOWS\Explorer.EXE
D:\Program Files\IceSword120_cn\IceSword.exe
用户定义的规则:121AD:对D盘程序的执行进行管制

按照提示排除

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小邪邪
 楼主| 发表于 2007-2-25 18:42:48 | 显示全部楼层
第二次运行:

冰刃仍然无法启动,这次提示的是初始化失败

相关阻止日志:
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\winspool.drv
用户定义的规则:114AD:对C盘程序的执行进行管制

按照提示再排除之

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小邪邪
 楼主| 发表于 2007-2-25 18:44:47 | 显示全部楼层
第三次运行:

还是无法初始化,程序退出

相关阻止日志:
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\IsDrv120.sys
防病毒爆发控制:将所有共享项设为只读  
  
D:\Program Files\IceSword120_cn\IceSword.exe
D:\Program Files\IceSword120_cn\drivers\fllahd.sys
防病毒爆发控制:将所有共享项设为只读

按它的提示在只读规则里排除掉

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小邪邪
 楼主| 发表于 2007-2-25 18:47:34 | 显示全部楼层
第五次运行失败的相关阻止日志:
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\azpyqud.sys
用户定义的规则:103FD WINDOWS目录监视
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\frtjmnb.sys
用户定义的规则:103FD WINDOWS目录监视


第六次运行失败的相关阻止日志:
C:\WINDOWS\System32\drivers\IsDrv120.sys
用户定义的规则:107FD C盘SYS文件管制  
D:\Program Files\IceSword120_cn\IceSword.exe
C:\WINDOWS\System32\drivers\qmidha.sys
用户定义的规则:107FD C盘SYS文件管制

第七次运行失败的相关阻止日志:
D:\Program Files\IceSword120_cn\IceSword.exe        
C:\WINDOWS\System32\drivers\IsDrv120.sys        
用户定义的规则:127FD SYSTEM32目录监视         

D:\Program Files\IceSword120_cn\IceSword.exe        
C:\WINDOWS\System32\drivers\nnmec.sys        
用户定义的规则:127FD SYSTEM32目录监视
小邪邪
 楼主| 发表于 2007-2-25 18:51:52 | 显示全部楼层
再排除下去相信冰刃最终要结束掉咖啡的进程不是问题,其实我的规则并不是很严厉,FD的自定义规则部分只是阻止创建行为而已,也就是说在规则开着的情况下对非正常的创建行为会看得比较严一点,而对于已经安装的正常程序的使用则不会有太大影响,希望能给大家一点启发。

[ 本帖最后由 小邪邪 于 2007-2-25 18:59 编辑 ]
alvinjx
发表于 2007-2-25 19:15:04 | 显示全部楼层

回复 #6 小邪邪 的帖子

恩,同感,很多人热衷于网上的测试,一有问题就觉得某软件不好,其实他们自己本身使用上存在问题,咖啡真的能用好了,应该是很强的
DJ
发表于 2007-2-25 20:00:21 | 显示全部楼层
偶用精简规则包不用排除这么多,太多的规则偶又怕麻烦,正在考虑放弃MCAFEE8.5.

[ 本帖最后由 DJ 于 2007-2-25 20:02 编辑 ]
小邪邪
 楼主| 发表于 2007-2-25 20:09:53 | 显示全部楼层
一般不用排除这么多的,我写规则用了两个小时左右,排除用了一个半小时左右
搞定之后就很悠闲了

因为我们使用杀毒软件的初衷就是不要让机器上出现来路不明的东西或程序,不要让系统随便受到恶意的侵犯,修改,这就是FD的意义所在

只监视创建行为的意义在于,大大减小了麻烦程度,但这样势必会造成无法安装任何程序,所以安装程序时要暂关掉保护,安装后再开启规则,这时该写的都已经写入,需要做的就是选择“是否允许运行”而已了
DJ
发表于 2007-2-25 20:48:10 | 显示全部楼层
原帖由 小邪邪 于 2007-2-25 20:09 发表
一般不用排除这么多的,我写规则用了两个小时左右,排除用了一个半小时左右
搞定之后就很悠闲了

因为我们使用杀毒软件的初衷就是不要让机器上出现来路不明的东西或程序,不要让系统随便受到恶意的侵犯,修改 ...

同意,偶就是这样做的,不过还是对咖啡的自我保护能力深表怀疑---------偶认为,出现绕过甚至是专KILL咖啡的病毒只是时间问题从技术上的角度并不难-----内存----启动抢先运行.
期待MCAFEE8.5I的补丁可以解决诸如环境变量之类的BUG.
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:01 , Processed in 0.128379 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表