咖啡不能防反弹木马吗

starfish

下面的这段文章是我在比特论坛里看到的，现在转到这边过来，大家看看，有道理吗？这是连接http://bbs.abcbit.com/viewthread.php?tid=52265&extra=page%3D1




MCAFEE 能防 反弹木马.吗????

本人没用过这个杀软,只是装了试了下效果.有点小感想:

大家都说这个杀软好用,怎么样,怎么样的.但一但中了免杀的反弹木马(比如:鸽子),那这个工具还有用吗?

你们也许会说,端口, 是的端口是封了.但进程呢?

我看了论坛的MCAFEE的一些安全配置, 看起来好像很安全,事实上,只要是玩过反弹木马的人,比如鸽子.

都知道,那种配置并不安全(不相信? 你去用鸽子试下就知道了)

不安全配置一:鸽子的进程默认虽然是iexplore.exe   就拿这一点不说吧. 很多人把这个IE进程都放到允许列表中了.

那么这意味着什么,意味着,就算你把端口全封了.. 黑客照样控制你的电脑.

不安全配置二: 很多人都相信那个什么system:remote  这个远程进程来防黑. 但你们发现没有了.在反弹下,这个东西一点用

都没有. 形同虚设. 就跟风云防火墙的密码保护功能一下,形同虚设.

那怎么样用MCAFEE来防鸽子等反弹木马呢?  很简单.. 阻止IEXPLORE.EXE 防问所有盘.

再添加一条规则. 禁止所有系统进程.特别是 svhost,lsass ,smss 这种容易被鸽子使用的进程. 访问本地其它硬盘分区.

只有这样,才能做到一个比较完全的防黑.

不好意思了,我没装这个杀软,所以就不上传图片了,我相信,这个版块的人,用起这个工具来,都比我会用.

小邪邪

咖啡不是神，不能把所有的事情都它一个人扛，防木马外联还是交给防火墙去办比较对头

运用好FD规则是最先的防线，如果防好了，防住了后面的问题就都不存在
IEXPLORE.EXE在排除时采用绝对路径也能够比较好的避免伪装
只读规则也可以起到一定防感染作用
禁止私自创建DLL，加载DLL，进程保护等规则可以防御一些DLL注入型的进程劫持木马

只要经过悉心而细致的安排才能打造的出比较好的组合式装甲

ljyang5230

原帖由 小邪邪 于 2007-3-10 13:44 发表
咖啡不是神，不能把所有的事情都它一个人扛，防木马外联还是交给防火墙去办比较对头

运用好FD规则是最先的防线，如果防好了，防住了后面的问题就都不存在
IEXPLORE.EXE在排除时采用绝对路径也能够比较好的避 ...

说得好!我的规则就是用绝对路径....

idey

不是故意放行，鸽子一般中不了

Loneliness

什么样得人用什么样得咖啡这话一点不假啊。

jlennon

咖啡加上AVK，要我中毒基本上````````很难。