咖啡朋友看看这个病毒

sxingbai

我现在只想问的是
咖啡规则保护的文件能不被感染吗？

小邪邪

原帖由 sxingbai 于 2007-4-19 23:27 发表

穿了防弹衣去试子弹，就是要看这衣服行不
何况咱还没有亲自试，用了个木头人，呵呵

我一条规则就让它丝毫都动弹不得，从防毒的角度来讲这就是最好的效果

也许有人会讲：你是知道它有毒才防住了，如果是在不知道的情况下放行了怎么办？

但是实际上其它的HIPS软件也很可能会发生因不了解或感到烦而导致误放行的情况

小邪邪

其实mcafee强调的就是策略先行+即时防御
这就有点像诸葛亮：先排好兵布好阵，然后最好的情况就是做到”御敌于千里之外“

只有等敌人来到跟前的时候才会轮到”各种机关“跟”剑法“上场
这跟传统的”近身肉搏战式“的杀毒方法是很不同的

mcafee说白了是一套系统，其中以FD和”益出保护“为最主
反病毒监控为次，”强硬式禁运行AD规则“为辅
RD+PD等等为最后手段

xpn282

你怎么防?
禁止它启动??禁止它读取文件??

sxingbai

咦，小邪
你那一招，呵呵，不说了，我在写防毒利器的时候就写到了
总之，你是咖啡迷
我喜欢咖啡，但不迷

sxingbai

它禁止执行呗

sxingbai

我以前说过
咖啡对于企业级防护可谓尽善尽美
但对于个人防护就显得呆板和不足

小邪邪

原帖由 xpn282 于 2007-4-19 23:51 发表
你怎么防?
禁止它启动??禁止它读取文件??

首先是FD，不让它进来后面根本就什么事都没有
懂行的人都知道只要能够熟练运用FD是可以达到这种效果的
当然故意放行是不算的，这等于自己没事去”神农尝百草“，总有一天会喝见血封喉的到”鹤顶红“
（一般人不这么做）

然后是强硬的禁执行规则，也就是所谓的“严禁不明程序被错误激活”

[ 本帖最后由 小邪邪 于 2007-4-20 00:02 编辑 ]

ouran

AD\FD\RD是防止楞头青很好的方法,同时还可以观察一些恶意软件的行为.其缺陷还是在于,防御完全建立在"是否信任"的基础上,自身并不能检测程序的合法性,完全靠人工判断,遇到消毒的问题就没着了

而且病毒的编写者越来越狡猾,善于运用社会工程学方法,伪装欺骗用户信任并运行

如果经常使用移动存储介质,这问题就伴随而来,每次用完,不得不不检验一下一些文件的md5值,以防止文件性病毒无意传播到别的机器上.

[ 本帖最后由 ouran 于 2007-4-20 00:02 编辑 ]

小邪邪

能用好，防好毒就可以了
何苦呢？什么软件能够做到“天衣无缝”？
咖啡只是个防毒工具，老是拿来做这些危险动作，再厉害的也早晚出事，呵呵