注意:邪版的8.8最大保护规则还有漏洞，不要迷信！

显示全部楼层 · 发表于 2011-1-28 21:01:02

如题，有网友提示这个规则还是有漏洞，某些病毒运行后，可以顺利突破mcafee规则的防御！
经过我的实验，确实如此！
双击运行后，样本消失，并且EXPLORER.EXE文件后台下载木马，可以拦截。同时也拦截了加载驱动！
但是重启后发现mcafee完全失效，只能重装！病毒已经写入了映像劫持。而且我用XT检查系统，除了2个360的假启动项，我竟然找不到他的其他任何文件，删除后，使用XT的辅助功能禁止运行XX+强制重启。再次检查，病毒还在！
无奈重做系统。。还好我这台电脑平时没人用，一直闲置，硬盘也只有2个盘，几乎变成病毒实验专用机了，不心疼
所以强烈呼唤邪版大大重出江湖啊！！！！

显示全部楼层 · 发表于 2011-1-28 21:15:10

发个样本上来撒，有助老大们研究完善规则

显示全部楼层 · 发表于 2011-1-28 21:30:22

回复 2楼 72380656 的帖子

这里不让发样本撒，顺便求兄弟你的规则，啥系统啊？win7？

显示全部楼层 · 发表于 2011-1-28 21:48:54

本帖最后由 tetris 于 2011-1-28 21:49 编辑

“某些”病毒运行????

哪些？

发链接

显示全部楼层 · 发表于 2011-1-28 22:39:54

同求样本，我用的虚拟机，哈哈

显示全部楼层 · 发表于 2011-1-28 22:42:47

回复 3楼 liangxy 的帖子

改天我发个8.8的迎冬版吧

显示全部楼层 · 发表于 2011-1-28 23:21:57

求样本

显示全部楼层 · 发表于 2011-1-28 23:46:55

72380656 发表于 2011-1-28 22:42
回复 3楼 liangxy 的帖子

改天我发个8.8的迎冬版吧

应该发迎春版啦。。。

显示全部楼层 · 发表于 2011-1-29 01:06:41

一直用着这个规则，小弟一直学习中，望求各位老大指点指点~

显示全部楼层 · 发表于 2011-1-29 08:39:29

liangxy 发表于 2011-1-28 21:01
如题，有网友提示这个规则还是有漏洞，某些病毒运行后，可以顺利突破mcafee规则的防御！
经过我的实验，确 ...

你说的问题我很早就发现了，那个咖啡的fd防正常的文件复制，粘帖可以，如果病毒木马运行了，就是阻止了，也照样写入，上线。无视咖啡。我个人想如果防病毒木马，还是要从ad入手.
可以把咖啡设置成阻止陌生程序运行，你在测试一下，估计行，告诉我结果啊！

[讨论] 注意:邪版的8.8最大保护规则还有漏洞，不要迷信！