最近流行"AV终结者",用什么规则能挡住啊

心中de那份明媚

IFEO 的处理层面比较靠前, 根本就不会等你把安全软件加载....知道不...

yumiren89

IFEO类病毒首先须修改注册表达到重启后加载而阻挡杀软启动和导向错误的目的,楼上几位思维总限制在中标后重启无法杀掉,而咖啡的思路是阻挡这类病毒第一步(包括阻止autorun以及temp自动运行等辅助措施),如果第一步失败,那就不是咖啡的特点了.
至于全部正确查杀IFEO类病毒,目前不现实.

小邪邪

原帖由 心中de那份明媚 于 2007-6-17 12:04 发表
IFEO 的处理层面比较靠前, 根本就不会等你把安全软件加载....知道不...

IFEO也是需要篡改注册表的吧

只要你会用，要突破咖啡监控的防线是比较难：
强FD（直接阻挡进入系统盘）
强规则（强制式AD，厉害）
RD（强制式注册表保护）

默认规则FD（保护系统等敏感区）
默认AD（禁止执行敏感区的可疑程序）
默认RD（保护自启动项，服务等等多处地方）

还可以有其它病毒监控等多道综合防线

tizeeme

原帖由 lvyou 于 2007-6-17 11:36 发表
回#8 tizeeme,你没看懂那意思，那是系统底层的一点知识。相信有人会懂的。

9楼说的没错，最好的办法就是能识别病毒，能杀掉就不需要防了。

所以我说它不会取得权限嘛。咖啡谈的不是事后如何补救，是如何防止病毒的进入。
PS. 我对系统底层确实不熟，看小邪邪斑竹表态了偶才敢这么说的。

lvyou

原帖由 小邪邪 于 2007-6-17 22:49 发表


IFEO也是需要篡改注册表的吧

只要你会用，要突破咖啡监控的防线是比较难：
强FD（直接阻挡进入系统盘）
强规则（强制式AD，厉害）
RD（强制式注册表保护）

默认规则FD（保护系统等敏感区 ...

那我把病毒的行为设置为下次启动时修改注册表，而不在当前环境下操作进行劫持，如果你的杀软未能杀掉此毒，那下次启动后的动作就是可以实现，那么你要如何在理论上来防？

我一直说的是理论，而且那些对于win核心编程有一定水平的人来说，并不是很难！

所以，识别并杀掉病毒才是最好的防御。

sanshui-1

我很想知道到底有没有防止这个病毒的规则

tizeeme

这种问题啊，找个样本给邪版试试不就结了。

yumiren89

原帖由 lvyou 于 2007-6-18 08:45 发表


那我把病毒的行为设置为下次启动时修改注册表，而不在当前环境下操作进行劫持，如果你的杀软未能杀掉此毒，那下次启动后的动作就是可以实现，那么你要如何在理论上来防？

我一直说的是理论，而且那些对于 ...

病毒要在重启时修改注册表,就必须存在一个修改系统原文件以及调用的问题,比如调用sys或者bat达到目的.如楼主所说,病毒必须先创建或修改系统文件来达到目的,而咖啡有一些相应规则来保证sys或者bat等类型不被创建或改变,这是一个多层次的防御.
咖啡是存在于操作基础层和应用层之间,比较接近于基础层,理论上说,windows系统未来还会不断出现漏洞,咖啡也不例外,所有的杀软所做的都是亡羊补牢的工作,总是先有病毒,再有专杀,必须先有魔,然后再有道,完全查杀是不可能的.

lvyou

原帖由 yumiren89 于 2007-6-18 14:53 发表

病毒要在重启时修改注册表,就必须存在一个修改系统原文件以及调用的问题,比如调用sys或者bat达到目的.如楼主所说,病毒必须先创建或修改系统文件来达到目的,而咖啡有一些相应规则来保证sys或者bat等类型不被创 ...

你说这些根本没用.......

gxd

预防为主，防治结合
能防住就不需要考虑杀了