穿破 comodo sandbox 的解決方法

a256886572008

依照上圖路徑，把 svchost.exe 加入規則即可。


------------------------
以下測試病毒：

2011-09-05 08:17:04   C:\Documents and Settings\Roger\桌面\virus\clickme\contacts1.exe   Sandboxed As   Partially Limited   

2011-09-05 08:17:08   C:\Documents and Settings\Roger\桌面\virus\clickme\contacts1.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\gcfscqcqfprfsmnc.exe   

2011-09-05 08:17:08   C:\Documents and Settings\Roger\桌面\virus\clickme\contacts1.exe   Create Process, Execute Image   C:\WINDOWS\system32\svchost.exe   

2011-09-05 08:17:14   C:\Program Files\Internet Explorer\IEXPLORE.EXE   Sandboxed As   Partially Limited   

2011-09-05 08:17:26   C:\Program Files\Internet Explorer\iexplore.exe   Modify File   C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\othuaoes.exe   

2011-09-05 08:17:31   C:\Program Files\Internet Explorer\iexplore.exe   Modify Key   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit   

2011-09-05 08:17:31   C:\Program Files\Internet Explorer\iexplore.exe   Access COM Interface   LocalSecurityAuthority.Restore   

2011-09-05 08:17:31   C:\Program Files\Internet Explorer\iexplore.exe   Modify Key   HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network  

2011-09-05 08:17:36   C:\Documents and Settings\Roger\Local Settings\Temp\gcfscqcqfprfsmnc.exe   Modify Key   HKLM\SYSTEM\ControlSet001\Services\Micorsoft Windows Service   

阻止病毒執行svchost.exe之後，他會調用IE作壞事，不過，IE 沒有bug，可以繼承規則。

ghfujianbin

这招不错 感谢分享

a256886572008

ghfujianbin 发表于 2011-9-5 11:46
这招不错 感谢分享

這只是暫時的，下個 beta 就會修復bug，也就不用這樣了。

ghfujianbin

a256886572008 发表于 2011-9-5 11:47
這只是暫時的，下個 beta 就會修復bug，也就不用這樣了。

5.8beta默认也把explorer.exe添加到*的阻止里的吗？还是你自己添加的？

a256886572008

ghfujianbin 发表于 2011-9-5 11:50
5.8beta默认也把explorer.exe添加到*的阻止里的吗？还是你自己添加的？

那個是，剛好我在測試CLT 的行為。

後來發現，sandbox 也能像 手動HIPS一樣，添加 禁運黨 規則

ghfujianbin

禁运党直接将沙盘限制调为block

a256886572008

ghfujianbin 发表于 2011-9-5 12:03
禁运党直接将沙盘限制调为block

那功能是專門對付網馬用的。

幾乎達到 100% 攔截

ghfujianbin

除了被comodo误判添加进trusted files. 话说这样的样本真不少

h8888

纯默认规则的安全性与普通杀软差不多，但用起来还没有普通杀软方便，故可以说，长期用纯默认规则，是一种错误的选择！

a256886572008

h8888 发表于 2011-9-5 12:41
纯默认规则的安全性与普通杀软差不多，但用起来还没有普通杀软方便，故可以说，长期用纯默认规则，是一种错 ...

這又不是規則的問題，單純是 sandbox 的問題

而且，加一堆無用的規則，只不過是讓手指更累而已