查看: 8203|回复: 35
收起左侧

[讨论] 我发现毛豆的扫描越来越离谱了!貌似是92版bug

[复制链接]
cemiko 该用户已被删除
发表于 2017-2-10 07:10:27 | 显示全部楼层 |阅读模式
本帖最后由 68221281 于 2017-2-17 06:07 编辑

http://bbs.kafan.cn/thread-695301-1-1.html
http://bbs.kafan.cn/forum.php?mo ... ;page=4#pid39259089   32楼
这里的病毒、风险程序。我电脑上的毛豆居然扫描判断为信任!!!在测试时不入沙也不拦截。
--------------------------------------------更新-------------------------------------------------
貌似是6092版本的bug,正在重新下载中。
--------------------------------------------更新-------------------------------------------------
截至2017/2/14 10:15   我电脑上的comodo云扫描仍然信任上面两个文件,建议92版comodo用户的最好先关闭云查询和沙盒。
唠叨一两句  不同于别家安软,默认状态下,comodo的防御策略全都依靠武神云,过扫描等于过所有。如果这样的情况都不能引起官方重视的话,真的劝准备入坑的新人打住吧。。。
谁知道还有什么其他的流通了很久的漏洞。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cemiko 该用户已被删除
 楼主| 发表于 2017-2-10 07:16:57 | 显示全部楼层
本帖最后由 68221281 于 2017-2-10 07:57 编辑

http://bbs.kafan.cn/thread-695301-1-1.html 对这里的恶意程序测试。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cemiko 该用户已被删除
 楼主| 发表于 2017-2-10 07:39:37 | 显示全部楼层
本帖最后由 68221281 于 2017-2-10 07:54 编辑

关闭云查询,关闭沙盒。
毛豆拦截弹窗。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cemiko 该用户已被删除
 楼主| 发表于 2017-2-10 07:51:08 | 显示全部楼层
这里还发现一个问题。楼上如果开启沙盒,这个程序会自动入沙,然后自杀。并且绕出沙盒启动,此时会有弹窗,点击“无限制运行”的话,HIPS将不会起作用。
Candygu
发表于 2017-2-10 08:49:10 | 显示全部楼层
68221281 发表于 2017-2-10 07:51
这里还发现一个问题。楼上如果开启沙盒,这个程序会自动入沙,然后自杀。并且绕出沙盒启动,此时会有弹窗, ...

1、为什么这个文件会被COMODO判定为信任这个问题,我正在询问官方;

2、我这里的测试结果是,开启HIPS,开启沙盒,开启云查询,运行的时候会有一个提示
2017-02-10 08:28:49         D:\test\test.exe         Create Process         C:\Windows\System32\conhost.exe

允许运行后,我尝试结束任务管理器taskmgr.exe,触发一个弹窗
2017-02-10 08:30:15         D:\test\test.exe         Access Memory         C:\Windows\System32\Taskmgr.exe

阻止这条访问进程内存的动作,成功防御。

其实关于COMODO能否防住这个demo程序,在原帖里有好几次都讨论了。也就是上面说的,当触发访问进程内存的时候,选择阻止就行。也就是说COMODO HIPS能防住。

至于你说的
楼上如果开启沙盒,这个程序会自动入沙,然后自杀。并且绕出沙盒启动
这个问题,其实是不对的。因为既然这个test.exe文件已经被判定为信任,那么根据COMODO Sandbox内置的规则来说,这个程序本来就不会被入沙。也就不存在你说的这个现象。
lixihong10
发表于 2017-2-10 09:15:51 | 显示全部楼层

你是不是下载到了假毛豆?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dadizhitu
发表于 2017-2-10 09:45:42 | 显示全部楼层
lixihong10 发表于 2017-2-10 09:15
你是不是下载到了假毛豆?

我的咋和你的不一样呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cemiko 该用户已被删除
 楼主| 发表于 2017-2-10 10:13:08 | 显示全部楼层
lixihong10 发表于 2017-2-10 09:15
你是不是下载到了假毛豆?

英文官网下载的,下了好久啊

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lixihong10
发表于 2017-2-10 10:21:05 | 显示全部楼层
68221281 发表于 2017-2-10 10:13
英文官网下载的,下了好久啊

听说 92 BUG 自动信任。 在群看到的,自己没测试。

所以 86 才是 真正的 秋名山车神~
cemiko 该用户已被删除
 楼主| 发表于 2017-2-10 10:24:36 | 显示全部楼层
本帖最后由 68221281 于 2017-2-10 10:26 编辑
Candygu 发表于 2017-2-10 08:49
1、为什么这个文件会被COMODO判定为信任这个问题,我正在询问官方;

2、我这里的测试结果是,开启HIPS ...


那可能是我的毛豆出了问题了。你用的是cfw10吗?
我这里用proactive模式,开启HIPS,开启沙盒,开启云查询。运行时
explorer.exe运行test.exe
入沙(test.exe自杀)
uac弹窗(允许)

test.exe运行成功,杀进程时没有弹窗
至于判定信任,上面还有一个病毒样本http://bbs.kafan.cn/forum.php?mo ... ;page=4#pid3925908923楼里面有提到。
我这里情况很奇怪,有时判断信任的程序也会有HIPS弹窗,搞得我都晕了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 17:49 , Processed in 0.131066 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表