comodo 5.8 又被穿破了

会飞的番茄

不知道3.14版本能否拦截？

kagebaby

没有绝对，只有小心才是王道！

a256886572008

会飞的番茄 发表于 2011-9-1 21:09
不知道3.14版本能否拦截？

可以的，阻止病毒执行svchost.exe即可。

3.14有个问题，就是 services.exe 很难监控。
亦即，两种的可行方法，都无法让用户满意。

a256886572008

2011-09-09 12:53:52   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   Sandboxed As   Partially Limited   

2011-09-09 12:53:53   C:\WINDOWS\system32\svchost.exe   Sandboxed As   Partially Limited   

2011-09-09 12:53:57   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\insdkbvrkwendrtp.exe   

2011-09-09 12:53:57   C:\WINDOWS\system32\svchost.exe   Modify File   C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\qfufiytl.exe   

2011-09-09 12:53:57   C:\WINDOWS\system32\svchost.exe   Modify Key   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit   

2011-09-09 12:53:57   C:\WINDOWS\system32\svchost.exe   Access COM Interface   LocalSecurityAuthority.Restore   

2011-09-09 12:53:57   C:\WINDOWS\system32\svchost.exe   Modify Key   HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}   

2011-09-09 12:55:00   C:\WINDOWS\system32\svchost.exe   Modify File   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   

新版修復繼承的bug 了

不用再像  手動HIPS 一樣 當禁運黨了

gumper

    ----我只是看帖子感覺有點奇怪。回帖的要麼是禁運，要麼是統統禁止，然後說如此如此強大，樓主如此如此菜鳥。 ...

----据我个人了解到直接把svchost.exe做为子进程的正常软件是很少的。

有没有正常软件这样干的，举个例子？

無雨

lorchid 发表于 2011-8-29 08:23
沙盘还是得继续完善呀，这种继承问题很致命。
不过这个是沙盘的缺陷，标题是不是有点让人误解了。。。

某些人把樓主的意思曲解了。
不完美的東西當然就要盡量達到完美。

接近完美，我覺得這是資訊安全上很重要的一點。

zhousulin5

myzuzong 发表于 2011-8-30 22:00
我只是看帖子感覺有點奇怪。回帖的要麼是禁運，要麼是統統禁止，然後說如此如此強大，樓主如此如此菜鳥。 ...

只是从统计和推理上说，有些行为是“正常软件”在日常应用中不需要有的，手动HIPS的规则就是从这个角度出发来限制那些有风险的行为。不需要有的行为，并不是说肯定不会有，那得看软件作者对他的作品是怎么安排的。比如很多人说ＱＱ底层读硬盘很讨厌，就是因为其他大多数软件不底层读硬盘照样工作得很好。
我也认为“安装模式”无法完美实现，所以，我只是在日常不安装软件时使用HIPS来保护系统。
从统计的角度说，创建svchost子进程的正常程序平常只有有限的那几个，限制其他的程序创建它，可以简单的防止楼主说到的被穿，虽然有可能影响到其他正常软件的一部分工作，但考虑得与失，禁运仍然不失为一个理智的选择。