看来，拦截能力最强还是COMODO V3.14

myzuzong

h8888 发表于 2011-9-18 15:33
随便给你几个小“样本”，你强大的规则能防一个？

Samples.rar (246.77 KB, 下载次数: 22) 2011-9- ...

如果禁止蓝屏1.exe执行蓝屏1.exe的话，就算禁运了，不足以称之为防住。

myzuzong

zxzy 发表于 2011-9-18 15:45
那种防没意义。  

2011/9/18 15:17:55    创建新进程    允许

发送Windows Messege这种操作是很常见的，我的“样本”正是使用了常见操作，所以才不被报毒，不被非常严格的HIPS规则拦截。如果我不告诉你这是“样本”，那么一味拦截有可能造成正常软件工作不正常。
另外一个，Access \Device\MountPointManager是常见操作，许多压缩软件、FTP软件都有这个操作。

所以，拦截常见操作是否具有日常生活中的可行性，值得思考。

mxf147

myzuzong 发表于 2011-9-18 16:07
发送Windows Messege这种操作是很常见的，我的“样本”正是使用了常见操作，所以才不被报毒，不被非常严格 ...

我想知道那几个蓝屏的是什么动作

myzuzong

mxf147 发表于 2011-9-18 17:47
我想知道那几个蓝屏的是什么动作

也算不上什么动作，发送的消息本身是没什么害处的，这里利用的是win32k.sys消息分发时调用的某些函数处理特定消息的漏洞，构造特定参数，传入错误内核地址，引发系统崩溃。vista/win7没有这些漏洞。

mxf147

myzuzong 发表于 2011-9-18 18:07
也算不上什么动作，发送的消息本身是没什么害处的，这里利用的是win32k.sys消息分发时调用的某些函数处理 ...

难怪，我在XP虚拟机下测试全部蓝屏了

mxf147

myzuzong 发表于 2011-9-18 18:07
也算不上什么动作，发送的消息本身是没什么害处的，这里利用的是win32k.sys消息分发时调用的某些函数处理 ...

是你自己编的吗？

zxzy

myzuzong 发表于 2011-9-18 16:07
发送Windows Messege这种操作是很常见的，我的“样本”正是使用了常见操作，所以才不被报毒，不被非常严格 ...

表示发送消息因为刷日志在COMODO中没有阻止。但是在MD中顺便阻止了。    你说的那个\Device\MountPointManager，因为是MD内置的规则。 我也无法修改。 在用COMODO的时候， 我都是放行的

mxf147

zxzy 发表于 2011-9-18 18:18
表示发送消息因为刷日志在COMODO中没有阻止。但是在MD中顺便阻止了。    你说的那个\Device\MountP ...

你的系统是XP还是7？

zxzy

mxf147 发表于 2011-9-18 18:20
你的系统是XP还是7？

7.

mxf147

zxzy 发表于 2011-9-18 18:40
7.

蓝屏那几个没起作用？