楼主: a256886572008
收起左侧

[BUG] 完美穿破 comodo 5.8 RC2

   关闭 [复制链接]
qqq123123
发表于 2011-10-1 18:17:03 | 显示全部楼层
a256886572008 发表于 2011-10-1 18:02
版主,你們是用  safe mode 測試,還是 paranoid mode 測試 ?





白名单也入沙···开沙盒后给最高权限仍然无法正常使用,除非改动全局规则···灰常郁闷···

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Shinyjp 该用户已被删除
发表于 2011-10-1 18:22:48 | 显示全部楼层
qqq123123 发表于 2011-10-1 17:57
越到最后发现规则越简单越好!···

+1

而且冗长的规则容易出现作用重复的项目
sanhu35
发表于 2011-10-1 18:38:19 | 显示全部楼层
2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
值: 0x00000000(0)
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies*

2011-10-1 18:33:58    创建新进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC STOP "aswUpdSv
规则: [应用程序组]{特权}系统程序 -> [子应用程序]『禁运』黑名单

2011-10-1 18:33:58    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*

2011-10-1 18:33:59    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Classes\CLSID\*

2011-10-1 18:33:59    创建文件夹    阻止
进程: c:\windows\system32\rundll32.exe
目标: C:\ProgramData
规则: [应用程序组]{特权}系统程序 -> [文件组]保护根目录

2011-10-1 18:33:59    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\File
值: C:\ProgramData\IMG_27092011_141340_JPG.cpl
规则: [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
mxf147
发表于 2011-10-1 18:39:59 | 显示全部楼层
sanhu35 发表于 2011-10-1 18:38
2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL ...

MD提示的是Rundll32.exe,COMODO提示的是Shell32.lll
a256886572008
 楼主| 发表于 2011-10-1 18:41:32 | 显示全部楼层
本帖最后由 a256886572008 于 2011-10-1 18:42 编辑
qqq123123 发表于 2011-10-1 18:17
白名单也入沙···开沙盒后给最高权限仍然无法正常使用,除非改动全局规则···灰常郁闷···


不用改規則,直接把  文件移動到信任列表即可。

下次他啟動,直接信任
a256886572008
 楼主| 发表于 2011-10-1 18:49:03 | 显示全部楼层
sanhu35 发表于 2011-10-1 18:38
2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL ...

可以給一下  explorer.exe 運行 rundll32.exe 時的 命令行嗎?

智琛
发表于 2011-10-1 18:51:09 | 显示全部楼层
qqq123123 发表于 2011-10-1 17:44
那个网页无法打开- -!···能否上传个···

汗。改成http
sanhu35
发表于 2011-10-1 18:52:05 | 显示全部楼层
本帖最后由 sanhu35 于 2011-10-1 18:52 编辑
a256886572008 发表于 2011-10-1 18:49
可以給一下  explorer.exe 運行 rundll32.exe 時的 命令行嗎?


调用shelll32去注册 CPL的

2011-10-1 18:50:31    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" shell32.dll,Control_RunDLL "C:\Documents and Settings\Administrator\桌面\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl",
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\rundll32.exe
智琛
发表于 2011-10-1 18:52:22 | 显示全部楼层
mxf147 发表于 2011-10-1 17:47

寒。竟然剽窃偶的劳动成果
刚刚发现你们根本就木想到http这东西。。。
a256886572008
 楼主| 发表于 2011-10-1 18:54:59 | 显示全部楼层
sanhu35 发表于 2011-10-1 18:52
调用shelll32去注册 CPL的

2011-10-1 18:50:31    创建新进程    允许

原來comodo被穿破,真的是命令行檢測有 bug
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 05:39 , Processed in 0.100246 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表