完美穿破 comodo 5.8 RC2

qqq123123

a256886572008 发表于 2011-10-1 18:02
版主，你們是用  safe mode 測試，還是 paranoid mode 測試 ？

白名单也入沙···开沙盒后给最高权限仍然无法正常使用，除非改动全局规则···灰常郁闷···

qqq123123 发表于 2011-10-1 17:57
越到最后发现规则越简单越好！···

+1

而且冗长的规则容易出现作用重复的项目

sanhu35

2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
值: 0x00000000(0)
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies*

2011-10-1 18:33:58    创建新进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC STOP "aswUpdSv
规则: [应用程序组]｛特权｝系统程序 -> [子应用程序]『禁运』黑名单

2011-10-1 18:33:58    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper objects*

2011-10-1 18:33:59    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Classes\CLSID\*

2011-10-1 18:33:59    创建文件夹    阻止
进程: c:\windows\system32\rundll32.exe
目标: C:\ProgramData
规则: [应用程序组]｛特权｝系统程序 -> [文件组]保护根目录

2011-10-1 18:33:59    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\File
值: C:\ProgramData\IMG_27092011_141340_JPG.cpl
规则: [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

mxf147

sanhu35 发表于 2011-10-1 18:38
2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL ...

MD提示的是Rundll32.exe，COMODO提示的是Shell32.lll

a256886572008

qqq123123 发表于 2011-10-1 18:17
白名单也入沙···开沙盒后给最高权限仍然无法正常使用，除非改动全局规则···灰常郁闷···

不用改規則，直接把  文件移動到信任列表即可。

下次他啟動，直接信任

a256886572008

sanhu35 发表于 2011-10-1 18:38
2011-10-1 18:33:15    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL ...

可以給一下  explorer.exe 運行 rundll32.exe 時的 命令行嗎？

智琛

qqq123123 发表于 2011-10-1 17:44
那个网页无法打开- -！···能否上传个···

汗。改成http

sanhu35

a256886572008 发表于 2011-10-1 18:49
可以給一下  explorer.exe 運行 rundll32.exe 時的 命令行嗎？

调用shelll32去注册 CPL的

2011-10-1 18:50:31    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" shell32.dll,Control_RunDLL "C:\Documents and Settings\Administrator\桌面\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl",
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\rundll32.exe

智琛

mxf147 发表于 2011-10-1 17:47

寒。竟然剽窃偶的劳动成果
刚刚发现你们根本就木想到http这东西。。。

a256886572008

sanhu35 发表于 2011-10-1 18:52
调用shelll32去注册 CPL的

2011-10-1 18:50:31    创建新进程    允许

原來comodo被穿破，真的是命令行檢測有 bug