强行突破360在线云主防(录像下载)，应要求11月15公开样本密码,密码已公开.

bluelaser

footman 发表于 2011-10-8 14:27
MJ说应该是真的，毕竟过comodo默认规则的很多没什么稀奇的，而且comodo区经常有人发样本的，就是奇怪MJ为 ...

早些年那个，根据MJ的片言只语，应该是用了什么非正常方式挂载了驱动。但我的规则监控所有DLL和SYS还有TMP等等之类，没可能创建和修改的话就没可能挂载了。
最近这个，看PDF里貌似是沙盘里用了非正常方式全域挂载输入法，这个也差不多同理，禁运党表示无鸭梨。
禁运，是所有样本的噩梦

Tron

footman 发表于 2011-10-8 14:27
MJ说应该是真的，毕竟过comodo默认规则的很多没什么稀奇的，而且comodo区经常有人发样本的，就是奇怪MJ为 ...

上面不是说了，不是过什么默认规则，而是随便你设什么规则，只要程序能运行，就无视COMODO的一切防护。

过沙箱的那个不是放原理了，有原理其实就可以做了，我也在帖子里说了COMODO工作人员要样本可以私信我，不过没人找我。KILLCIS则是因为不愿意那个攻击原理被泄露

footman

Tron 发表于 2011-10-8 14:28
过的是核心机制，不管什么规则都照过，我在卡饭发的过HIPS的所有样本从来不受任何规则影响，只要代码能运 ...

哦。原来是这样，可是comodo区的不少人都喜欢禁运的，这样应该过不了吧

Tron

footman 发表于 2011-10-8 14:32
哦。原来是这样，可是comodo区的不少人都喜欢禁运的，这样应该过不了吧

禁运也解决不了漏洞的问题，比如IE漏洞，禁运就没一点用

bluelaser

Tron 发表于 2011-10-8 14:31
那个过沙箱的是过HIPS核心机制，跟规则没有关系，你什么驱动都拦截不到，KILLCIS也一样

那个过沙箱的连 ...

全局禁运呢？
你任何文件都添加不到硬盘和内存中，我会把他们隔离在sandboxie里面，而且全面禁运。

Tron

bluelaser 发表于 2011-10-8 14:31
早些年那个，根据MJ的片言只语，应该是用了什么非正常方式挂载了驱动。但我的规则监控所有DLL和SYS还有 ...

不是什么挂在驱动，只要代码能执行，就能过COMODO所有的保护，完全无视监控，你规则里设置监控什么都无效。

禁用我上面也说了，除非你禁运一切，连WINDOWS自己都别运行，否则一样可以

footman

Tron 发表于 2011-10-8 14:31
那个过沙箱的是过HIPS核心机制，跟规则没有关系，你什么驱动都拦截不到，KILLCIS也一样

那个过沙箱的连 ...

嗯。comodo沙盒的规则是内置的，只要在沙盒内运行了，D+的规则是管不到的，所以我一直是把它的沙盒关掉的

footman

Tron 发表于 2011-10-8 14:31
那个过沙箱的是过HIPS核心机制，跟规则没有关系，你什么驱动都拦截不到，KILLCIS也一样

那个过沙箱的连 ...

嗯。comodo沙盒的规则是内置的，只要在沙盒内运行了，D+的规则是管不到的，所以我一直是把它的沙盒关掉的

bluelaser

Tron 发表于 2011-10-8 14:33
禁运也解决不了漏洞的问题，比如IE漏洞，禁运就没一点用

我不用IE，用火狐的……

再说了，沙盘里也是禁运的，就是只允许浏览器进程运行，并且只能加载原先程序文件夹的东西。

myzuzong

footman 发表于 2011-10-8 14:32
哦。原来是这样，可是comodo区的不少人都喜欢禁运的，这样应该过不了吧

禁运，也就谈不上“过”了。代码都没运行，攻防意义何在。用hips禁运还不如自己用大脑禁运，不去运行就是了。