。。。。。。。。。。。。。。。。。。对COMODO失望至极

amalacc

这年头，在卡饭千万别说实话。

mijel

此敏感帖，容易口水

myzuzong

a256886572008 发表于 2011-10-12 13:53
這種 自己可以改回來的 惡作劇動作  又不用防。

如果要比智能，看看這帖

就你提到的360而言，当然是点阻止。因为rundll32.exe是白文件，360是不会弹窗的，正因为样本文件执行rundll32.exe，所以才会弹窗。360的智能在于，只要是弹窗，可以一律点阻止，而不应该弹窗的基本不弹。

a256886572008

myzuzong 发表于 2011-10-12 16:36
就你提到的360而言，当然是点阻止。因为rundll32.exe是白文件，360是不会弹窗的，正因为样本文件执行rund ...

你搞錯了， rundll32.exe 不是被樣本文件執行的。

他本身就是病毒進程

一般用戶看到父進程是 rundll32.exe ，肯定點允許的。

----------------------------------------------
comodo auto sandbox 的思路是，高危動作直接自動阻止不彈框。(既然都高危害了，還彈框問用戶作什麼？)

低危害動作，為了讓部份未知程序能正常操作，彈框讓用戶點允許。

當然，這些低危害彈框，設置那邊讓用戶選擇  預先  阻止或允許，以後就 comodo 幫你點了。

myzuzong

a256886572008 发表于 2011-10-12 17:01
你搞錯了， rundll32.exe 不是被樣本文件執行的。

他本身就是病毒進程

位于%systemroot%\system32下的rundll32.exe，如果不被修改，怎么可能是病毒进程。

hddgmon

因为现在的comodo可以说是建立在沙盘的基础之上了。沙盘不漏即使有了问题影响也非常小。但如果沙盘漏了，那从某种意义上来看就是另外一个方面的问题了。
所以我还是支持comodo将沙盘为中心规则限制为辅助的方式，这样大大减少了普通用户的操作复杂度

a256886572008

hddgmon 发表于 2011-10-12 17:12
因为现在的comodo可以说是建立在沙盘的基础之上了。沙盘不漏即使有了问题影响也非常小。但如果沙盘漏了，那 ...

漏的可不是沙盤而已，而是整個 D+

bluelaser

x64系统的HIPS就这个好用了，其它还有啥？

a256886572008

myzuzong 发表于 2011-10-12 17:07
位于%systemroot%\system32下的rundll32.exe，如果不被修改，怎么可能是病毒进程。

1.
你居然抓到  手動HIPS 的 bug 了，我有空測試下。

2.
我說一下，為何 rundll32.exe 本身是病毒進程。

因為，看你給的圖，對於其他 HIPS 來說，父進程 並不是 .cpl文件，而是 rundll32.exe。

因為那先傳統HIPS，沒有命令行檢測的功能。

hddgmon

a256886572008 发表于 2011-10-12 17:14
漏的可不是沙盤而已，而是整個 D+

俺的意思是如果comodo软件不出问题，那么用户就可以被保护。
这是一个很好的思想。将对普通用户的攻击转移到了对comodo杀软程序员的攻击上来。让专家来解决问题，让用户来享受服务。而不是让用户来研究如何判定弹窗的本质或者如何限制软件的安装过程。