。。。。。。。。。。。。。。。。。。对COMODO失望至极

显示全部楼层 · 发表于 2011-10-12 17:24:12

本帖最后由 myzuzong 于 2011-10-12 17:25 编辑

a256886572008 发表于 2011-10-12 17:17
1.
你居然抓到手動HIPS 的 bug 了，我有空測試下。

我理解你的意思，就是做出有害动作的是rundll32.exe，如果没有命令行检测，只是看到一个进程名字，确实会导致无法判断。主要是对于样本.cpl ——> rundll32.exe ——> （其他进程）——> 动作这样的执行链来说，如果仅仅给出父进程是rundll32.exe，着实不利，如果能给出“爷”进程，就知道动作最初是谁发出的了。

显示全部楼层 · 发表于 2011-10-12 17:29:00

本帖最后由 a256886572008 于 2011-10-12 17:29 编辑

myzuzong 发表于 2011-10-12 17:24
我理解你的意思，就是做出有害动作的是rundll32.exe，如果没有命令行检测，只是看到一个进程名字，确实 ...

就我所知，目前只有 comodo 和 kaspersky 才有命令行檢測的功能。

有了該功能，就不用加一堆限制系統程序的無聊規則了。

舉個例子：
vbs 腳本

显示全部楼层 · 发表于 2011-10-12 17:47:28

a256886572008 发表于 2011-10-12 17:29
就我所知，目前只有 comodo 和 kaspersky 才有命令行檢測的功能。

有了該功能，就不用加一堆限 ...

我跟你观点一直。从来不胡乱限制“系统程序”

显示全部楼层 · 发表于 2011-10-12 17:54:16

a256886572008 发表于 2011-10-12 17:29
就我所知，目前只有 comodo 和 kaspersky 才有命令行檢測的功能。

有了該功能，就不用加一堆限 ...

MD没有么? 还是我记错了?

显示全部楼层 · 发表于 2011-10-12 18:17:36

yexiaofan1 发表于 2011-10-12 17:54
MD没有么? 还是我记错了?

MD 沒有

显示全部楼层 · 发表于 2011-10-12 18:20:41

360 好吧你赢了

显示全部楼层 · 发表于 2011-10-12 19:16:53

本帖最后由九尾野狐于 2011-10-14 09:26 编辑

有个NB举报你了，说诋毁安软
哈哈哈哈哈哈哈

显示全部楼层 · 发表于 2011-10-12 19:39:14

可笑，某人诋毁某安软次数不少。原来只许州官放火，不许百姓点灯！
抓抓做规则时，某人还不知道干啥呢！

显示全部楼层 · 发表于 2011-10-12 19:55:27

是啊，你不用64位系统可选空间本来就大，可我们这些64位用户除了毛豆别无他选

显示全部楼层 · 发表于 2011-10-12 20:07:00

a256886572008 发表于 2011-10-12 17:01
你搞錯了， rundll32.exe 不是被樣本文件執行的。

他本身就是病毒進程

谷歌的可运行程序里面有rundll32.exe，是怎样的？？阻止嘛？

[讨论] 。。。。。。。。。。。。。。。。。。对COMODO失望至极

评分