comodo是否被过？

mxf147

2011-12-14 21:36:44   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   修改文件   \Device\KsecDD   
2011-12-14 21:36:47   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   修改文件   C:\Program Files\StormDate\StormUpdate.dll   
2011-12-14 21:36:49   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   修改文件   C:\Program Files\StormDate\MicroExamin.exe   
2011-12-14 21:36:52   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   修改文件   C:\Program Files\StormDate\Head.bin   
2011-12-14 21:36:55   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   修改注册表项   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroExamin   
2011-12-14 21:36:55   C:\Documents and Settings\Administrator\桌面\test\双击打开\实物细节.exe   创建进程   C:\WINDOWS\system32\verifier.exe   
2011-12-14 21:36:58   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\KsecDD   
2011-12-14 21:37:01   C:\WINDOWS\system32\verifier.exe   修改注册表项   HKUS\S-1-5-21-583907252-688789844-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache   
2011-12-14 21:37:02   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\Afd\Endpoint   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\NamedPipe\ROUTER   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   修改注册表项   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\NamedPipe\ROUTER   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   修改注册表项   HKUS\S-1-5-21-583907252-688789844-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   DNS/RPC 客户端访问   \RPC Control\DNSResolver   
2011-12-14 21:37:07   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\NamedPipe\lsarpc   
2011-12-14 21:37:31   C:\WINDOWS\system32\verifier.exe   修改文件   \Device\NamedPipe\ROUTER   

港岛妹妹

貌似过了

yhjtj

mxf147 发表于 2011-12-14 21:39

少了修改内存，插入线程的关键日志，这是什么软件的日志？

mxf147

yhjtj 发表于 2011-12-14 21:42
少了修改内存，插入线程的关键日志，这是什么软件的日志？

毛豆的日志

swordfeng

楼上，你有看看程序是否会自动启动吗？重启后内存干净就算拦截了

yhjtj

mxf147 发表于 2011-12-14 21:53
毛豆的日志

我用的5.8测试的，你的是版本不同还是做了什么设置？不过最重要的两个动作没有拦截，还是过掉了

h8888

对于COMODO V3.14来说，这些样本只是小菜一碟。

ikarusengine

既然毛豆现在的发展方向是沙盘，那么这方面完全可以向DW学习下，用DW测试，就算是以信任方式运行实物细节.exe,只要加载了StormUpdate.dll，那么实物细节.exe依然被判定为不信任的进程。

mxf147

yhjtj 发表于 2011-12-15 01:03
我用的5.8测试的，你的是版本不同还是做了什么设置？不过最重要的两个动作没有拦截，还是过掉了

5.8自定义规则，不同的Hips日志不一样

h8888

     引用——“众所周知，DW很不错，在防御方面很出色，它能自动找出用户计算机中的不信任程序，并以此作为防御的重点，共享文件、U盘接入、下载相关、一些风险程序。。。DW都严格监控。反观毛豆，它是以信任程序运行的，这存有一定的不足。为此，我们可把DW和毛豆两种防御理念有机结合（白名单和黑名单有机结合），这能使安全性得到明显的提高。用户可先装DW一遍，找出用户计算机里程序的不信任程序，然后记下来并把它们分类（分组），应用到毛豆的规则里面，由于各人的情况不同，下面几张图片只是举例。”


看来，我的担心不是多余的。