comodo怎么防御最近流行的数字签名+病毒dll组合？

yhjtj

我没用comodo，就想了解下大名鼎鼎的comodo怎么防御。
删除内置信任数字签名文件，取消云，强制如沙？还是其他
有谁测试过么？防御效果怎么样？有没有漏掉行为？这样设置后的缺点是什么？

ンァ訫‰ミ

怎么我没感觉到有多流行？

h8888

用早期英文版的comodo，关闭D+，搭上DW，万事大吉！

yhjtj

没人测试过么？本版知名的规则防御效果怎么样？

sanhu35

。。。。随意一个规则都可以防御。   
这是针对智能主防的小儿科。

yhjtj

sanhu35 发表于 2012-3-1 20:01
。。。。随意一个规则都可以防御。   
这是针对智能主防的小儿科。

哦？有图日志么？看看怎么设置，拦截到哪些动作了

sanhu35

yhjtj 发表于 2012-3-1 20:05
哦？有图日志么？看看怎么设置，拦截到哪些动作了

http://bbs.kafan.cn/forum.php?mo ... ;page=2#pid23477438

sanhu35

yhjtj 发表于 2012-3-1 20:05
哦？有图日志么？看看怎么设置，拦截到哪些动作了

不是这个

sanhu35

yhjtj 发表于 2012-3-1 20:05
哦？有图日志么？看看怎么设置，拦截到哪些动作了

http://bbs.kafan.cn/forum.php?mo ... ;page=3#pid23508869




本帖最后由 sanhu35 于 2012-2-28 23:09 编辑


不入组 行为：

2012/2/28 22:52:29    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
命令行: "C:\Users\sanhu35\Desktop\BAOFENGUPDATES\bfUpdate.exe"
规则: [应用程序]c:\windows\explorer.exe

2012/2/28 22:52:29    创建文件夹    阻止
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\系统升级
规则: [文件组]只读磁盘 -> [文件]c:\*

2012/2/28 22:52:30    创建文件    阻止
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: C:\Windows\system32\billlog.dat
规则: [文件组]只读磁盘 -> [文件]c:\*

2012/2/28 22:52:30    结束其他进程    阻止并结束进程
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]进程保护


========================

入病毒测试组

2012/2/28 22:57:23    创建新进程    允许进程: c:\windows\explorer.exe
目标: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
命令行: "C:\Users\sanhu35\Desktop\BAOFENGUPDATES\bfUpdate.exe"
规则: [应用程序]c:\windows\explorer.exe

2012/2/28 22:57:23    加载动态链接库    允许
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: c:\users\sanhu35\desktop\baofengupdates\update.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

  


2012/2/28 22:57:46    创建文件夹    允许
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\系统升级
规则: [应用程序组]『询问』病毒测试 -> [文件]*


2012/2/28 22:58:03    创建文件    允许
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: C:\Windows\system32\billlog.dat
规则: [应用程序组]『询问』病毒测试 -> [文件]*


2012/2/28 22:58:14    结束其他进程    阻止
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]『询问』病毒测试

2012/2/28 22:58:23    访问网络    允许
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: TCP [本机 : 52271] ->  [127.0.0.1 : 1110 (nfsd-status)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/2/28 22:58:35    创建新进程    允许
进程: c:\users\sanhu35\desktop\baofengupdates\bfupdate.exe
目标: c:\windows\system32\userinit.exe
命令行: Userinit.exe
规则: [应用程序组]『询问』病毒测试

yhjtj

sanhu35 发表于 2012-3-1 20:11
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1231785&page=3#pid23508869

朋友，你这是comodo的日志？我看是md的啊

sanhu35

yhjtj 发表于 2012-3-1 20:26
朋友，你这是comodo的日志？我看是md的啊

毛豆也是一样的  

yhjtj

sanhu35 发表于 2012-3-1 20:41
毛豆也是一样的

软件不同，规则不同，怎么会一样的呢？

fovfinal

yhjtj 发表于 2012-3-1 21:35
软件不同，规则不同，怎么会一样的呢？

病毒攻击的原理一样，主要用HIPS防住要害行为嘛

用户名不存在

记得看过调用dll时的弹窗

yhjtj

fovfinal 发表于 2012-3-1 21:42
病毒攻击的原理一样，主要用HIPS防住要害行为嘛

这么说你用comodo防住了，分享下拦截日志吧，规则设置不保密也分享下

fovfinal

yhjtj 发表于 2012-3-1 22:07
这么说你用comodo防住了，分享下拦截日志吧，规则设置不保密也分享下

我自己木有试过，我是看了他的帖子，防御不是成功了嘛

yhjtj

fovfinal 发表于 2012-3-1 22:09
我自己木有试过，我是看了他的帖子，防御不是成功了嘛

那是md的日志，非毛豆

fovfinal

yhjtj 发表于 2012-3-1 22:15
那是md的日志，非毛豆

有些东西可以套用嘛

yhjtj

fovfinal 发表于 2012-3-1 22:17
有些东西可以套用嘛

毛豆会自动信任自有列表中数字签名程序，就算在自有列表中删除了暴风影音的这项，还是会自动信任，md则不会管什么数字签名，你说怎么套用呢？

fovfinal

生成文件的位置对外封锁，禁运？