comodo怎么防御最近流行的数字签名+病毒dll组合？

qqq123123

试过这个规则么？http://bbs.kafan.cn/thread-1130623-1-1.html好久没用毛豆，机子上么得，你导入下试试看能不能防住！···在开云的前提下，看看能不能防住···

yhjtj

qqq123123 发表于 2012-3-2 20:33
试过这个规则么？http://bbs.kafan.cn/thread-1130623-1-1.html好久没用毛豆，机子上么得，你导入下试试看能 ...

昨晚上虚拟机导入试了，记不清了，应该是防不了的。
用毛豆使用，太麻烦，要去掉云，删掉数字签名，受信任文件，你试试吧，我不想试了，新版本太麻烦。

qqq123123

yhjtj 发表于 2012-3-2 20:40
昨晚上虚拟机导入试了，记不清了，应该是防不了的。
用毛豆使用，太麻烦，要去掉云，删掉数字签名，受信 ...

根据此类病毒行为，规则应该是没问题的- -！···就算开云了也无碍的，D+里面封死了最核心的操作！···你导入再试试看···

GoldJune

yhjtj 发表于 2012-3-2 18:23
开了，没用，要不你试试？
我还关掉了云选项，清空了受信任文件和信任的数字签名列表，结果出了鬼了，还 ...

疯狂模式应该不会理睬云的，只要没有规则的都会提示

yhjtj

GoldJune 发表于 2012-3-3 15:52
疯狂模式应该不会理睬云的，只要没有规则的都会提示

自己试试吧
我开疯狂，没有用

bluelaser

DLL文件加入可执行文件列表，全部监控，再把系统的DLL一个个加入白名单里，就看你有没有这个耐心了我VISTA X64要加两个文件夹里的，一个SYSTEM32的，一个SYSWOW64的。累死我了。

yhjtj

bluelaser 发表于 2012-3-5 01:28
DLL文件加入可执行文件列表，全部监控，再把系统的DLL一个个加入白名单里，就看你有没有这个耐心了我 ...

这个病毒加载的是系统外的dll，全部监控又怎样，一个数字签名程序加载每个dll，你都要检测无毒后再点下允许么？就算如此，这个dll刚出来的时候没有杀软能杀的，你还是会加载他的。。。。
毛豆加白名单不清楚，不是在注册表加入么？
必须要毛豆界面加入的话，通过程序获得dll文件列表后，可以试下按键精灵，可以自动加入哦，

pen

bluelaser 发表于 2012-3-5 01:28
DLL文件加入可执行文件列表，全部监控，再把系统的DLL一个个加入白名单里，就看你有没有这个耐心了我 ...

以这种方式解决问题，很难使用

毛豆只能监控加载了dll之后的exe的行为，而不能直接监控加载dll的行为。这一点的确不如MD

bluelaser 发表于 2012-3-5 01:28
DLL文件加入可执行文件列表，全部监控，再把系统的DLL一个个加入白名单里，就看你有没有这个耐心了我 ...

5.x根本就无视动态链接库，你添加的再多也没用

唯一能做的只有封死可执行程序的行为


5.x只能监控进程，而无视线程模块