comodo怎么防御最近流行的数字签名+病毒dll组合？

显示全部楼层 · 发表于 2012-4-1 14:44:54

UDady 发表于 2012-4-1 12:07
谢谢，有空再试试

http://bbs.kafan.cn/thread-486500-1-1.html
还有其他的教程老帖了，不好找
搜索dw试试

显示全部楼层 · 发表于 2012-4-4 20:57:15

疯狂模式+沙盒，才能安心，这问题就更本不是问题
默认模式中可不可以防止这问题，因为看不到纪录，就很难判断了

但事实上
毛豆的每一次升级
都针对各种漏洞进行修正
用疯狂模式的高手应都能够发现
因为每一次升级都要调整规则～累死了
譬如5.10中便针对了COM接口漏洞进行控制

显示全部楼层 · 发表于 2012-4-6 13:30:06

本帖最后由 bluelaser 于 2012-4-6 13:31 编辑

Shinyjp 发表于 2012-4-1 01:24
5.x根本就无视动态链接库，你添加的再多也没用

唯一能做的只有封死可执行程序的行为

如果是完全无视动态链接库，为什么我会出现XXX.dll要修改注册表或是XXX.DLL要访问COM接口之类的提示？而且允许并记住规则后，D+规则里出现的是XXX.DLL的规则。

如果照你的说法，5.x的D+规则里加载钩子的规则岂不完全是摆设？

显示全部楼层 · 发表于 2012-4-6 18:39:50

bluelaser 发表于 2012-4-6 13:30
如果是完全无视动态链接库，为什么我会出现XXX.dll要修改注册表或是XXX.DLL要访问COM接口之类的提示？而 ...

dll和钩子根本是两码事，毛豆能监控的只有进程，而进程下的模块行为被判定为其父进程，你说的那种情况应该是那个dll作为进程运行的而不是作为模块被加载

显示全部楼层 · 发表于 2012-4-6 23:45:54

本帖最后由 bluelaser 于 2012-4-6 23:47 编辑

Shinyjp 发表于 2012-4-6 18:39
dll和钩子根本是两码事，毛豆能监控的只有进程，而进程下的模块行为被判定为其父进程，你说的那种情况应该 ...

这些是在运行一些程序时出现的，应该不是单独模块吧？

显示全部楼层 · 发表于 2012-4-7 08:36:29

bluelaser 发表于 2012-4-6 23:45
这些是在运行一些程序时出现的，应该不是单独模块吧？

桌面真好看,不知到是什么软件呢?

显示全部楼层 · 发表于 2012-4-10 11:52:49

raider520 发表于 2012-4-7 08:36
桌面真好看,不知到是什么软件呢?

一个全透明主题而已。

[讨论] comodo怎么防御最近流行的数字签名+病毒dll组合？