穿破 comodo v5.10 (.hta 文件)

显示全部楼层 · 发表于 2012-6-4 20:11:29

柯林发表于 2012-6-4 20:00
可能我记错了，楼主发了两个，大概是第一个。第二个只有一个画面，应该只有一个东东。

额，第二个没试了。这个东西，win7下貌似可以直接把mshta.exe禁运啊。

我刚看了下我的规则，用了几年了，从来没碰到过要用到这个的，一直在禁运黑名单里～

显示全部楼层 · 发表于 2012-6-4 20:16:37

Couphine 发表于 2012-6-4 20:11
额，第二个没试了。这个东西，win7下貌似可以直接把mshta.exe禁运啊。

我刚看了下我的规则，用了几年 ...

禁运mshta就玩完了
xp下，印象中添加或修改账户时，需要用到mshta

显示全部楼层 · 发表于 2012-6-4 20:19:29

柯林发表于 2012-6-4 20:16
禁运mshta就玩完了
xp下，印象中添加或修改账户时，需要用到mshta

额，XP总共用了不到2年，那还是02年的事情了。。。还真没考虑到这个问题

显示全部楼层 · 发表于 2012-6-4 20:26:55

虚拟机复测，禁运mshta后，双击控制面板上的“用户账户”时，无反应，打不开配置界面（xp）。

显示全部楼层 · 发表于 2012-6-4 20:36:35

柯林发表于 2012-6-4 20:16
禁运mshta就玩完了
xp下，印象中添加或修改账户时，需要用到mshta

沒錯，會用到 mshta.exe

看來禁運也不是好辦法。

显示全部楼层 · 发表于 2012-6-4 20:38:28

a256886572008 发表于 2012-6-4 20:36
沒錯，會用到 mshta.exe

看來禁運也不是好辦法。

问题是毛豆认不出，无法自动隔离，只能禁运了——修改帐户时临时解禁。

显示全部楼层 · 发表于 2012-6-4 20:42:30

柯林发表于 2012-6-4 20:38
问题是毛豆认不出，无法自动隔离，只能禁运了——修改帐户时临时解禁。

因為 svchost.exe 執行 mshta.exe 時的命令行，的確沒標示 .hta文件(用 Malware Defender 檢查過了)

不知道 defensewall 如何處理？

显示全部楼层 · 发表于 2012-6-4 20:43:25

本帖最后由闪电战于 2012-6-4 20:48 编辑

.hta的应用我想起来有一例，Visual Studio 2010 Express的ISO里就有一个setup.hta
一运行就被COMODO扔自动沙盘里

显示全部楼层 · 发表于 2012-6-4 20:43:24

柯林发表于 2012-6-4 20:26
虚拟机复测，禁运mshta后，双击控制面板上的“用户账户”时，无反应，打不开配置界面（xp）。

XP下此处要用到mshta.exe，Win7还没碰到
在XP下我直接把hh.exe和mshta.exe扔进软件限制策略的基本用户里
但Win7下行不通，基本用户好象已经等同于不允许

显示全部楼层 · 发表于 2012-6-4 20:43:27

本帖最后由闪电战于 2012-6-4 20:48 编辑

发重了编辑掉

[BUG] 穿破 comodo v5.10 (.hta 文件)