求个规则，CLT能上340分的！

显示全部楼层 · 发表于 2012-6-6 13:18:04

柯林发表于 2012-6-6 13:14
CIS，默认规则，进沙盘，应该能满分。

不行，有一個得禁運 explorer.exe

显示全部楼层 · 发表于 2012-6-6 13:20:21

柯林发表于 2012-6-6 13:14
CIS，默认规则，进沙盘，应该能满分。

哦，开那沙盘很容易满分吗？

显示全部楼层 · 发表于 2012-6-6 13:23:33

a256886572008 发表于 2012-6-6 13:18
不行，有一個得禁運 explorer.exe

win7 cps也只有330 （不知道是否5.10的问题）
xp 记得满分的（5.8时候）

显示全部楼层 · 发表于 2012-6-6 13:24:42

moguimax 发表于 2012-6-6 13:20
哦，开那沙盘很容易满分吗？

现在的版本，貌似有一项——挂起explorer的线程无法通过，以前的版本5.8没问题

显示全部楼层 · 发表于 2012-6-6 13:38:42

本帖最后由 a256886572008 于 2012-6-6 13:52 编辑

柯林发表于 2012-6-6 13:23
win7 cps也只有330 （不知道是否5.10的问题）
xp 记得满分的（5.8时候）

explorer as parent

就是這一個，DCOM 服務的漏洞。

那個官方還搞不懂情況，一直和我說測這個，要手動HIPS (就是要禁運explorer.exe)

我的認定是，沙盤被這樣的方法穿破。

DW不錯，IE 沒強制入沙，照樣能不信任那個IE。

-------------
補充一下，進程樹狀圖：

CLT.exe --> explorer.exe

然後svchost.exe --> IE

------------------
只是，目前還沒看到利用此方法的病毒。

---------------------
剛剛測了一下，發現是部份限制沒有攔截這個動作

2012-06-06 13:51:52 C:\WINDOWS\explorer.exe Access Memory C:\WINDOWS\explorer.exe

显示全部楼层 · 发表于 2012-6-6 15:45:05

a256886572008 发表于 2012-6-6 13:38
explorer as parent

就是這一個，DCOM 服務的漏洞。

低权限不存在此问题

显示全部楼层 · 发表于 2012-6-6 15:55:50

系统自带cps规则不开沙盘不做任何修改就满分了关键是要易用啊

显示全部楼层 · 发表于 2012-6-6 16:22:49

柯林发表于 2012-6-6 13:14
CIS，默认规则，进沙盘，应该能满分。

卡巴程序权限控制稍作修改也可以

显示全部楼层 · 发表于 2012-6-6 19:13:17

本帖最后由柯林于 2012-6-6 19:32 编辑

firefox3 发表于 2012-6-6 16:22
卡巴程序权限控制稍作修改也可以

所以说，仅供参考，实际效果，测样本才是真的。

譬如说，卡巴最近才逮到火焰病毒，糗大了，无论是杀或主防，都败了。还是那两句老话

1、没有绝对的安全，再牛的规则都可能被穿

2、双方是一场漫长的竞赛，新病毒技术出来后，大家才又学聪明了一点

显示全部楼层 · 发表于 2012-6-6 20:41:37

有用吗？

[求助] 求个规则，CLT能上340分的！