comodo对自启动程序的拦截问题

柯林

comodo究竟是不能防，还是自动规则的安全模式放水了？要真相！

欢迎各位参加测试，用实测进行讨论——凡是你想到的各种测试方法，传上实测结果。

附上一个简单的测试程序——删除本目录内的全部文件，请有兴趣的豆油实测一下。

方法：1、非系统盘建一个测试目录，往目录里弄进一些文件，把该程序解压后放进目录里
2、分别将该程序放入开机自动项乃至系统服务的注册表键值，然后重启计算机，看目录内的文件有没删除，就知道该程序是否被隔离进沙盘（可与日志对照，如果日志记录入沙和拦截，而文件却被删除，那就是漏了）

以上，是测试的默认规则的自动处理的智能机制。手动规则用户也可以自己测试一下，看究竟是毛豆本身放水，还是规则问题（自动规则的缺陷）？自动规则用户也可以调到疯狂模式看看。

附件：

该程序由批处理转化而来，其代码如下：
del /f /s /q .\*
pause
exit

bsun

我用毛豆拦了一个自启动。具体是打开IE时，IE会在注册表自启动项写入开机自启动网上收音机，我用毛豆禁了。打开IE时，会再问IE要启动收音机，我用就放，不听时就禁。

zlf719152253

测试条件：win7，默认CPS规则，添加为系统服务项（启动项没试，肯定会拦截）
添加为服务启动项

直接手动启动会弹窗，不会被沙盘隔离，可以看到它会在C:\windows\temp下建立一个临时文件夹

下面开始准备重启系统，首先看下C:\windows\temp下

重启之后

很明显是运行了的。但是这在电脑里是未知程序，而且未建立任何规则
如果手动双击运行，直接沙盘隔离

所以，我的结论是，
服务项里的启动不会被沙盘隔离（除非强制入沙）
服务项里启动COMODO未拦截
另外还要说一下，柯大提供的程序不能运行，出错了，就算信任运行也只会有上面的这一个动作，还有一点，关于添加服务项，我用的程序都是只能添加，但是不能成功启动，一般都是提示长时间未响应，但是在进程里可以看到程序运行之后又停止

柯林

zlf719152253 发表于 2012-6-17 22:29
测试条件：win7，默认CPS规则，添加为系统服务项（启动项没试，肯定会拦截）
添加为服务启动项

手动运行测试没意义，要的就是开机启动过程中是否拦截的测试。

那个东东在转换过程中出问题了，重传了一下，这回可以运行。

柯林

测试环境：系统XP SP3   安防软件COMODO防火墙（只此一个）[版本5.10]
测试条件：comodo默认规则CIS  系统运行于Administrator
测试内容：测试删除程序tst.exe在自启动过程中是否被毛豆拦截（入沙）

测试步骤：第一步，在D盘创建一个test文件夹，放入测试文件（见下图）

热身运动：首先，在登录进系统的情况下，点击tst.exe，结果被沙盘隔离（见下图），说明该程序没有判白，是个很好的测试对象。

【由于默认规则只保护可执行文件，tst.exe虽然入沙，test目录内的文件还是被删除了。所以，我们要加FD全局?:\*保护】

第一项测试：开始菜单自启动测试
将test目录内的tst.exe创建一个快捷方式到桌面，把桌面上的这个快捷方式复制到C:\Documents and Settings\用户名\「开始」菜单\程序\启动里，重启计算机
结果，tst.exe开机就运行了（毛豆进程的图标还未出现，它就跳出来了）

结果，悲剧了，没有入沙：

文件全删了：


第二项测试：注册表run启动测试
给测试程序添加开机启动项：

重启计算机，开机跳出dos窗口，显示一串删除信息，然后窗口自动消失，查看test目录里文件还在，看日志-无——毛豆图形进程尚未完全启动，还来不及记日志或未入沙程序无日志（此例无日志是因为未入沙）

根据dos窗口显示显示，是tst.exe释放tst.bat到%Temp%里执行;C:\VritualRoot里没有任何内容；虽未删除D:\test里的文件，但是dos窗口显示的，tst.bat已经在%Temp%里无隔离地执行了，判定防御失败（特地把一些文件放到%Temp%里，开机后被删掉了），根据cmd调用的conime.exe显示，确实没有入沙：

【为了验证是否是沙盘等级所致，特地将沙盘等级调高，结果：从部分限制到不信任到阻止，都无用】

结论：comodo在默认安装的自动规则下，对于自启动程序没有拦截。一个程序设为开机自启动程序，就意味着穿破comodo了。这一结果确实令人大跌眼镜！至于手动党的全局禁运规则是否可以防御，请手动党测试。

相比于win7的Applocker，乃至于xp等的软件禁运，comodo的不拦自启动程序，实在是太倒胃口了，本来还想再测试一个以服务的方式启动，已经没必要和兴趣了。

ps：有心为comodo翻案的，请切换到疯狂模式下尝试，如果还无果，请重新安装comodo并在一开头就不要勾选让comodo自动回答绝大多数问题，看结果是否有改观。

zlf719152253

柯林 发表于 2012-6-18 21:49
测试环境：系统XP SP3   安防软件COMODO防火墙（只此一个）[版本5.10]
测试条件：comodo默认规则CIS  系统 ...

可能是系统不同的原因，我的win7对启动项拦截很好，在之前的问题“这个未知文件怎么能运行？”中我也已经把未知文件从启动项到服务项都试了一遍，只有服务项会出现毛豆不拦截，启动项正常（只有一次出现未入沙情况，但被D+拦截）。
还有，你在4楼说手动运行没意义，我觉得不是，当我手动启动该服务项时，不会入沙会但会被D+拦截，自动启动时除非强制入沙否则毛豆不会拦截。我觉得这是毛豆的沙盘本身问题，由系统运行的程序它不管（除了强制入沙）
还有，楼主的这个程序不要用于服务项的测试，因为服务项启动的权限比较高，命令行会转到c:\windows\system32目录，会删除目录下的文件

柯林

zlf719152253 发表于 2012-6-20 13:03
可能是系统不同的原因，我的win7对启动项拦截很好，在之前的问题“这个未知文件怎么能运行？”中我也已 ...

"这是毛豆的沙盘本身问题，由系统运行的程序它不管"

这不合逻辑，按照默认规则的机制，第一步，就是文件验证，只要验证通不过的，就自动隔离，不管是谁启动的该程序（创建的该进程），除非用户选择不再隔离该程序或者手动移入信任区。如果系统程序启动的它就不管，那早被N多病毒穿破了——发出命令，让系统程序启动病毒生成物的病毒母体多了去了。
自启动不隔离，就是问题——也许它故意这么设置（防水），也许是策略性沙盘的bug。
win7没测过，不评论，可能与win7对权限限制较严有关——启动过程中，UAC还来不及弹窗而默认拒绝。

zlf719152253

柯林 发表于 2012-6-20 13:16
"这是毛豆的沙盘本身问题，由系统运行的程序它不管"

这不合逻辑，按照默认规则的机制，第一步，就是文 ...

看一个试验，在win7下，先双击启动winrar（普通权限），运行你的测试程序，如图，沙盘隔离：

再换右键管理员权限，运行，沙盘不起作用：

所以，我可能要更正一下，在win7下，毛豆沙盘对管理员权限以上运行的程序不拦截（除强制入沙）

柯林

zlf719152253 发表于 2012-6-20 13:41
看一个试验，在win7下，先双击启动winrar（普通权限），运行你的测试程序，如图，沙盘隔离：

再换右键 ...

这个问题可以继续讨论

对于结论“在win7下，毛豆沙盘对管理员权限以上运行的程序不拦截”，个人觉得不合逻辑，如果毛豆是这样的设计，那就是个渣，安全已经毫无保障

柯林

zlf719152253 发表于 2012-6-20 13:41
看一个试验，在win7下，先双击启动winrar（普通权限），运行你的测试程序，如图，沙盘隔离：

再换右键 ...

下样本多测试几个，并与其它豆油对照，确认不是个例问题。如结论确实成立，请向官方反馈这一漏洞。