comodo对自启动程序的拦截问题

zlf719152253

柯林 发表于 2012-6-20 13:56
下样本多测试几个，并与其它豆油对照，确认不是个例问题。如结论确实成立，请向官方反馈这一漏洞。

不敢用病毒试，我用了本机上的几个无法识别的小软件，结果都是一样的。我不是专门折腾毛豆的，太麻烦了，其他留给柯大你们这些老手研究吧！沙盘我一直sandboxie，不过还是希望COMODO能够做好沙盘

柯林

zlf719152253 发表于 2012-6-20 14:17
不敢用病毒试，我用了本机上的几个无法识别的小软件，结果都是一样的。我不是专门折腾毛豆的，太麻烦了， ...

谁都有权利和兴趣进行测试

有问题就是有问题，客观存在的东西无法回避

mb147258

柯林 发表于 2012-6-20 16:43
谁都有权利和兴趣进行测试

有问题就是有问题，客观存在的东西无法回避

支持楼主

qinnan

中午找台电脑试试

qinnan

win7 uac最高 管理员账户 毛豆默认cis 双安全模式 受保护文件夹添加？:*|规则  d+设置:启用增强保护模式 将无法识别的文件低权限级别 测试拦截成功 临时目录的tet.bat低权限级别运行 右键以管理员身份运行程序 临时目录的tet.bat也是入沙 但是自动变成部分限制级别 移除受保护文件中的？:*| 双击文件 目录里的文件被删除（.exe文件还在） 重启不赶试了 会删除系统目录文件 不是自己的电脑且是实机 只能这样测了 结论就是可入沙 但是受保护文件未添加的 不受保护 手机输入的 说的能不清楚 仅供楼下参考

柯林

qinnan 发表于 2012-6-21 10:53
win7 uac最高 管理员账户 毛豆默认cis 双安全模式 受保护文件夹添加？:*|规则  d+设置:启用增强保护模式 将 ...

个人测试多次，结果都是无用，加FD全局无用，沙盘最高等级无用，疯狂模式无用，结论是不行
你说的这个例子，按表述，实际上是UAC的拦截——批处理文件要运行，UAC都会弹cmd要更改本机文件的提示

如果UAC拦截之后，毛豆真的把测试bat隔离了，那真是大跌眼镜——合理的解释貌似就是：毛豆驱动启动时，只有基本的自保等拦截，只有等到cfp.exe启动了，读入注册表里的规则，转交给驱动，才按规则实施拦截。靠，要是这个样子的话，在cfp.exe启动之前，就是一个没有防护能力的真空区。毛豆要是这样设计，也太失败了！

zlf719152253

qinnan 发表于 2012-6-21 10:53
win7 uac最高 管理员账户 毛豆默认cis 双安全模式 受保护文件夹添加？:*|规则  d+设置:启用增强保护模式 将 ...

你的结果是对的，但是你没看的我上面说的，请不要直接右键管理员运行，你可以右键管理员运行winrar，再通过winrar运行该程序，结果是不会被沙盘隔离。

qinnan

柯林 发表于 2012-6-21 11:38
个人测试多次，结果都是无用，加FD全局无用，沙盘最高等级无用，疯狂模式无用，结论是不行
你说的这个例 ...

我看日志里 确实是入沙了 开机以后手动运行bat运行 uac没有提示啊 按道理说应该系统启动时毛豆的服务就该启动了呀 多来几个人测试 看看结果怎么样 不会真是毛豆有问题吧

柯林

qinnan 发表于 2012-6-21 12:03
我看日志里 确实是入沙了 开机以后手动运行bat运行 uac没有提示啊 按道理说应该系统启动时毛豆的服务就该 ...

开机后手动运行测试程序，毫无意义，必须以自启动的方式进行测试。

qinnan

zlf719152253 发表于 2012-6-21 11:58
你的结果是对的，但是你没看的我上面说的，请不要直接右键管理员运行，你可以右键管理员运行winrar，再 ...

刚试了一下 没有这种情况 入沙了呀