comodo对自启动程序的拦截问题

qinnan

柯林 发表于 2012-6-21 12:07
开机后手动运行测试程序，毫无意义，必须以自启动的方式进行测试。

刚才关uac重启测试 沙盘低权限运行 防住了啊 黑窗口显示删除一大串system32下的程序 毛豆日志只有tet.exe tet.bat在沙盘运行 其他无 柯大你看受信任文件里有没有这个程序啊 刚才我点了弹窗提示窗口的（不在隔离它） 居然自动加入受信任名单了

zlf719152253

qinnan 发表于 2012-6-21 12:18
刚试了一下 没有这种情况 入沙了呀

不可能啊！我这试了很多遍了，能上图看看么？

qinnan

zlf719152253 发表于 2012-6-21 12:33
不可能啊！我这试了很多遍了，能上图看看么？

没联网呀 我用手机发表呢 我这里绝对是入沙的啊 你看（受信任的文件）中有没有tet.exe程序啊 我怀疑是不是这个问题啊

柯林

qinnan 发表于 2012-6-21 12:30
刚才关uac重启测试 沙盘低权限运行 防住了啊 黑窗口显示删除一大串system32下的程序 毛豆日志只有tet.exe ...

请详述测试方法

建议测试方法：
1、将测试程序写入开始菜单的启动项
2、将测试程序写入注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3、将测试程序写入注册表的系统服务项，以服务程序的方式启动

zlf719152253

qinnan 发表于 2012-6-21 12:37
没联网呀 我用手机发表呢 我这里绝对是入沙的啊 你看（受信任的文件）中有没有tet.exe程序啊 我怀疑是不是 ...

不在受信任文件里，这个我还是知道的，你确定你满足下面两个条件：
1.winrar以管理员权限不受限地运行
2.在winrar里双击压缩包中的程序（或是解压后的也行）
如果真是这样的话。请问你的版本是多少？

qinnan

柯林 发表于 2012-6-21 12:37
请详述测试方法

建议测试方法：

注册表启动 方法和上次测试一样 有fd全局规则 关闭uac

zlf719152253

qinnan 发表于 2012-6-21 12:46
注册表启动 方法和上次测试一样 有fd全局规则 关闭uac

启动项（菜单启动项或是注册表run键下）启动，我和你一样，都被沙盘拦截，请再试试以服务项的方式启动，你只要手动启动就行，自动的话会删system32下文件的

qinnan

zlf719152253 发表于 2012-6-21 12:46
不在受信任文件里，这个我还是知道的，你确定你满足下面两个条件：
1.winrar以管理员权限不受限地运行
...

满足啊 5.10 cis规则 未联网 未开云 难道是云？或者（增强保护模式）？奇怪啊 我这里默认规则 确实入沙了呀

qinnan

zlf719152253 发表于 2012-6-21 12:51
启动项（菜单启动项或是注册表run键下）启动，我和你一样，都被沙盘拦截，请再试试以服务项的方式启动，你 ...

服务……不会设置啊……开uac 启动之后的命令行窗口（cmd窗口？就是黑色的那个）会一闪而过 关uac 窗口会显示删除system32下的文件 然后按任意键结束 都入沙了

zlf719152253

qinnan 发表于 2012-6-21 13:11
服务……不会设置啊……开uac 启动之后的命令行窗口（cmd窗口？就是黑色的那个）会一闪而过 关uac 窗口会 ...

用sc create binpath= "d:\tst.exe" start= auto  这个命令，注意等号后面有个空格，cmd要以管理员权限运行