comodo如何拦截注册表操作？

gk123

找迅雷破解版的时候发现一个reg文件是修改ie主页的但是comodo没提示！怎样才能让他提示呢？我是在受保护的注册表键值里面添加  *\SOFTWARE\Microsoft\Internet Explorer\*不过还是没用！

Windows Registry Editor Version 5.00


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.50ya.com/?7e"
"First Home Page"=""http://www.50ya.com/?7e" "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.50ya.com/?7e"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.50ya.com/?7e"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.50ya.com/?7e"
"Start Page"="http://www.50ya.com/?7e"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.50ya.com/?7e"
"Default_Page_URL"="http://www.50ya.com/?7e"

老机子

感觉还是不要导入的好，

a256886572008

如果是病毒以命令行執行的，才會入沙。

後來測試一下，是 命令行檢測出漏洞，回報官方一下。

和當時 .cpl 犯了一樣的錯誤

2012/8/15 14:47:06    Create new process    Permitted
Process: c:\windows\explorer.exe
Target: c:\windows\regedit.exe
Cmd line: "regedit.exe" "C:\Documents and Settings\Roger\桌面\virus\注册离线下载高速通道免等待\注册离线下载高速通道免等待.reg"
Rule: [App]*

gk123

嗯我怎麼弄他都不提示攔截！誰幫忙上報下！

a256886572008

gk123 发表于 2012-8-15 14:53
嗯我怎麼弄他都不提示攔截！誰幫忙上報下！

已上報，請等待結果。

http://forums.comodo.com/news-announcements-feedback-cis/a-bug-for-commandline-analysis-reg-file-t86097.0.html

gk123

坐等下次升級改進

gk123

他們居然認為用戶執行的reg或者vbs一類的腳本不用提示攔截。被保護的註冊表項被修改也不做任何反應！這難道還不是bug....


好了再次测试发现win8.1的uac会拦截