此贴已锁。

baerzake

同意 ，我说了ＣＯＭＯＤＯ的Ｄ＋用好了根本不会中毒，正常程序你管它用什么端口呢

N3Hp

各有千秋而已

singboy

原帖由 jpzy 于 2007-10-15 13:07 发表

其实对于有应用程序控制的墙来说，你在网络过滤规则里面开放所有端口和开放指定端口，效果是一样的！
如果应用程序被修改了，在应用程序过滤部分就会被拦截了~！如果这里不拦截，那么木马通过一个端口和通过所有端 ...

学习，谢谢指教，可能我对comodo理解不够深入，据我理解，很多墙都没有应用程序控制。以前的，现在可能很多都改进了吧？

singboy

原帖由 baerzake 于 2007-10-15 13:16 发表
同意 ，我说了ＣＯＭＯＤＯ的Ｄ＋用好了根本不会中毒，正常程序你管它用什么端口呢

学习，谢谢指教，请说说d+的详细意思好吗〉？

jpzy

原帖由 singboy 于 2007-10-15 13:31 发表

学习，谢谢指教，请说说d+的详细意思好吗〉？

Defense+，就是Comodo V3的HIPS模块了~！

baerzake

Ｄ＋同ＪＰ的解释，就是defense+拉，就是ＣＯＭＯＤＯ的ＨＩＰＳ模块

singboy

哦，谢谢指教。有了这个ＨＩＰＳ模块当然好很多了，卡巴7得主动防御也是类似的吧，所以我一般都是卡巴+op的，其实我都是按照以前没有ＨＩＰＳ模块的防火墙来理解的。
引用:
原帖由 jpzy 于 2007-10-15 13:07 发表

其实对于有应用程序控制的墙来说，你在网络过滤规则里面开放所有端口和开放指定端口，效果是一样的！
如果应用程序被修改了，在应用程序过滤部分就会被拦截了~！如果这里不拦截，那么木马通过一个端口和通过所有端 ...

我知道组件控制，如果程序被修改或者组建被修改，就会发出提示，但是如果是线程插入，而不是修改文件，那还会不会被拦截？开放所有端口岂不是很不安全？

jpzy

原帖由 singboy 于 2007-10-15 13:47 发表
哦，谢谢指教。有了这个ＨＩＰＳ模块当然好很多了，卡巴7得主动防御也是类似的吧，所以我一般都是卡巴+op的，其实我都是按照以前没有ＨＩＰＳ模块的防火墙来理解的。
引用:
原帖由 jpzy 于 2007-10-15 13:07 发表  ...

其实，一般的应用控制，插入线程应该也会报警的！dll的注入控制，LNS就有，ZA，Comodo这样的知名墙更加不用说了！！尤其是Comodo这样的防火墙，V2的Leaktest成绩已经很BT了~！

何况，如果是插入线程来达到木马的目的，那么木马的dll应该不会指定端口来发送了数据了，而是通过被插入的线程来连接网络传送数据，这样的情况，除非被插入的线程没有连接网络的权限，比如explorer，不然的话，木马通过被插入进程的端口连接网络，不管你是指定了一个端口还是开放了所有端口，结果都是一样了！

[ 本帖最后由 jpzy 于 2007-10-15 14:01 编辑 ]

jpzy

这也就是为什么没有应用程序控制的防火墙效果不会太好的缘故！

因为连接网络必然要开放一部分端口，没有应用控制的防火墙，对于开放端口的通信是一律放行的，不管是木马利用还是正常程序利用！

baerzake

ＣＯＭＯＤＯ对监控线程插入最拿手，另外卡巴的主防不要和ＣＯＭＯＤＯ的ＨＩＰＳ比，不是一个档次