此贴已锁。

jpzy

原帖由 baerzake 于 2007-10-15 14:02 发表
ＣＯＭＯＤＯ对监控线程插入最拿手，另外卡巴的主防不要和ＣＯＭＯＤＯ的ＨＩＰＳ比，不是一个档次

卡巴的主防跟HIPS不同的，有一部分虚拟机启发的技术在里面！所以表面上看监控的项目很少！

handsomecat

呵呵，关注讨论的进行。

singboy

用上兴远程控制4。5测试，先生成名为svchost.exe的服务端。运行该服务端，结果提示有进程插入ie,点击允许后（没有钩上让它记住设置的选项），就可以被远程控制了，重新启动机器后，结果发现提示变了，提示父系程序svchost.exe启动ie访问网络。这样一来，如果用户在前一次，也就是第一次不小心按了允许而没看清楚提示的内容，当下次该服务端插入ie访问网络的时候，却出现了根第一次不一样的提示，也就是只提示某父系程序启动了某程序，这个时候，用户就无法分辨该操作是否合法。从而给病毒制造者有机可乘，因为他们可以模仿某个正常的父系程序的名字，来启动另一个正常访问网络的进程。

所以，从这一点来说，comodo的记住用户设置的性能还不够，没有让它记住的，下次发生同样事件时，它却自作多情地帮你记住了，并作出另一种提示。

[ 本帖最后由 singboy 于 2007-10-15 18:54 编辑 ]

jpzy

第一次你这样做的时候，IE是在运行的还是没运行的？
如果第一次IE在运行，而第二次IE没运行，那么出现这样的提示也可以接受！在运行的IE被提示有dll注入，没有在运行的IE，被提示SVCHOST启动IE…………这没什么不对啊？？

singboy

问题是，第一次有叉叉，第二次没有，用户不知道怎么判断。例如我用ie点击地址栏访问www.kafan.cn的时候，也会出现叉叉的提示，如图，所以，用户根本无法分别他是合法还是非法的。

[ 本帖最后由 singboy 于 2007-10-15 18:59 编辑 ]

lioney

感觉楼主说了这么多，最主要的一点就是应用程序规则太简单。其实，只要是正常程序，使用哪个端口无所谓，有线程注入或直接替换的都会提示。应用程序行为分析可以检测这些的。而且程序联网要先经过程序规则检测，还要经过网络规则检测。

baerzake

这个DLL是输入框的下拉菜单拉,安装钩子COMODO当然要提示拉,出现XX就是提醒你注意嘛,至于是好钩子坏钩子COMODO还不能分辨,不知道OP的提示是怎样的?能告诉你这个DLL是正常或不正常?

singboy

原帖由 baerzake 于 2007-10-15 19:05 发表
这个DLL是输入框的下拉菜单拉,安装钩子COMODO当然要提示拉,出现XX就是提醒你注意嘛,至于是好钩子坏钩子COMODO还不能分辨,不知道OP的提示是怎样的?能告诉你这个DLL是正常或不正常?

op不会提示这个下拉表单的dll但卡巴可能会，op只侧重防火墙的严格规则和策略，对于hips好像不怎么样。

baerzake

不提示?那还拿来比什么?COMODO至少还提示,虽然不是太智能.

singboy

原帖由 baerzake 于 2007-10-15 19:34 发表
不提示?那还拿来比什么?COMODO至少还提示,虽然不是太智能.

没有跟op比hips阿，是你拿来比，op是正统的防火墙，做的就是专业的ip策略方面的功夫，跟硬件防火墙差不多，hips是后来才兴起的，你自己尝试一下就知道了，不尝试过，跟你怎么说也很难理解了。

我觉得卡巴的主动防御已经能识别大多数的恶意行为，有强大的病毒库，而且我觉得，杀毒就是杀毒，防火墙就是防火墙，不要觉得防火墙能包括一切功能就是好。

[ 本帖最后由 singboy 于 2007-10-15 19:41 编辑 ]