【刚想到一个问题，COMODO如何应对文件捆绑？】

remcn

　　首先先声明，我菜到不行，这个问题也是菜鸟级的。

　　因为精力有限，从来没有研究过挂马这个问题，尤其是捆绑挂马或挂毒。因此，谈这个问题只能请大家指点，别拿我的话当回事儿。

　　我知道像用WINRAR或者RM捆网毒，其中毒过程应该是：运行宿主的过程中，激活宿主上挂的马或毒。对这种情况，COMODO当然没问题；

　　刚刚翻了下《电脑报》40期电子版，提到了迅雷挂马。迅不迅雷无所谓，就是一个传播的途径，我更关心的是中毒的途径，或者说过程。

　　留意了一下，里面说挂马是用工具先“搜索程序中的空字节”，然后把病毒程序写入到这些空字节中。

　　以前总听说什么花指令之类的，这种方式是不是类似？

　　如果是，那么在运行宿主程序时，绑入的木马或病毒被激活的动作，还会被监控程序，比如COMODO截获吗？

　　－

　　以前看到什么注入DLL之类的，觉得就够恐怖了，但那毕竟是病毒程序进行“注入正常DLL文件”的动作，监控程序能截获；

　　问题是，像上面所说的绑马，其宿主文件已经就是病毒了，传统杀软可能会有所作为；

　　但是对COMODO来说，如果我上面所说的“宿主程序被运行时病毒被激活的动作”不能被察觉，那该怎么办？

　　－－－－－－－－－－

　　我表达能力有限，还是举个例子描述一下吧：

　　用迅雷下载绿色版遨游，而主程序maxthon.exe是带毒的，带毒方式为“搜索程序空字节然后插入”；

　　双击运行maxthon.exe，COMODO顺利截获动作，提示框：“explorer.exe→maxthon.exe”，是否允许？

　　因为没有用传统杀软查过这个maxthon.exe，也没有对比确认正确的md5码，但是因为有COMODO，放心选择YES。

　　然后被插入maxthon.exe程序的病毒文件跟随maxthon.exe一并运行了；

　　如果真是这样，那就太恐怖了；

　　－－－－－－－－－

　　不过，虽然我是超级菜鸟，常识告诉我：

　　任何一个病毒或木马程序，首先它是一个程序；而程序要运行的话，肯定要调用相关的资源，比如内存占用，比如线程等，COMODO应该能查觉到它的启动吧？

　　－－－－－－－－－－－－

　　打完上述文字之后，我基本已经自行确信：

　　不管用什么方式插入宿主的病毒或木马，要运行的话也绝对会被COMODO截获。

　　此话正确吗？

　　再一次感觉到自己的幼稚和菜鸟！！！！

baerzake

如果原文件已经感染了病毒也无所谓，即使允许运行了也没关系，当然COMODO不可能检测到原文件有毒，但是这个文件运行后有任何动作都会被监控，包括危险动作，所以只要阻止危险动作病毒就发作不了，当然你不能看到这个是马桶就一路允许下去，那样绝对是要完蛋的，所以我一般不管什么程序有危险动作我都会阻止，除非阻止了影响使用。

baerzake

另外说一句，再装个红伞一类的杀软吧，如果你对单用COMODO没有信心。