關於 安裝程序權限 的繼承問題

a256886572008

前言:

1.範例一:
安裝瀏覽器，如果選 裝完直接打開瀏覽器，會發現一個問題。

下載的病毒全信任了。

2.範例二:
dropbox安裝程序，會在安裝完，重開 explorer.exe 的進程。

這時候會出現一個嚴重的問題，雙擊任何未知程序都會信任。(根據繼承，這時候開瀏覽器下載回來的病毒也會被信任)


解決方法:
1. 有開 Behavior Blocker

只要取消這兩個即可。



2. 單開 HIPS

經測試，safe mode 之下無解，還是乖乖開瘋狂吧。

zhttty

关云关BB也这样？
记得有个自动信任来自可信安装程序文件的选项 勾掉这个呢？

a256886572008

zhttty 发表于 2013-3-17 21:01
关云关BB也这样？
记得有个自动信任来自可信安装程序文件的选项 勾掉这个呢？

上面寫了，單開HIPS的人請自行小心。

safe mode 之下，無解決方案。

fwj123

我想说，清理一下可信任文件下的列表，会不会有用？

a256886572008

fwj123 发表于 2013-3-17 21:09
我想说，清理一下可信任文件下的列表，会不会有用？

不知道你想在哪一步清列表?

但我給一下詳細動作:

1.運行瀏覽器的安裝包 (安裝包入safe files)

2.安裝包 吐出並執行 瀏覽器 (瀏覽器入safe files)

3.瀏覽器下載病毒 (病毒入safe files)

4. 兩種病毒的啟動方式
(1) 瀏覽器執行病毒 (根據繼承，病毒獲得安裝包的權限)
(2) 手動雙擊病毒 (在3，病毒已在safe files，當然信任)

hswanfang

安装程序特权继承。这是windows的一个缺陷，本人两年前就已发现。无奈无法解决。

UDady

小白的悲剧

还不如装v5版本，开疯狂模式

看毛豆下一版更新，估计还会难产

fwj123

a256886572008 发表于 2013-3-17 21:20
不知道你想在哪一步清列表?

但我給一下詳細動作:

其实我的习惯是，刚安装的软件不运行，套上了规则再运行的。

a256886572008

後來測試，去掉那個勾之後，易用性將大幅降低，彈窗變超多。

原因:
對於安裝程序，comodo只把安裝包加入白名單，裡面一堆PE文件都沒在白名單。

如果是 .msi 安裝包，會出現一直自動入沙的現象。

結論:
(1) 安裝完程序，直接重啟，避免風險進程 繼承 安裝權限。
例如: explorer.exe，瀏覽器

(2) 乾脆開 VK 來使用，保證入沙。

兩個方法2選1。


-------------------------------------------------
我安裝 dropbox 測試，explorer.exe 並沒有繼承 安裝程序的權限。

雙擊 clt.exe 能夠自動入沙。

XP 32bit 沒有這個問題。