单开HIPS，COMODO 7.0.313494.4115被ystobsvxlffaloxgtxrmrsjqnpjsxol.exe做掉了

myzuzong

不是测过吗。win7 x86下轻松拦截，访问explorer.exe内存明显不能放过，既不被锁屏又不被写启动项。至于“被做掉了”更是没有发生。

由此看来，莫非是xp太垃圾了吗？

rex_bbs

毛豆7  沙盒完全关闭，信任厂商列表仅保留微软、毛豆和虚拟机软件厂商，删除内设的explorer自己添加一个（这时候默认是在第一条规则），运行程序后会提示该程序需要直接键盘访问 ——
如果允许，导致桌面重启、毛豆图标丢失，锁屏（全白屏），重启后也发生锁屏（全白屏）。 这时候会有个现象，就是该破坏程序运行时间较长时间后才会导致问题发生。
如果选择不允许，导致桌面重启、毛豆图标丢失，锁屏（全白屏），重启后也发生锁屏（全白屏）。 这时候会有个现象，就是该破坏程序运行时间更长（与上一测试状况对比）才会导致问题发生。

其中导致毛豆被关闭是因为毛豆内设的自我保护中的终止进程保护中有允许explorer和windows系统应用（去掉这两项就不会被关闭了）

看运行状况，估计是通过某种内存溢出实现的。

墨家小子

rex_bbs 发表于 2014-3-8 00:05
XP SP3(某个猪猪猫版本)

毛豆7  沙盒开启全虚拟化模式，信任厂商列表仅保留微软、毛豆和虚拟机软件厂商 ...

a大也曾经测试过的，还是开沙盘全虚拟化模式能突破的那真的是极品中的极品了
http://bbs.kafan.cn/forum.php?mo ... 20&pid=30408999

墨家小子

myzuzong 发表于 2014-3-8 01:10
不是测过吗。win7 x86下轻松拦截，访问explorer.exe内存明显不能放过，既不被锁屏又不被写启动项。至于“被 ...

只看到过win7 X64的测试 （http://bbs.kafan.cn/forum.php?mo ... 20&pid=30312362）

你说的win7 X32在哪里，求地址

墨家小子

rex_bbs 发表于 2014-3-8 01:10
毛豆7  沙盒完全关闭，信任厂商列表仅保留微软、毛豆和虚拟机软件厂商，删除内设的explorer自己添加一个（ ...

多谢指教了（删除内设的explorer），这个我还真没想到，只是修改原有的系统程序规则，等会再去试试

这时候会有个现象，就是该破坏程序运行时间较长时间后才会导致问题发生。

这个貌似是因为要下载回来一个ico文件才锁屏。
要能防止注入explorer，毛豆就不会终止
多谢测试解答！

墨家小子

myzuzong 发表于 2014-3-8 01:10
不是测过吗。win7 x86下轻松拦截，访问explorer.exe内存明显不能放过，既不被锁屏又不被写启动项。至于“被 ...

我刚才在win7 X32下测试，确实能够拦截到注入explorer，为毛xp下就拦截不到？？？

myzuzong

墨家小子 发表于 2014-3-8 10:05
我刚才在win7 X32下测试，确实能够拦截到注入explorer，为毛xp下就拦截不到？？？

不明白。也许开发人员对这个10多年前的老旧操作系统不愿意再做深入工作了吧。

墨家小子

myzuzong 发表于 2014-3-8 10:28
不明白。也许开发人员对这个10多年前的老旧操作系统不愿意再做深入工作了吧。

我猜也是，XP毕竟。。。。额，很老了。这点跟OP不同，OP反而在xp下拦截注入成功率很高。

wcr

请问如果只开沙盘的话能防住吗？

a256886572008

wcr 发表于 2014-3-10 23:13
请问如果只开沙盘的话能防住吗？

BUG 還沒修 --> 全破