收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 这个样本comodo只能拦截到执行svchost,SSF拦截到执行和 ...
1234下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[讨论] 这个样本comodo只能拦截到执行svchost,SSF拦截到执行和修改svchost内存

[复制链接]
UDady
发表于 2014-3-8 12:23:46 | 显示全部楼层
墨家小子 发表于 2014-3-8 12:17
好久没玩PF了,只从那个二代注入严重伤害了我之后

PF有个很大的缺陷,你看看explorer的注册表那里,只 ...

确实,pf注册表控制不怎么好

不过当explore作为子进程时设置为低权限级别,不知道能不能防住


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

墨家小子
 楼主| 发表于 2014-3-8 12:27:46 | 显示全部楼层
UDady 发表于 2014-3-8 12:23
确实,pf注册表控制不怎么好

不过当explore作为子进程时设置为低权限级别,不知道能不能防住

那就没有意义了,降低权限的话
回复

举报

myzuzong
发表于 2014-3-8 12:27:55 | 显示全部楼层
墨家小子 发表于 2014-3-8 12:18
那就是说毛豆已经被设计成一个整体了?


没懂啥意思。

评论一下上面的“信任主进程,那子进程就默认信任”,很明显不是这样的。例如explorer.exe是受信任的,而explorer.exe执行的未知程序仍然会被弹窗询问的。

问题在于,hips中允许A执行B,就允许了A修改B。如果B在白名单中,就躺了。但是auto-sandbox则不然,未知程序A入沙,A执行白名单程序B,则B也入沙。所以单用hips只能阻止运行了。
回复

举报

墨家小子
 楼主| 发表于 2014-3-8 12:29:27 | 显示全部楼层
myzuzong 发表于 2014-3-8 12:27
没懂啥意思。

评论一下上面的“信任主进程,那子进程就默认信任”,很明显不是这样的。例如explorer ...

我就是这个意思,毛豆现在已经不能单独用HIPS了
问题在于,hips中允许A执行B,就允许了A控制B的行为。如果B在白名单中,就躺了。但是auto-sandbox则不然,未知程序A入沙,A执行白名单程序B,则B也入沙。所以单用hips只能阻止运行了。
回复

举报

a256886572008
发表于 2014-3-8 12:31:22 | 显示全部楼层
墨家小子 发表于 2014-3-8 12:18
那就是说毛豆已经被设计成一个整体了?

V7 被拆成3個,HIPS、Auto-sandbox、Viruscope
回复

举报

墨家小子
 楼主| 发表于 2014-3-8 12:33:50 | 显示全部楼层
myzuzong 发表于 2014-3-8 12:27
没懂啥意思。

评论一下上面的“信任主进程,那子进程就默认信任”,很明显不是这样的。例如explorer ...

气死我了 ,发不了截图

2014/3/8 12:21:27,C:\ProgramData\openoffic0\nuytzecrn.exe,53,Allowed ;Execution of an application ("C:\Program Files\Internet Explorer\iexplore.exe")

2014/3/8 12:21:54,C:\ProgramData\openoffic0\nuytzecrn.exe,29,Blocked ;Modifing process memory (iexplore.exe(pid=628))

文件: C:\ProgramData\openoffic0\nuytzecrn.exe
大小: 204800 字节
文件版本: 1.45.0086
修改时间: 2014年3月4日, 9:57:52
MD5: 25E1429BA76FF46A0124B503FE4C9EE9
SHA1: B24B3168775A65AC14179D0877EF91EE7F5C56B2
CRC32: 0C89F9AC

文件: C:\Users\A\Desktop\新建文件夹\新建文件夹\1348425468.exe
大小: 204800 字节
文件版本: 1.45.0086
修改时间: 2014年3月4日, 9:57:52
MD5: 25E1429BA76FF46A0124B503FE4C9EE9
SHA1: B24B3168775A65AC14179D0877EF91EE7F5C56B2
CRC32: 0C89F9AC

回复

举报

墨家小子
 楼主| 发表于 2014-3-8 12:37:28 | 显示全部楼层
a256886572008 发表于 2014-3-8 12:31
V7 被拆成3個,HIPS、Auto-sandbox、Viruscope

按照23楼myzuzong同学的说法,我认为毛豆离开沙盘单用hips已经不那么靠谱了
26楼是SSF的测试,启动放行,然后拦截到注入
http://bbs.kafan.cn/forum.php?mo ... 72&pid=30608700
回复

举报

a256886572008
发表于 2014-3-8 12:40:01 | 显示全部楼层
墨家小子 发表于 2014-3-8 12:37
按照23楼myzuzong同学的说法,我认为毛豆离开沙盘单用hips已经不那么靠谱了
26楼是SSF的测试,启动放行 ...

comodo HIPS 會把那兩步合成一個彈窗,和10樓的圖一樣。
回复

举报

墨家小子
 楼主| 发表于 2014-3-8 12:44:49 | 显示全部楼层
a256886572008 发表于 2014-3-8 12:40
comodo HIPS 會把那兩步合成一個彈窗,和10樓的圖一樣。

太含糊了 还是SSF那样看得清楚
回复

举报

qftest
发表于 2014-3-9 11:49:23 | 显示全部楼层
a256886572008 发表于 2014-3-8 11:58
我之前用 HIPS測時,COMODO一直都是這樣設計的。

關於"当白名单程序被未知程序运行时,白名单程序将临 ...

请教大大,comodo说“父应用程序访问目标应用程序内存后就可以完全控制目标应用程序”,又说“父进程成功执行子进程后就可以控制子进程的执行”,这两句话有什么不同吗?
@myzuzong
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-29 08:18 , Processed in 0.070708 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表