鉴于磁碟机，说一下Comodo的无进程内核保护

ubuntu

HIPS 无进程内核保护，本来没什么好说的，主流HIPS都能做到，只是规则处理的逻辑不同而已
有的默认放行， 有的默认阻止。

鉴于出现磁碟机这类的病毒，我只好强调一下：

Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：
1. block all the unknown requests if the application is closed 或者
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
这两种方法，可以同时使用。




当使用 All Applications Limited 后， 可以用IceSword 结束cfp.exe、cmdagent.exe
然后，为了保险，测试一个Leaktest，比如PCFlank
通过以后，可以随便去样本区，下载任何样本测试。保证没问题。
不过，最好加一个影子或使用虚拟机。


磁碟机的问题，我已经上报过了，希望大家也继续用Comodo V3上报病毒和常用程序。

我想解释一下：
要完全过掉Comodo是很难的，这个东西只是结束了Comodo的GUI进程而已。

1. Comodo是内核保护，根本不需要任何进程和服务，可以无进程保护。结束GUI进程根本没用。
设置也很简单，只要选上 block all the unknown requests if the application is closed
或者使用我的All Applications Limited 作为所有程序规则 All Applications *

2. 这种通过消息DDOS 结束进程的方式，看一下日志：

2008.01.11 20:26:42 x.exe DENY C0CF message to explorer.exe (Process)
2008.01.11 20:26:42 x.exe DENY C0CF message to ctfmon.exe (Process)
2008.01.11 20:26:44 x.exe DENY 0 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 2 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 3 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 5 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 6 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 7 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 8 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 9 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY A message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY B message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY C message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY D message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY E message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY F message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 10 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 11 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 12 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 13 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 14 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 15 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 16 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 17 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 18 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 19 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1A message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1B message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1C message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1D message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1E message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 1F message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 20 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 21 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 22 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 23 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 24 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 25 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 26 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 27 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 28 message to csrss.exe (Process)
2008.01.11 20:26:44 x.exe DENY 29 message to csrss.exe (Process)

上面的规律很明显，象Comodo 这样的HIPS是不可能拦截所有的消息，只拦截部分消息
因为Comodo监控所有的进程，拦截所有的消息，系统效能会大大降低，弊大于利。
如果用这种方式拦截，不如不拦。

拦截这种类型的攻击，最好是Sandbox，因为它只管部分不信任的程序，当然可以拦截所有消息。
你可以看到GeSWall 表现很不错
DefenseWall 进程挂了，也是因为它不拦截所有消息，没必要。
所以我会一再说普通用户 最好是Sandbox HIPS 配合Classic HIPS的组合。
在特定的情况下 Sandbox是有优势的。

有内核保护足够了
相信Comodo 会找到解决的办法。

再说，在病毒运行前，Comodo已经报可疑行为。


[ 本帖最后由 ubuntu 于 2008-1-11 22:49 编辑 ]

blueline

为什么comodo在拦截提示框中没有block and terminate选项？加个直接终止进程的按钮很难吗？可是对使用者来说方便很多啊

ubuntu

原帖由 blueline 于 2008-1-11 22:58 发表
为什么comodo在拦截提示框中没有block and terminate选项？加个直接终止进程的按钮很难吗？可是对使用者来说方便很多啊

建议过加入：
拦截 和 拦截 & 隔离

weipengsmile

多谢u版的介绍，长了不少见识

gwg829

刚开始用EQ时  觉得想爱EQ不容易

现在更觉得    想爱COMODO那才叫不容易  

长空之鹰

TF只有允许和隔离..................


看了U版的介绍,我想问一下HIPS中 拦截提示框加个直接终止进程的按钮  会变成以后的大趋势吗


毕竟偶现在还是懒人兼菜鸟......