楼主: 伯夷叔齐
收起左侧

[讨论] COMODO V3参加反泄露测试会怎样?!!

[复制链接]
baerzake
发表于 2008-1-31 13:03:55 | 显示全部楼层

回复 20楼 distance0 的帖子

我晕,别的浏览器就不会被插入?难道永远不开浏览器?指定安装位置就不会被插入了?
病毒可以插入任何运行的联网程序包括系统进程SVCHOST等,除非你把所有联网程序都禁止运行或禁止联网
IE禁止运行,调用还不是要D+?难道用墙就可以禁止运行调用?
kazh
发表于 2008-1-31 13:13:08 | 显示全部楼层
如果文件系统是NTFS,可以在文件权限中设置禁止运行。
baerzake
发表于 2008-1-31 13:17:20 | 显示全部楼层

回复 22楼 kazh 的帖子

恩,这个确实可以。
不过还是我说的没有意义
难道你禁止系统进程运行?
HIPS区有很多这样的样本,不信的可以去试试
关了D+运行样本,看看COMODO能不能拦截
distance0
头像被屏蔽
发表于 2008-1-31 13:19:02 | 显示全部楼层
当然可以被插入,但是事实上没有木马这么做,至少我没见过。想插入别的浏览器程序要复杂的多,第三方浏览器那么多,路径也不固定,还要先确定它的路径。如果禁用了ie联网,说明用户很小心了,肯定还有别的防护,做木马的要面对大众,犯不着专门针对这些不好对付的。svchost个人应用禁止了它联网,也没发现什么异常。
禁止运行ie其实是多余的,禁止它联网就好了。禁止它运行主要是不让它弹出来,嫌烦,跟安全关系不大。
baerzake
发表于 2008-1-31 13:19:59 | 显示全部楼层
另外NTFS权限实际也是HIPS的一种。所以不能说是单纯的墙了。这里讨论的是单用墙能不能通过反泄露测试。
baerzake
发表于 2008-1-31 13:23:45 | 显示全部楼层
你能禁止explorer,svchost,lsass运行吗?
单纯防火墙能阻止病毒插入这些进程吗?
不要说反泄露了,系统早就完蛋了
distance0
头像被屏蔽
发表于 2008-1-31 13:28:25 | 显示全部楼层
但是可以禁止explorer,svchost,lsass联网啊。
urge
发表于 2008-1-31 13:34:36 | 显示全部楼层
COMODO防数据包的效果好吗
baerzake
发表于 2008-1-31 13:37:20 | 显示全部楼层

回复 27楼 distance0 的帖子

插入这些进程它就能控制你的系统了,防火墙都成摆设了,干掉毫不费事
另外你不可能永远不上网吧,上网就要用浏览器,QQ什么吧
插入进程不是靠路径的,只要你现在运行着就可以插入
插入进程是现在病毒最常用的方法,可以去HIPS区或样本区看看,这样的病毒很多
有的病毒会插入你运行中的所有进程
没有HIPS功能根本不能拦
简单说杀毒软件吧,它也会插入你运行的所有进程
没有D+,用防火墙你怎么禁止
这个问题很明显了,我也不想多说了,如果有人认为不开D+也可以反泄露那我也没办法

[ 本帖最后由 baerzake 于 2008-1-31 13:38 编辑 ]
distance0
头像被屏蔽
发表于 2008-1-31 13:53:00 | 显示全部楼层
干掉防火墙用户就发现了,发现了用户自己就去防泄漏了(杀毒,重装等)。当然有的病毒本身就是破坏性的,不以盗取信息为目的,这些活儿似乎交给杀软更合适。
只是觉得强求防火墙都要有ad才能算是防泄漏,有点过了。事实上即使用了ad,某些时候还是不能“防泄漏”,有的正常程序也是要插入进程的,比如qq外挂,如果病毒伪装成这种程序,你运行了,ad提示有危险操作你点了允许,不还是中招?这么说防火墙还都要捆绑个杀软。感觉有点强人所难了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 14:24 , Processed in 0.083443 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表