COMODO V3参加反泄露测试会怎样？！！

baerzake

我晕，别的浏览器就不会被插入？难道永远不开浏览器？指定安装位置就不会被插入了？
病毒可以插入任何运行的联网程序包括系统进程SVCHOST等，除非你把所有联网程序都禁止运行或禁止联网
IE禁止运行，调用还不是要D+？难道用墙就可以禁止运行调用？

kazh

如果文件系统是NTFS，可以在文件权限中设置禁止运行。

baerzake

恩，这个确实可以。
不过还是我说的没有意义
难道你禁止系统进程运行？
HIPS区有很多这样的样本，不信的可以去试试
关了D+运行样本，看看COMODO能不能拦截

distance0

当然可以被插入，但是事实上没有木马这么做，至少我没见过。想插入别的浏览器程序要复杂的多，第三方浏览器那么多，路径也不固定，还要先确定它的路径。如果禁用了ie联网，说明用户很小心了，肯定还有别的防护，做木马的要面对大众，犯不着专门针对这些不好对付的。svchost个人应用禁止了它联网，也没发现什么异常。
禁止运行ie其实是多余的，禁止它联网就好了。禁止它运行主要是不让它弹出来，嫌烦，跟安全关系不大。

baerzake

另外NTFS权限实际也是HIPS的一种。所以不能说是单纯的墙了。这里讨论的是单用墙能不能通过反泄露测试。

baerzake

你能禁止explorer，svchost，lsass运行吗？
单纯防火墙能阻止病毒插入这些进程吗？
不要说反泄露了，系统早就完蛋了

distance0

但是可以禁止explorer，svchost，lsass联网啊。

urge

COMODO防数据包的效果好吗

baerzake

插入这些进程它就能控制你的系统了，防火墙都成摆设了，干掉毫不费事
另外你不可能永远不上网吧，上网就要用浏览器，QQ什么吧
插入进程不是靠路径的，只要你现在运行着就可以插入
插入进程是现在病毒最常用的方法，可以去HIPS区或样本区看看，这样的病毒很多
有的病毒会插入你运行中的所有进程
没有HIPS功能根本不能拦
简单说杀毒软件吧，它也会插入你运行的所有进程
没有D+，用防火墙你怎么禁止
这个问题很明显了，我也不想多说了，如果有人认为不开D+也可以反泄露那我也没办法

[ 本帖最后由 baerzake 于 2008-1-31 13:38 编辑 ]

distance0

干掉防火墙用户就发现了，发现了用户自己就去防泄漏了（杀毒，重装等）。当然有的病毒本身就是破坏性的，不以盗取信息为目的，这些活儿似乎交给杀软更合适。
只是觉得强求防火墙都要有ad才能算是防泄漏，有点过了。事实上即使用了ad，某些时候还是不能“防泄漏”，有的正常程序也是要插入进程的，比如qq外挂，如果病毒伪装成这种程序，你运行了，ad提示有危险操作你点了允许，不还是中招？这么说防火墙还都要捆绑个杀软。感觉有点强人所难了。