Comodo10 关于启发式命令行分析

a592858548

最近尝试了Comodo10，界面啥的非常OK，设置也非常详细。

但是每当使用“在此处打开命令行窗口”


就会弹框，大概是Comodo一个temp文件夹里面生成了一个cmd.exe_xxxxxxxxxxxxxxxxxx.bat的文件，不信任就自动入沙。

不同文件夹执行“在此处打开命令行窗口”都会生成不同的cmd.exe_xxxxxxxxxxxxxxxxxx.bat文件，所以信任规则就不适用了。

不关闭命令行分析不关闭沙箱的情况下，有其它解决办法吗?

諾言敵不過時間

你可以把它添加信任(前提是你認為沒問題)
或是把命令行分析裡的cmd關閉(但不建議)
也可以把這資料夾加入排除(同樣不建議)
這東西是用來捕捉無文件的惡意攻擊，Fileless技術。

以上操作都可能導致安全風險。
可以手動開啟命令提示字元(Win+R後輸入cmd即可)

a592858548

諾言敵不過時間 发表于 2017-1-13 09:46
你可以把它添加信任(前提是你認為沒問題)
或是把命令行分析裡的cmd關閉(但不建議)
也可以把這資料夾加入 ...

但是每个不同的文件夹都要重新选择信任，感觉这个算毛豆的bug吧

諾言敵不過時間

a592858548 发表于 2017-1-13 20:02
但是每个不同的文件夹都要重新选择信任，感觉这个算毛豆的bug吧

你可以把啟用內嵌程式碼檢測關閉。

a592858548

諾言敵不過時間 发表于 2017-1-13 20:14
你可以把啟用內嵌程式碼檢測關閉。

待会去试试看，感觉这个新版不智能，没有去分析命令行，只是单纯的入沙

諾言敵不過時間

a592858548 发表于 2017-1-13 20:20
待会去试试看，感觉这个新版不智能，没有去分析命令行，只是单纯的入沙

嗯嗯~  倒不如說這是新功能吧
用於防止Fileless種類的威脅，官方的說法如下

This is a new feature we have introduced to catch fileless malware. Fileless malware uses script interpreters such as powershell.exe to execute code through commandline. There are various ways. What CIS 10 does is it catches embedded commandlines and sandboxed them.

But while sandboxing them, we create a file out of them i.e. convert file-less scripts into files in C:\ProgramData\Comodo\Cis\tempscrpt. If is the command-line interpreter. What you can do is

1-You can trust them just like any other file
2- Or you can disable cmd.exe from commandline parsing from Settings->HIPS->Do Heuristics commandline analysis(Certain applications)

It is a new feature.

然而我覺得還是別關來的好，就怕可能會降低防禦力

a592858548

諾言敵不過時間 发表于 2017-1-13 20:24
嗯嗯~  倒不如說這是新功能吧
用於防止Fileless種類的威脅，官方的說法如下

好的，先这样用着

adbyby

先收藏了，慢慢学习

a27573

我每次一开360极速浏览器也会这样
平时没有
可以直接信任所有.bat文件吗

諾言敵不過時間

a27573 发表于 2017-1-23 16:47
我每次一开360极速浏览器也会这样
平时没有
可以直接信任所有.bat文件吗

這樣太危險了吧  我也開始有點不大清楚了

@BBCALL