请管理员删帖

显示全部楼层 · 发表于 2017-5-22 21:45:59

本帖最后由冰封禁制于 2017-5-24 22:02 编辑

勒索病毒之后查阅的资料：

comodo中国技术员更欢迎hips的绕过与沙盒穿透方向的样本，[sup]1[/sup]所以论坛里说勒索病毒入沙所以安全，并不严谨
关于勒索病毒带签名[sup]2[/sup]：官网帮助文件只说签名有正签反签（谷歌翻译），但是只说明信任签名提供商，本次勒索病毒签名提供商在Comodo白名单内。[截图略] 信任提供商到底可不可靠？
虚拟桌面提示需要安装Microsoft silverlight,可是同时官网博客说：黑客需要本地程序Microsoft silverlight，Java，Adobe reder等[sup]3[/sup]为了严谨的安全，是不是Comodo官方可以把安装Microsoft silverlight取消？

资料来源：
   [1]来源于comodo中国技术员
   [2]摘自百度百科：当EXE被感染时，是很容易破坏文件的数字签名信息的，如果攻击者感染或破坏文件时，有意不去破坏EXE中有关数字签名的部分，就可能出现感染后，数字签名看上去正常的情况。但认真查看文件属性或校验文件的HASH值，你会发现该EXE程序已经不是最原始的版本了。

      [3]来自comodo官网博客

显示全部楼层 · 发表于 2017-5-22 22:28:33

仅有口水意义，没有实质意义
按照实验室风格，任何一款产品，都是筛子，都是举手可穿，然而，仅限于实验室，出了实验室无意义
此次勒索病毒，技术含量低，没有什么可观之处，入沙都扛不住，这沙盘早该拆了卖废铁

毛豆唯一的问题是bug，除了bug还是bug，其它，没了！论理念，论实效，没一款防毒产品可与之媲美，特别是免费产品领域！
你说的这些，空口说没什么用，要实际东西！这个是白帽黑帽们玩的，俺们菜鸟就不奉陪了。路过打酱油，消灭零回复。

显示全部楼层 · 发表于 2017-5-22 23:31:52

1. COMODO歡迎能夠繞過它與破解它的樣本，因為這很少很少非常少，而這能讓它變得更加完美更加無懈可擊。
2. COMODO正因為意識到光從信任簽名有風險而使用雲端白名單與簽名同步確認，一旦其一為未知便入沙。
3. 虛擬桌面安裝與不安裝Microsoft silverlight都無所謂，防護的能力不會有絲毫改變，即使不安裝一樣能開啟虛擬桌面。

显示全部楼层 · 发表于 2017-5-22 23:37:03

諾言敵不過時間发表于 2017-5-22 23:31
1. COMODO歡迎能夠繞過它與破解它的樣本，因為這很少很少非常少，而這能讓它變得更加完美更加無懈可擊。
2 ...

那个，防火墙全局规则的教程在哪里找啊，先学这个

显示全部楼层 · 发表于 2017-5-22 23:43:11

諾言敵不過時間发表于 2017-5-22 23:31
1. COMODO歡迎能夠繞過它與破解它的樣本，因為這很少很少非常少，而這能讓它變得更加完美更加無懈可擊。
2 ...

这样还有没有隐藏端口的效果？

显示全部楼层 · 发表于 2017-5-23 01:07:01

本帖最后由冰封禁制于 2017-5-23 01:12 编辑

柯林发表于 2017-5-22 22:28
仅有口水意义，没有实质意义
按照实验室风格，任何一款产品，都是筛子，都是举手可穿，然而，仅限于实验室 ...

柯林老师：
带签名的恶意软件Comodo是不是可以100%识别？那个受信任的供应商勾选安全吗？这次的病毒按照沙盒规则的来源，是来自哪里（445端口？）？
在读你的教程~

显示全部楼层 · 发表于 2017-5-23 01:37:57

本帖最后由 ccboxes 于 2017-5-23 01:40 编辑

首先资料来源第二点纯属放屁，请记住百度百科不可信。
对已签名程序的任何部分的任何改动都会导致验证失败。

1.的确有病毒可以穿沙，但为了达到这个目的，病毒走两条路：一、获得管理员权限并加驱，这一点完全不必担心，现在的SB和COMODO都不会允许这样做；二、利用沙盘自身的漏洞，这种方式需要黑客有非常高的水平，并对目标沙盘进行可能长达几个月的分析，才能寻出漏洞。过高的成本使原本就小众的沙盘不太可能被针对，可以说万无一失。

2.签名的作用是证明文件从开发者手中流出后没有被篡改，伪造签名在数学上就是不可能的。但开发者用于签名的私钥确实有可能被黑客窃取而不知。因此追求绝对安全的话，应该只信任微软、Intel、腾讯等大企业的签名。对于普通用户使用COMODO维护的白名单即可，开发者私钥被窃毕竟还是小概率事件。

3.COMODO的虚拟桌面没什么用，且silverlight已经被淘汰，失去了安全更新。推荐不安装。

显示全部楼层 · 发表于 2017-5-23 08:28:02

百度那個不知道多久沒更新，一點參考價值都沒有

显示全部楼层 · 发表于 2017-5-23 09:41:46

comodo我觉得还是很不错的，

显示全部楼层 · 发表于 2017-5-23 10:24:12

本帖最后由柯林于 2017-5-23 10:27 编辑

冰封禁制发表于 2017-5-23 01:07
柯林老师：
带签名的恶意软件Comodo是不是可以100%识别？那个受信任的供应商勾选安全吗？这次的病毒按照 ...

请参考7楼意见

讨论100%就没啥意义，没什么东西可100%，请讨论实际意义：一年当中，你真正能遇到的病毒有几个？这几个当中，能够过掉毛豆的有几个？除非错误设置，目前看，这种实际情况，没一个可以过掉，所以对一般人的实际意义就是100%防御！【前提，系统别大筛子，那个装什么都一样】

这次的毒没啥意义，仅仅是系统漏洞利用而已，与签名毫无关系。担心神马签名啥的，把用户目录虚拟就可以了，或者进一步，自己改规则：凡是来自网络与移动磁盘，不管可信不信，一律入沙，再怕死这样总死不了了，再不放心，直接阻止，上HIPS，禁止用户路径创建可执行文件，禁止上网程序创建可执行文件，一律入沙浏览器、电子邮件程序、解压缩程序……使用comodo安全DNS——总可以穿个铁打的乌龟壳了，不嫌麻烦可自行捣腾。

[讨论] 请管理员删帖

评分

本帖子中包含更多资源

评分