查看: 3194|回复: 22
收起左侧

[已解决] 【小知识】通配符"|":防护来自无法识别与沙盒中程序"写"入访问

[复制链接]
zongk
头像被屏蔽
发表于 2017-6-17 17:34:54 | 显示全部楼层 |阅读模式
本帖最后由 zongk 于 2017-6-19 19:16 编辑

关于Comodo通配符
  • Comodo的D+通配符不支持单独的目录操作,目录也是文件
  • 要禁止某目录下所有可执行文件的执行,最好用组策略。用D+会导致子目录打不开
通配符"|":必须在受保护的文件里才有保护
  • 有:防护来自无法识别沙盒中进程的"写"
  • 无:仅防护来自无法识别进程的"写"
自动启动安装在Container中的服务
  • 在沙盒中安装服务-倒沙重启电脑-在沙盒中运行程序-先前在沙盒中创建的服务,跟随运行的程序启动
KillSwitch不同颜色:
  • 选项-配置高亮:
捕获.PNG
HEMM
发表于 2017-6-17 19:37:51 | 显示全部楼层
4个回答
不用期待BUG豆的杀毒.....
布吉岛,可能是有些跑沙盒的并不全是威胁,而只是定义为未知,虚拟一些服务进去好让其运行?
KillSwitch没用过布吉岛
通配符可以减少规则量

很简单,比如文件夹为舞法天女,要禁止旗下所有.exe,就舞法天女\*.exe,这样不就好了,不影响进这个文件夹,根本不需要难用的组策略......

另外外:
1. D+为什么不监控兽心文件?这应该是规则问题,或者使用的是默认规则,只要规则设置的够严格,根本不会管什么兽心不兽心的,系统文件照拦截无误。仅见识沙盒的那个与这个半点关系没有,那个设置指的是让BUG豆存在感极低的主防只监控沙盒内程序的行为,不勾选那么见识所有进程的行为。没必要不勾选,让它在沙盒里玩沙子去吧。跑出来浪费资源,当然要是对自己的规则没信心或者对介个主防有极高的期待可以打开,效果见仁见智.......
2. 请打开它,即使它的存在感非常低。
3. 这个我布吉岛,没玩过改名,懒得改,哈希好神秘我一般懒得理会这些神秘事物。
zongk
头像被屏蔽
 楼主| 发表于 2017-6-17 20:21:38 | 显示全部楼层
本帖最后由 zongk 于 2017-6-17 22:07 编辑

只要识别为未知我就放心,我关心的是Comodo防火墙可能防护不到的地方~
zongk
头像被屏蔽
 楼主| 发表于 2017-6-17 21:04:55 | 显示全部楼层
本帖最后由 zongk 于 2017-6-17 23:00 编辑


英文论坛找到的:
  • "|":在"受保护的文件"结尾加,阻止沙盒中限制等级为——"部分限制、低权限级别、限制性级别、不信任级别"程序入访问
  • 沙盒里的不是本来就不能写么?

这是另一个回答:
  • 有"|":保护来自沙盒和无法识别
  • 无"|":仅保护来自无法识别


第三个回答:
  • 阻止沙盒中——"部分限制、低权限级别"写入
  • 例如:%windir%\ * |阻止没有完全虚拟化的沙盒应用程序在windows目录中创建和修改
以上回答应该是所有
柯林
发表于 2017-6-18 08:57:14 | 显示全部楼层
本帖最后由 柯林 于 2017-6-18 09:02 编辑
zongk 发表于 2017-6-17 21:04
英文论坛找到的:"|":在"受保护的文件"结尾加,阻止沙盒中限制等级为——"部分限制、低权限级别、 ...

个人意见,仅供参考:
涉及两个问题
1、历史问题:过去的版本,大概8系以前,沙盘还是策略型沙盘,不是全定向沙盘,只有在默认级别的部分限制级别,才会完全虚拟化,这就涉及到FD操作上的风险,系统启动文件及目录等重要东东当然要额外关照
2、现在沙盘进步了,基本上全定向了(不管选哪个级别,应该都是完全虚拟化,这个是个人猜测,具体是不是这样,请实测验证)。
回答你的疑问:入沙了,还谈什么写入?入沙,虚拟化操作,写与不写,似乎意义不大,然而,逻辑上进一步看,入沙后,对于虚拟化重定向操作,可写与不可写,依然有差别,不可写、只能读,对于某些程序可能就崩溃或发脾气了。
其二,对于无法识别的程序,有两种情况,一种,它被毛豆自动入沙了,一种,它被用户手动选择不入沙,如果毛豆设置的限制存在,不管你是否把它入沙,它都不可以写入保护目录,意义当然不一样;同样的道理,即使毛豆已经判白,默认为信任的程序,你指定它入沙,它还是不可以写入那些目录或文件,即使在沙盘这种虚拟目录内以虚拟的方式写入,也不允许,意义当然还是不一样。
ps:其实这种思想应该发扬光大,比如毛豆现在设置的数据保护目录,对于入沙程序不可见,具有很好的防火防盗效果,进一步扩展:只有指定的非入沙的例外程序可以访问,就更安全,更赞了。
--------------------------------
以上,纯属个人YY,具体可信回答,请搜索以前的讨论帖,并以官方的帮助文档及使用指南为准。
zongk
头像被屏蔽
 楼主| 发表于 2017-6-18 10:25:44 | 显示全部楼层
柯林 发表于 2017-6-18 08:57
个人意见,仅供参考:
涉及两个问题
1、历史问题:过去的版本,大概8系以前,沙盘还是策略型沙盘,不是 ...

谢谢,请问Comodo有没有可能侦测不到的地方?只要识别为未知,我就很放心,就怕它不管
柯林
发表于 2017-6-18 10:57:58 | 显示全部楼层
zongk 发表于 2017-6-18 10:25
谢谢,请问Comodo有没有可能侦测不到的地方?只要识别为未知,我就很放心,就怕它不管

应该是有,对抗与反对抗,就像细菌与青霉素,互相竞赛
zongk
头像被屏蔽
 楼主| 发表于 2017-6-18 11:17:17 | 显示全部楼层
本帖最后由 zongk 于 2017-6-18 11:18 编辑
柯林 发表于 2017-6-18 10:57
应该是有,对抗与反对抗,就像细菌与青霉素,互相竞赛

我要准确的,比如shellcode注入,Comodo显示有。rootkit可能没有?还有可能绕过检测的方式,比如手动添加信任,万一不老实还有VirusScope补充?
——来自不放心的小白

柯林
发表于 2017-6-18 12:48:04 | 显示全部楼层
zongk 发表于 2017-6-18 11:17
我要准确的,比如shellcode注入,Comodo显示有。rootkit可能没有?还有可能绕过检测的方式,比如手动添加 ...

rootkit不是什么高深的东东,很早之前就显示有检测,现在都不屑提这个,有疑问请访问官网质疑

没一家可做到百分之百防御,市面安软,能做好常规防御,就算合格,你要纠结尽可能、无漏,真相会让你想哭——自己搜索,某些大牛高手喷市售安软,检测与防御率低得可怕,你信吗,纠结吗,你还用啥呢?没得用,全是废物!
zongk
头像被屏蔽
 楼主| 发表于 2017-6-18 14:47:50 | 显示全部楼层
本帖最后由 zongk 于 2017-6-18 14:50 编辑
柯林 发表于 2017-6-18 12:48
rootkit不是什么高深的东东,很早之前就显示有检测,现在都不屑提这个,有疑问请访问官网质疑

没一家 ...

  • 你的回答我没有收到任何信息......我只是想知道,剪掉杀毒模块,Comodo防护有什么不足...(知情权)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-22 23:34 , Processed in 0.044123 second(s), 3 queries , MemCached On.

快速回复 返回顶部 返回列表