comodo10的HIPS的AD拦截驱动安装太弱了

pluto1313

测试环境：WIN10 64位

本来卡巴的HIPS在WIN10 64位上很多拦截点不支持了，比如钩子、消息、安装驱动、服务管理器等等等，所以来测了下comodo的HIPS，发现毛豆的钩子拦截正常，最高危的驱动安装反而是歇菜（疯狂模式）。

这边一共测试了三个软件，
可以正常拦截驱动安装的只有下面这个Process Monitor：
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

然后下面这两个软件安装驱动均没有任何提示：
https://docs.microsoft.com/zh-cn ... ds/process-explorer
http://bbs.kafan.cn/thread-1426416-1-1.html


只能说失望，其他人可以在win10 64bit下试一下看看

KK院长

请在疯狂模式下，并关闭云等测试看看。

pluto1313

肯定是疯狂模式，专门测的拦截点

KK院长

pluto1313 发表于 2017-9-30 16:04
肯定是疯狂模式，专门测的拦截点

纳，豆豆挂了 ？？？

HEMM

不试！我胆子小的很，怕破掉。
话说姐姐的AD具体是如何设置拦截点拦截驱动的？

pluto1313

HEMM 发表于 2017-9-30 18:02
不试！我胆子小的很，怕破掉。
话说姐姐的AD具体是如何设置拦截点拦截驱动的？

三个都是正常软件，两个微软的，一个ARK，都不是病毒。

把三个工具加入规则，所有AD项都询问即可。

黑暗的背叛者

HEMM 发表于 2017-9-30 18:02
不试！我胆子小的很，怕破掉。
话说姐姐的AD具体是如何设置拦截点拦截驱动的？

我试过了，像pchunter这种直接加载驱动会被拦截，WIN64AST这样利用服务加载的貌似避过了拦截点，会提示创建系统服务，之后服务加载驱动默认是系统行为不拦截的，要拦的话就是拦截掉创建服务驱动就会加载失败。现在主要依靠云信誉+自动沙盒，HIPS已经不指望了。另外，不断网的话，似乎这几个的行为会加白，不会有任何提示。

HEMM

pluto1313 发表于 2017-9-30 19:30
三个都是正常软件，两个微软的，一个ARK，都不是病毒。

把三个工具加入规则，所有AD项都询问即可。

哦，你可以试试管制一下这个进程services.exe

HEMM

黑暗的背叛者 发表于 2017-9-30 21:38
我试过了，像pchunter这种直接加载驱动会被拦截，WIN64AST这样利用服务加载的貌似避过了拦截点，会提示创 ...

那就把系统的行为也给抑制住，控services.exe试试看。系统原本的服务可以直接排除掉，后来的可通过询问，但是....这等于是全局禁运，不过驱动嘛，一旦加进去就进去了，禁运来的简单粗暴，具体办法好像版区内的规则多的是，我有瞟过一眼。
很久没开防护惹......没心情玩，比较热衷于无脑的游戏.........

我连沙盘也不用.....现在倒是当鉴定器用用，下载可疑的程序或者特意玩的时候才临时打开，基本很少打开了.......



WIN64AST.......没用过，以前我有用过pchunter，不过我的没什么实力倒是有过多的好奇心，经常的玩死自己的系统就没弄了.......
不乱折腾真的没什么毒啊这啊那啊的，平时威胁很罕见........


倦怠期.......用久了也不知道为啥米越来越提不起劲了，当初多大的劲头啊，蓝屏也玩的不亦乐乎。

pluto1313

没用的拦不了，系统那块我自然是改过的，照样不拦截。你们说的云自动放行不可能，因为LOG里面都没加驱的记录却有别的记录。

我只想说从win8开始，64位系统上病毒和杀毒软件已经不在是同一条水平线上了。