查看: 2671|回复: 18
收起左侧

[讨论] 误报?

[复制链接]
w114116
发表于 2018-2-26 12:00:30 | 显示全部楼层 |阅读模式
本帖最后由 w114116 于 2018-2-26 13:04 编辑

是央视影音的网络通信被判定成网络攻击了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
JAYSIR
发表于 2018-2-26 14:50:07 | 显示全部楼层
本帖最后由 JAYSIR 于 2018-2-26 20:54 编辑

风行???
不算误报吧,国内软件一些不规范的行为,楼下分析很详细了
fireherman
发表于 2018-2-26 14:50:17 | 显示全部楼层
本帖最后由 fireherman 于 2018-2-26 15:16 编辑



以个人使用FireWall的理解:这是一条来自CBox.exe(央视影音主程序?)的【入站通信】

防火墙入站:

远程计算机“主动”向你发起连接请求,“主动”访问你的计算机。

Cbox.exe可能是带有P2P(Peer to Peer,点对点传输协议)功能的程序。

我没有安装过,使用过这个东东;不过估计是闭源的吸血P2P工具(国内的所有视频客户端都是这个尿性);

和开源的P2P软件(如eMule)不同,闭源的P2P软件(如迅雷),使你无法通过常规手段知道它是否上传“未经你本人同意,就私自上传本地(本机)的数据”

PS:开源P2P软件的共享设置,允许上传的数据(允许“入站者”访问的数据),【如下方显示的 F:\eMule_Download\*.*】 是开放的,公开透明的,不被共享的数据【如 F:\Documents\*.*】是绝对不会上传的(不允许“入站者”访问的数据)







作为一个需要开放“入站”的传输协议(P2P),而是还是“闭源”的工具,这是非常“危险”的行为;

轻则:因为你无法知晓它到底访问你本机的什么数据,然后强行上传。(泄密)

重则:通过劫持你的流量进行不法行为(因为你已经允许了对方的“入站”请求,对方可能“远控”启动某些程序),如DDoS攻击。(肉鸡)

综上所述,我个人觉得不是“误报”,在未清楚“对方的入站意图”前,应当予以“阻止”。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
浅暮、浅离 + 1 版区有你更精彩: )

查看全部评分

cloud01
头像被屏蔽
发表于 2018-2-26 15:16:35 | 显示全部楼层
fireherman 发表于 2018-2-26 14:50
以个人使用FireWall的理解:这是一条来自CBox.exe(央视影音主程序?)的【入站通信】

默认规则对应用程序入站都是不管的吗?还是要开手动档?
fireherman
发表于 2018-2-26 15:29:57 | 显示全部楼层
cloud01 发表于 2018-2-26 15:16
默认规则对应用程序入站都是不管的吗?还是要开手动档?



我没测试过,如果你说的“默认规则”指的是“ESET 防火墙内部规则”,而又使用“默认模式(自动模式)”,那么“普通程序(非系统进程)”入站应该是“被放行”的。

所以……我个人觉得,(ESET的)HIPS你可以不用【交互模式】,但既然使用了带有FireWall功能的版本(ESS/EIS/ESSP/EES etc.),那么FireWall就应当使用【交互模式】。

防火墙“入站”并非就一定不安全,例如使用【正规的P2P软件】;

防火墙“出站”也不一定就安全,例如流氓软件的诱导安装,其实就是“出站”下载,然后本地程序调用“下载”回来的安装包进行强制安装。

评分

参与人数 1人气 +1 收起 理由
JAYSIR + 1

查看全部评分

cloud01
头像被屏蔽
发表于 2018-2-26 15:40:16 | 显示全部楼层
fireherman 发表于 2018-2-26 15:29
我没测试过,如果你说的“默认规则”指的是“ESET 防火墙内部规则”,而又使用“默认模式(自动模式 ...

出站我是严格控制的有些程序真的也是不得不放行。就是个人用户不太能分辨入站是否正常 ,这个是个问题,就比如你上面的例子,你不说的话根本不知道这个应用程序需不需要入站。。这该怎么办?
w114116
 楼主| 发表于 2018-2-26 16:22:38 | 显示全部楼层
fireherman 发表于 2018-2-26 15:50
以个人使用FireWall的理解:这是一条来自CBox.exe(央视影音主程序?)的【入站通信】

感谢回答!
bbszy
发表于 2018-2-26 16:40:26 | 显示全部楼层
不认为是误报
pal家族
发表于 2018-2-26 21:41:07 | 显示全部楼层
本帖最后由 pal家族 于 2018-2-26 22:01 编辑

不要被吓到了,只是这个程序流量有风险软件“风行”的特征。
卡巴也是回报风行的一个带有漏洞的dll的。
但是!
没用证据表明这个exe是恶意,更没有明确证据表明它是“坏人”“小人”。
无端揣测只是加剧没用经验用户的恐惧,更是无助于实机解决问题。
为什么诺顿报毒
System Infected Adware funshion.

1: 风行是众所周知的辣鸡软件,
2: 风行软件具有严重漏洞,容易被利用,相关漏洞各大杀软都报毒。有的杀软拉黑风行安装程序,有的只报毒它的漏洞文件,
3: CNtv貌似用了风行的视频播放技术,会连接风行的一些网站资料。 如你的图所示,那个链接就是到风行的,你可以仔细看报道。

什么叫System Infected Adware funshion?
这是诺顿IPS(入侵防护)的报警,该功能既可以网页挂马如ramnit,也可以反网络攻击,也可以阻止潜在恶意软件与外界通讯。
诺顿显然任何连接到风险软件的某些服务器,意味着你的电脑中有这个软件(否则怎么会链接呢?)所以诺顿会认为你的电脑“感染”了风行。
为了你的安全,不能让这个危险的通讯存在(就好比不能让勒索软件链接他的服务器:诺顿IPS会阻止勒索软件的通讯,以防止其获得加密用的秘钥。),所以诺顿阻止了CNTV,这个,我认为对你而言合法而且安全的程序,的某些流量。这一切,个人认为,和出不出入不入站,吸不吸血下流不下流,没有什么关系。事情真相只能从源头(诺顿的报毒说明)来看,我是不喜欢过分联想的。

你问我是不是“误报”,我也不知道。这要看你对误报的定义。现在楼主可以自己做决定:如果诺顿没有影响你,那么皆大欢喜,避免了现在风险+正常看视频,再好不过了。如果影响视频播放,那也不要紧,看你愿不愿意换一个视频源,或者暂停诺顿。不管怎么样,我觉得你很安全。
看完我的话你得放宽心,这是我的一贯目的。我从不盲目灌输。当年我很小白时,也体会过各种担忧和恐惧。


王国之心00
发表于 2018-2-26 22:08:06 | 显示全部楼层
如果开启隐身模式还会有主动链接的入站吗?出现拦截是不是说明诺顿墙默认没有开启隐身。诺顿墙设置里也没找到隐身选项
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 21:21 , Processed in 0.129638 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表