DDos木马

显示全部楼层 · 发表于 2018-6-26 09:54:16

柯林发表于 2018-6-26 09:40
exe信任，黑dll就被过了，好像就这样的，悲剧。这问题好像一直没解决好。上报给官人看看

只靠COMODO主防的话，explorer.exe权限还是要限制严格一些，HIPS少报可能是系统程序的规则权限太高了，感觉云端库+云主防分析判断是可以节约不少流程的

显示全部楼层 · 发表于 2018-6-26 10:10:44

太古汇聚发表于 2018-6-26 09:54
只靠COMODO主防的话，explorer.exe权限还是要限制严格一些，HIPS少报可能是系统程序的规则权限太高了，感 ...

安全模式，为了易用性，靠信誉，验证不够彻底——始终不明白，为啥验证了exe合法就pass，后面的dll咋就不验证了呢？如果dll也验证，黑玩意应该识别得出来，白+黑也就废了。毛豆好像有点偷懒

显示全部楼层 · 发表于 2018-6-26 10:12:18

191196846 发表于 2018-6-26 09:44
但是那个 w_download 是未知的

释放的虽然是信任的……但按照规则也应该一并入沙……

CCAV始终只适合一般人应用，双击病毒测试，它确实有风险。

显示全部楼层 · 发表于 2018-6-26 10:25:07

柯林发表于 2018-6-26 09:40
exe信任，黑dll就被过了，好像就这样的，悲剧。这问题好像一直没解决好。上报给官人看看

bug豆

中毒  没事，有上报大法

有bug 没事~~ 真没事吗  有些bug修复不了~~~

显示全部楼层 · 发表于 2018-6-26 10:25:37

本帖最后由太古汇聚于 2018-6-26 10:26 编辑

柯林发表于 2018-6-26 10:10
安全模式，为了易用性，靠信誉，验证不够彻底——始终不明白，为啥验证了exe合法就pass，后面的dll咋就不 ...

疯狂模式中通过explorer.exe调用的病毒文件HIPS并没有提示，病毒直接写入了，Virus Scope通过行为判断出来了，在缺少云端库和规则的情况下，系统程序的权限规则不好控制，调高了容易疯

，看来开启未知入沙还是很有必要的。

回头下个KIS学习下他们对系统程序的主防规则和行为是怎么有效处理的

显示全部楼层 · 发表于 2018-6-26 11:58:58

本帖最后由太古汇聚于 2018-6-26 12:00 编辑

191196846 发表于 2018-6-25 19:25
Comodo MISS

貌似漏沙了…… @柯林

HIPS在疯狂模式下，如果可执行文件在COMODO的沙箱里运行，貌似HIPS并不监控虚拟环境内的可执行文件和行为，但Virus Scope会去分析文件行为，这可能是厂商的设定？

换个虚拟环境试一下COMODO的HIPS是否有效。。。。。

显示全部楼层 · 发表于 2018-6-26 12:06:18

太古汇聚发表于 2018-6-26 11:58
HIPS在疯狂模式下，如果可执行文件在COMODO的沙箱里运行，貌似HIPS并不监控虚拟环境内的可执行文件和行为 ...

沙箱内的重定向了，怎么写，不影响实机，除非穿沙。

个人印象中，好像HIPS规则是影响所有程序的，包括入沙程序，你测试了看看。

显示全部楼层 · 发表于 2018-6-26 14:24:39

太古汇聚发表于 2018-6-26 11:58
HIPS在疯狂模式下，如果可执行文件在COMODO的沙箱里运行，貌似HIPS并不监控虚拟环境内的可执行文件和行为 ...

虚拟环境不会触发HIPS拦截点……最多防火墙会

显示全部楼层 · 发表于 2018-6-26 16:29:14

COMODO纯墙，关闭未知入沙，单独开启HIPS可以拦截

显示全部楼层 · 发表于 2018-6-26 17:26:29

q185123258 发表于 2018-6-26 09:24
我记得360有个让你输入密码在扫的下载保护

原来如此

[病毒样本] DDos木马