Comodo是怎么知道不是同一个文件的？

随便注册

版本：10.1.0.6476

两个不同文件，在文件评级中信任一个，删除，把另一个设为同样的位置、文件名、修改时间、字节大小，但瞒不过Comodo

不是先校验后知道，而是如果是真的原文件，根本不校验，cmdagent.exe占用0%（校验8%），可不校验又是怎么知道文件有改动的？

通过导入导出列表+还原系统，排除Comodo实时监控，还有什么特征以区别文件？@kfk 说时间能精确到100ns纳秒，靠这个吗？
https://bbs.kafan.cn/thread-2120410-1-1.html

＝＝＝＝＝＝＝＝＝＝＝＝＝
又发现个问题
从信任列表中移除，再run，会重新校验和无法识别。反复测试，忽然就不再校验，也不会添加到无法识别，哪怕清空列表。如果文件改名，又会无法识别，直到添加信任。再移除，又不校验了。它偷偷的记住了还是怎么？
而且exe暂未发现有这待遇
感觉像坛里说的丢规则，还是规则有，但就是看不到那种。

tg123321

你说的这个文件识别问题，11的6710版才解决不久

随便注册

tg123321 发表于 2018-10-28 22:31
你说的这个文件识别问题，11的6710版才解决不久

这是BUG？解决后是什么表现？

tg123321

随便注册 发表于 2018-10-28 22:41
这是BUG？解决后是什么表现？

解决后应该就如你主楼所说，不过我没测试过......

随便注册

tg123321 发表于 2018-10-28 22:42
解决后应该就如你主楼所说，不过我没测试过......

我是10.1.0.6476，可能是11新出的BUG

kfunname

时间戳完全一样？创建时间？修改时间？
复制粘贴这种程度的创建时间会有明显变化
看了那个帖子说的时间精度问题，估计这个可能性比较大，也好像比较容易实现

随便注册

kfunname 发表于 2018-10-28 22:52
时间戳完全一样？创建时间？修改时间？

创建、修改、访问都一样，怕AHK只精确到秒，又用TrueCrypt试了试，它改动加密卷是不改时间的，多精确就不知道了。

AHK改的，当然不能靠复制粘贴了

1. 源文件 = C:\1.mp4
   
2. 目标文件 = C:\2.mp4
   
3. 
   
4. FileGetTime, 修改时间, %源文件%
   
5. FileGetTime, 创建时间, %源文件%, C
   
6. FileGetTime, 访问时间, %源文件%, A
   
7. 
   
8. FileSetTime, %修改时间%, %目标文件%
   
9. FileSetTime, %创建时间%, %目标文件%, C
   
10. FileSetTime, %访问时间%, %目标文件%, A

复制代码

kfk

我想应该就是先对基本特征，不符才重算。

两个文件是否完全一致，导出数据来对，才能说明吧：
path
version
vendorName
malwareUrl
hashCrc32
hashSha1
vendorSha1
adminVerdict
adminVerdictDate
userVerdict
userVerdictDate
comodoVerdict
comodoVerdictDate
actualVerdict
size
sizeOnDisk
created
modified
accessed

随便注册

kfk 发表于 2018-10-29 01:42
我想应该就是先对基本特征，不符才重算。

两个文件是否完全一致，导出数据来对，才能说明吧：

就是问除了文件本身还有什么特征能事先甄别？测试的视频文件，也不存在版本号。

kfk

随便注册 发表于 2018-10-29 01:57
就是问除了文件本身还有什么特征能事先甄别？测试的视频文件，也不存在版本号。

你把它们从Comodo文件列表导出，关键数据完全一致？
那我就不知道了……