steam下载游戏被comodo拦截，下载后会提示下载损坏，这个是修改哪个

anthonyqian

柯林 发表于 2022-3-4 12:05
世上有什么东西会是百分百？
都自己能确定软件安全了，还有什么问题？
问题，你怎么知道软件是安全的？ ...

说实话，没特别看懂你的逻辑。

不太清楚你为啥一定要扯外{过}{滤}挂，你觉得楼主从steam下载的游戏是外{过}{滤}挂？外{过}{滤}挂一类的东西报个灰色软件一点问题都没有，让用户风险自负嘛。但是实际使用中，正常的软件被comodo自动入沙导致运行错误的例子不要太多，尤其是国内的环境。

而且自动入沙也不是完全可靠的，最近就有翻车案例 https://bbs.kafan.cn/thread-2227601-1-1.html

柯林

anthonyqian 发表于 2022-3-4 12:21
说实话，没特别看懂你的逻辑。

不太清楚你为啥一定要扯外{过}{滤}挂，你觉得楼主从steam下载的游戏是 ...

我也不懂你的逻辑——有阻挡就加白，这么玩，后果……然后又说，自动入沙还翻车，这么矛盾，无法理解！

自动入沙被过很正常——老豆油都知道，遇到白+黑就瞎了，这事无解，目前只有靠特征码杀黑dll，检测不出必废！而从实际使用情况，自动入沙可以满足一般人的日常防护需求，纠结样本区个别病毒，无实际意义！

anthonyqian

柯林 发表于 2022-3-4 12:34
我也不懂你的逻辑——有阻挡就加白，这么玩，后果……然后又说，自动入沙还翻车，这么矛盾，无法理解！
...

我的逻辑很简单，对于普通用户而言，comodo的自动入沙给他们造成的不便/困扰大于带来的额外保护。例如那个白加黑样本，咖啡的RP主防、F-Secure的DeepGuard主防、WV的主防都可以拦截，而且这三个主防目前来看不会给用户造成太大的困扰。

柯林

anthonyqian 发表于 2022-3-4 12:49
我的逻辑很简单，对于普通用户而言，comodo的自动入沙给他们造成的不便/困扰大于带来的额外保护。例如那 ...

白+黑是所有杀软的软肋，只有特征码检查一条路是目前最有效的手段。样本区不时有白+黑过所有杀软的帖子，不稀奇，并非只是毛豆的短板。如果纠结这个，可以加针对性的沙盘规则，或者开启HIPS到疯狂模式。

按照官方的测定，自动入沙，是解决易用与安全平衡的最佳方案，人家测试了几万个程序，证明这方案既能有效防毒，又不影响日常使用，这才推广的。至于国内少数用户遇到的“困扰大于易用的问题”，属于少数特例，不违反普适性设定，只能由用家自行取决——怎样用，或者用不用毛豆。

anthonyqian

柯林 发表于 2022-3-5 07:46
白+黑是所有杀软的软肋，只有特征码检查一条路是目前最有效的手段。样本区不时有白+黑过所有杀软的帖子， ...

白加黑类型的威胁确实防御难度大，但这并不是新生事物，而且已经被运用于真实场景的攻击中，因此是安全厂商不得不面对并解决的威胁类型之一。然而comodo的signature做的不好，病毒分析团队也不怎么样（我的亲身体验），主推的containment功能对这种类型也难以抵御，造成了安全漏洞。

这个官方指comodo吗？国内用户在comodo的眼里是少数群体，国内用户遇到的情况在comodo眼里是少数特例，是不是进一步说明了comodo不适合国内使用环境呢？

柯林

anthonyqian 发表于 2022-3-5 08:47
白加黑类型的威胁确实防御难度大，但这并不是新生事物，而且已经被运用于真实场景的攻击中，因此是安全厂 ...

白+黑确实不是什么新技术，但却是windows系统的死穴之一：签名验证的缺陷造成的！这不是安全厂商能解决的，只有windows升级签名防护机制，才能有效解决！
ps：英伟达刚被黑，现在，利用英伟达驱动签名的样本正在井喷（参看样本区），一大堆安软又该头疼了，这不是谁能轻松解决的问题。

国内用户分两种，一种是不怎么使用国产流氓软件，另一种是疯狂爱好国产流氓，就喜欢被流氓强奸的——人家毛豆说流氓不安全，要关沙盘里！流氓说，你不给我特别通行证，我就罢工！然后使用者说，我必须放行流氓……最后，自己看着办！

anthonyqian

柯林 发表于 2022-3-5 09:18
白+黑确实不是什么新技术，但却是windows系统的死穴之一：签名验证的缺陷造成的！这不是安全厂商能解决的 ...

作为杀软厂商而言，虽然没有能力去解决白加黑类型的威胁，但是可以通过特征启发、行为分析或者云端快速拉黑等手段去缓解这一威胁造成的影响，不让这个威胁影响到更多的用户，其他杀软都是这么做的。我看了一眼上面提到的白加黑样本的黑文件的VT检测结果，很遗憾，已经快过去一个月了，Comodo仍旧没有拉黑。

国内用户分两种，一种是不怎么使用国产流氓软件，另一种是疯狂爱好国产流氓，就喜欢被流氓强奸的——人家毛豆说流氓不安全，要关沙盘里！流氓说，你不给我特别通行证，我就罢工！然后使用者说，我必须放行流氓……最后，自己看着办！

你默认或暗示了被comodo自动入沙的国产软件全部都是流氓软件，这显然是不恰当的。

con16

樣本區那個白+黑
毛豆防毒查殺得到了

毛豆弱點還是白+黑這種，你手動入沙在沙盒隔離環境是不會中
怕的都是讓毛豆自己判別白的就讓黑的跟着過，這就都沒進沙盒
爲了易用性，看他們還是找不出只靠白名單解決這種方法
需要防毒輔助

剛好他家防毒又比較弱，抓特徵黑名單只能等回報入庫

還有在用毛豆，建議看到白+黑樣本，就順手回報一下給官方
畢竟他們也沒人在蹲點，加上免費版比較沒那樣多人手

柯林

con16 发表于 2022-3-6 08:53
樣本區那個白+黑
毛豆防毒查殺得到了

这东西小众样本，理论上能够遇到的几率近乎为零，可以忽略！
在乎就自己加规则---来源于网络，创建时间少于三天的，一律强制入沙（可能造成少许不变）！
再补一条：来源于移动磁盘，一律强制入沙！
——要安全，就必然不便！---入沙跑一遍，看看正常的，自己选择--再次运行在沙外执行即可。

anthonyqian

con16 发表于 2022-3-6 08:53
樣本區那個白+黑
毛豆防毒查殺得到了

没在用comodo，好奇comodo杀了这个白加黑的哪个部分？

如果VT数据准确的话，我看到comodo只入库查杀了几个快捷方式，而且还没有全部入库完。