恐怖测试！！！

伯夷叔齐

首先，祝贺COMODO V3最新版通过了matousec的所有测试，但当我们为众多HIPS软件的一次次安全性能上的飞跃和技术上的突破的同时，破坏者也同时也在想法设法的改进对各种防火墙的突破方式。

我们首先来看看这个HIPS测试网站http://www.testmypcsecurity.com/view_results_xp.html，在这里，我们再次看到COMODO的辉煌成绩，再次祝贺！




同时我们也要看到，没有尽善尽美的HIPS软件，强大的COMODO依然在HIPS部分有两项没有通过，通过测试，最新版已经能够通过Keylogtest 测试，现在暂时所知的恶意破坏系统的手段中，Delete Volume 测试是COMODO唯一没有逾越的障碍，包括最新版。我们可以从表格中了解到，顺利通过此测试的HIPS软件以及防火墙中，通过该测试的暂时仅有：Sunbelt Personal Firewall    这仅仅是测试，如果是真正的恶意程序，那么我们系统的后果会将是怎样呢？！！

下面，我们就来开始此两个项目的测试：

1、Keylogtest

COMODO报警显示未知程序读取键盘操作，并模拟键盘操作。


当我们阻止该程序的此次行为，就出现下图所示，继续后，该程序无法记录键盘，测试通过。




如果我们允许，下图就是程序记录键盘操作过程：




此项测试证明COMODO已经能够成功通过该测试，防止该类型键盘劫持木马行为。

2、Delete Volume

此项测试很残酷，COMODO没有任何报警。。。后果很严重。。。。。大家去试，我就不发图了。。。。呵呵。。。。

测试程序如下：



[ 本帖最后由 伯夷叔齐 于 2008-3-31 16:17 编辑 ]

伯夷叔齐

马上站位。。以防不测。。。。本楼将对任何第二项测试中有任何疑问的朋友提供16小时专家门诊。。。。呵呵。。。

当我们把U版的FD规则里的驱动设备服务那一组添加到FD里，然后同时也在FD里的IMPORTANT FILES/FOLDERS里加入，然后我们再来测试

当我们再次运行测试程序时，COMODO报警：该程序修改一个被保护界面\Device\MountPointManager。当我们阻止时，该测试，COMODO顺利通过！！！


以上看来，此问题并非COMODO核心部分的触发机制缺陷，而是规则问题。

该测试一旦被程序突破，会造成除系统区外的其他分区磁盘消失。从上面看来，也许以后的\Device\——驱动设备服务FD组有多么重要。

对于运行过该测试的朋友，一旦分区消失，解决办法是：
右击"我的电脑"，选择"管理"，在打开的窗口中选择"计算机管理→存储→磁盘管理"，然后在右侧窗口中找到隐藏的盘并右击之，选择弹出的快捷菜单中的"更改驱动器名和路径"项，然后添加，把分区输入进去，就恢复了硬盘信息。

[ 本帖最后由 伯夷叔齐 于 2008-3-31 17:40 编辑 ]

chen9028

好东东呀,支持楼主喽

chenwei54

看了~
不敢测
没这技术~

rei2006

下载下来，ESS干掉了它；关了ESS，Delete Volume运行而默认的comodo不动；计算机管理里没了磁盘信息；重启机器……呵呵，shadow defender起作用了，Delete Volume没有把我咋的……

某某猫

U版规则的确能防

kanhairen

在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗？对于陌生的程序来讲，AD模块就是禁止它运行！

伯夷叔齐

原帖由 kanhairen 于 2008-3-31 17:41 发表
在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗？对于陌生的程序来讲，AD模块就是禁止它运行！

其实这些测试主要是看让程序运行后，都运行了哪些可疑动作而已了，如果真正如你所说，就根本没有运行程序的必要了，这个仅仅是测试所需要的目的而已。

某某猫

原帖由 kanhairen 于 2008-3-31 17:41 发表
在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗？对于陌生的程序来讲，AD模块就是禁止它运行！

直接终止了就没测试的必要了

halfzeus

不懂，还得学习