查看: 7994|回复: 25
收起左侧

恐怖测试!!!

[复制链接]
伯夷叔齐
发表于 2008-3-31 16:09:23 | 显示全部楼层 |阅读模式
首先,祝贺COMODO V3最新版通过了matousec的所有测试,但当我们为众多HIPS软件的一次次安全性能上的飞跃和技术上的突破的同时,破坏者也同时也在想法设法的改进对各种防火墙的突破方式。

我们首先来看看这个HIPS测试网站http://www.testmypcsecurity.com/view_results_xp.html,在这里,我们再次看到COMODO的辉煌成绩,再次祝贺!




同时我们也要看到,没有尽善尽美的HIPS软件,强大的COMODO依然在HIPS部分有两项没有通过,通过测试,最新版已经能够通过Keylogtest 测试,现在暂时所知的恶意破坏系统的手段中,Delete Volume 测试是COMODO唯一没有逾越的障碍,包括最新版。我们可以从表格中了解到,顺利通过此测试的HIPS软件以及防火墙中,通过该测试的暂时仅有:Sunbelt Personal Firewall    这仅仅是测试,如果是真正的恶意程序,那么我们系统的后果会将是怎样呢?!!

下面,我们就来开始此两个项目的测试:

1、Keylogtest

COMODO报警显示未知程序读取键盘操作,并模拟键盘操作。


当我们阻止该程序的此次行为,就出现下图所示,继续后,该程序无法记录键盘,测试通过。




如果我们允许,下图就是程序记录键盘操作过程:




此项测试证明COMODO已经能够成功通过该测试,防止该类型键盘劫持木马行为。

2、Delete Volume

此项测试很残酷,COMODO没有任何报警。。。后果很严重。。。。。大家去试,我就不发图了。。。。呵呵。。。。

测试程序如下:



[ 本帖最后由 伯夷叔齐 于 2008-3-31 16:17 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +22 收起 理由
baerzake + 22 感谢测试

查看全部评分

伯夷叔齐
 楼主| 发表于 2008-3-31 16:09:52 | 显示全部楼层
马上站位。。以防不测。。。。本楼将对任何第二项测试中有任何疑问的朋友提供16小时专家门诊。。。。呵呵。。。

当我们把U版的FD规则里的驱动设备服务那一组添加到FD里,然后同时也在FD里的IMPORTANT FILES/FOLDERS里加入,然后我们再来测试

当我们再次运行测试程序时,COMODO报警:该程序修改一个被保护界面\Device\MountPointManager。当我们阻止时,该测试,COMODO顺利通过!!!


以上看来,此问题并非COMODO核心部分的触发机制缺陷,而是规则问题。

该测试一旦被程序突破,会造成除系统区外的其他分区磁盘消失。从上面看来,也许以后的\Device\——驱动设备服务FD组有多么重要。

对于运行过该测试的朋友,一旦分区消失,解决办法是:
右击"我的电脑",选择"管理",在打开的窗口中选择"计算机管理→存储→磁盘管理",然后在右侧窗口中找到隐藏的盘并右击之,选择弹出的快捷菜单中的"更改驱动器名和路径"项,然后添加,把分区输入进去,就恢复了硬盘信息。

[ 本帖最后由 伯夷叔齐 于 2008-3-31 17:40 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
chen9028
发表于 2008-3-31 16:25:53 | 显示全部楼层
好东东呀,支持楼主喽
chenwei54
发表于 2008-3-31 16:26:49 | 显示全部楼层
看了~
不敢测
没这技术~
rei2006
发表于 2008-3-31 17:30:50 | 显示全部楼层
下载下来,ESS干掉了它;关了ESS,Delete Volume运行而默认的comodo不动;计算机管理里没了磁盘信息;重启机器……呵呵,shadow defender起作用了,Delete Volume没有把我咋的……
某某猫
发表于 2008-3-31 17:36:02 | 显示全部楼层
U版规则的确能防
kanhairen
发表于 2008-3-31 17:41:01 | 显示全部楼层
在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗?对于陌生的程序来讲,AD模块就是禁止它运行!
伯夷叔齐
 楼主| 发表于 2008-3-31 17:43:12 | 显示全部楼层
原帖由 kanhairen 于 2008-3-31 17:41 发表
在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗?对于陌生的程序来讲,AD模块就是禁止它运行!

其实这些测试主要是看让程序运行后,都运行了哪些可疑动作而已了,如果真正如你所说,就根本没有运行程序的必要了,这个仅仅是测试所需要的目的而已。
某某猫
发表于 2008-3-31 17:45:09 | 显示全部楼层
原帖由 kanhairen 于 2008-3-31 17:41 发表
在该程序启动时直接“BLOCK THIS REQUEST”不就行了吗?对于陌生的程序来讲,AD模块就是禁止它运行!

直接终止了就没测试的必要了
halfzeus
发表于 2008-3-31 19:42:07 | 显示全部楼层
不懂,还得学习
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 04:13 , Processed in 0.128256 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表