Comodo的HIPS和Firewall测试程序，骗人的把戏

Devy

实在无语。。。太浮躁不是件好事。

chow2006

MS是那个CY68******

polly5771

cy发现了黑名单。我看K大回帖时提到过：删掉某个文件后，微点报RAR.

chow2006

偶记错了

virusman

原帖由 niels 于 2008-6-23 18:52 发表
不懂就别乱说，干掉微点的白名单，winrar都被拦，要不要试试？
就知道维护你的微点，恰恰引起别人的反感。
好好一软件，就被你们这些人整的比火狐还恶心。

不好意思，编辑下文明用语

如果去掉白名单，winrar只是在解压缩并运行病毒文件时，微点才会报，原因是微点需要向上追原始程序，追到winrar时，如果不认识，则认为是病毒的母体，这时才会报。如果winrar解压缩正常程序，则不会报。所以，报winrar不是因为winrar本身。白名单对于微点向上追踪病毒母体起着很重要的作用。

spiha

其实不止winrar的 。
你如果清楚微点原理你就知道白名单的作用有多大了
epsnap 我拿去脱壳然后改了不够三行代码（去掉一个全局钩子的加载） 微点就误报了。。

[ 本帖最后由 spiha 于 2008-6-23 23:02 编辑 ]

virusman

但也不要夸大白名单的作用，同样一个不认识的程序，HIPS可能报警一大串，微点可能没有任何报警，说明微点绝不是HIPS+白名单这么简单。

spiha

看来微点的广告真是毒害人。。
那几个api 调用来调用去。。 你认为可以做到多智能？

禁止修改浏览器进程内存 （很好 我gdi＋＋就被误报了）
全局钩子 键盘记录（其实就是记录esc热键） （epsnap修改版被误报了）
防止exe被感染 白名单外修改询问 （OD被误报了。。）

＝ ＝ 。。。。。

－－

另外 我并没有说反对白名单这种方式来减少误报和询问
但是 对于一些老夸大微点智能性的人很看不过眼。

[ 本帖最后由 spiha 于 2008-6-23 23:15 编辑 ]

virusman

问题是你只看到了白名单的作用（这一点我不否认），但是不仅仅是白名单在起作用。否则也不会安装一个软件（这个软件微点不认识）时，HIPS一直报警，而微点不报警。按你的说法，因为这个软件不在微点白名单中，就应该报警，但实际上微点没有报，这就说明白名单固然重要，但微点绝不仅仅依赖白名单。

[ 本帖最后由 virusman 于 2008-6-23 23:22 编辑 ]

chow2006

这里有个问题，你安装的软件怎么确定不在微点的白名单中？