comodo的恶意行为启发

polly5771

今天心血来潮，试了一下毛豆的恶意行为启发。
环境：VPC,XP SP3. Comodo 3.0.25.378.   （同时装有SBie和TF，但未发挥作用。）

规则：运行样本，出现defense+报恶意行为启发，算作成功拦截。


所用样本：kafan virlist 07.05
http://bbs.kafan.cn/viewthread.php?tid=282267&extra=page%3D1
样本数 87

所用规则：   (此规则无实用价值！只是完全信任system32及program files,正在完善中)

结果：80/87（约92%）
样本太多，不能一一截图。就把剩下的发上来　

在测试中，发现一个奇怪的现象：毛豆的启发对于这种图标的程序似乎更加敏感．初始样本中，这种图标的程序占多数，但剩余样本中，此图标的程序仅剩1个．

[ 本帖最后由 polly5771 于 2008-7-5 22:07 编辑 ]

polly5771

这可以给我们一点启发

对于怕麻烦的人来说，完全可以信任全部本地程序，单纯依靠毛豆的AD+恶意行为启发起到辅助防御作用。

我的想法，就是把毛豆的全局防御，改成入口防御。对于程序很集中的system32，program files完全信任，极大的减少弹框。（正常使用几乎为0）
采用微点或TF控制全局。毛豆用来补不足，对智能HIPS不敏感的高危单步行为进行防御。对于新程序的判断，充分考虑恶意行为启发的结果。
引入局长的黑名单规则，增加安全系数。

正在制作的规则，是为了进一步增强伞点组合设计的 弥补微点对高危单步行为不敏感，防火墙较弱的缺点。同时，comodo还能作为"工具"，用来拦截部分不需要的操作，比如，可恶的迅雷广告，QQ医生等等

[ 本帖最后由 polly5771 于 2008-7-5 22:12 编辑 ]

iszeds

刚没事,扫了下
扫出一个 IEhelper_8819.dll出来 大概这个名字
application data下的,也不知道是否恶意
但肯定是死了,估计那次安装软件的时候带的

baerzake

毛豆的启发能达到92%？为什么我测试样本几乎没有遇到过启发啊

polly5771

单次测试，只能作为参考。局长随便捡几个DOS程序图标的试试....

如果可行，欢迎志愿者作全月测试。我发补助（和微点测试一样）

[ 本帖最后由 polly5771 于 2008-7-5 22:15 编辑 ]

周勃

那我就等着看好戏了。

baerzake

如果做测试量太大了

周勃

要测就测红豆组合，用红伞一扫，剩下的病毒交给COMODO，工作量就不大了，每天只有几个。
与卡巴2009一较高低，现在卡巴2009几乎每天都是100%

哦，我改一下，好象不能这样测。

[ 本帖最后由 周勃 于 2008-7-5 22:32 编辑 ]

baerzake

不错的想法

伯夷叔齐

原帖由 baerzake 于 2008-7-5 22:09 发表
毛豆的启发能达到92%？为什么我测试样本几乎没有遇到过启发啊

是否是模式的问题呢？如果设置为最高模式，我感觉可能。。。！！！能否再试验一下？！

单次测试，只能作为参考。局长随便捡几个DOS程序图标的试试....

如果可行，欢迎志愿者作全月测试。我发补助（和微点测试一样）

其实早就想这样干，就是。。。我只有一台电脑，且有电脑洁癖。

[ 本帖最后由 伯夷叔齐 于 2008-7-6 03:38 编辑 ]