comodo的恶意行为启发

kuririn

早說過了  當初一看到comodo的這個東東就知道是啥東東了

baerzake

我在测试区发帖了，鹦鹉来奖励吧

huai168an

paranoid mode与safe mode启发，当然clean pc mode是启发不了的

伯夷叔齐

原帖由 huai168an 于 2008-7-6 01:24 发表
paranoid mode与safe mode启发，当然clean pc mode是启发不了的

你测试过？能这样肯定？我想不应该是这个问题。

huai168an

我试过了

要不还有其它方面的设置？测试中我只是简单的调了下模式来测试的

[ 本帖最后由 huai168an 于 2008-7-6 01:34 编辑 ]

伯夷叔齐

原帖由 huai168an 于 2008-7-6 01:33 发表
我试过了

要不还有其它方面的设置？测试中我只是简单的调了下模式来测试的

非常感谢你的测试。谢谢。
写一个理论加实践的帖子吧，最近测试区很火，而且这个报警很“傻瓜”，肯定会轰动的。
同时感觉，COMODO的设计逻辑怪怪的。

[ 本帖最后由 伯夷叔齐 于 2008-7-6 01:45 编辑 ]

huai168an

这个啊，理论和实践，貌似很迷茫的说

而且启发行为还没找到规律，貌似就是comodo自带的一种引擎，而且就是对explorer调用该程序的第一步进行启发，还对较为敏感的文件路径也会提示，没啥特别的。我都没注意，主要还是要全过程的把握（这样可能要点到手抽筋 ）

不知道comodo搞啥东东，奇怪中。不过这个功能还不错的。

[ 本帖最后由 huai168an 于 2008-7-6 06:08 编辑 ]

伯夷叔齐

原帖由 huai168an 于 2008-7-6 01:47 发表
这个啊，理论和实践，貌似很迷茫的说

而且启发行为还没找到规律，貌似就是对系统默认的图标程序敏感啊，而且就是对explorer调用该程序的第一步进行启发，感觉就是个普通的提示，说下是comodo启发的 ...

刚才我也试了，如你所说，clean PC模式下不报木马，而且还与safe模式以及Paranoid模式不一样的是，当报警后，阻止explorer.exe运行这个木马时，这个木马又报警要在system32下生成两个DLL文件，我阻止后，它又有一个提权操作，我又阻止掉，但奇怪的是。。。如图！！



看来注册表修改和COM提权没有阻止掉，说不定在system32里生成的两个DLL都没有阻止掉。

safe mode和paronoid mode下阻止，没有任何问题。。。。看来。。。是该GHOST的时候了。。唉。。倒霉。。

huai168an

你用clean pc mode试验的？

伯夷叔齐

原帖由 huai168an 于 2008-7-6 02:54 发表
你用clean pc mode试验的？

千真万确，绝对不会是training模式，除非我老眼昏花。

应该是在我C:\Documents and Settings\××\Local Settings\Temporary Internet Files\*临时文件夹里建立了一个EXE执行文件，才产生后面连带的动作。但。。。。。第一步就应该阻止掉嘛。。。

[ 本帖最后由 伯夷叔齐 于 2008-7-6 03:45 编辑 ]