关于COMODO D+ heuristic一问

barbara

看了本区关于comodo的测试，有个小小的问题想请教各位大大：

1。D+的行为启发只会在explorer调用某应用程式时起作用么？
2。当explorer launch不明程式被allow之后，不明程式接下来的行为是否还能触发comodo的d+报警呢?

如果以上想法属实，那么comodo的测试方法和测试成绩似乎都要另外来看了。

期待高人指点

gwg829

1。D+的行为启发只会在explorer调用某应用程式时起作用么？
2。当explorer launch不明程式被allow之后，不明程式接下来的行为是否还能触发comodo的d+报警呢?


毛豆的D+在防火墙相关提示中也会有启发

你说的ALLOW只是允许explorer运行程序  下面还有许多拦截的

huai168an

1。D+的行为启发只会在explorer调用某应用程式时起作用么？
启发在第一步时，就是explorer调用时，这个只是一个情况，启发还有很多种情况
http://bbs.kafan.cn/viewthread.php?tid=160007 这个帖中的截图你仔细下就知道了

2。当explorer launch不明程式被allow之后，不明程式接下来的行为是否还能触发comodo的d+报警呢?
启发已经告诉你可能存在恶意，在不同的模式有不同的提示。在最高模式下，这个启发只是个参考了，程序的每个东西将提示。而在clean pc mode下启发，可能就会有比原来提示更多的警报

启发是一种引擎，是可能对系统敏感区（具体不详）的动作而提示，所以，在explorer调用后启发，接下来就看改程序动作是否触发了这个启发，有就继续启发，无的话就不启发。

测试的话主要是看第一步的，如果在过程中的启发，就没有意义了，一来或许程序已经运行了很多，一些真正恶意的行为或许不启发，一些无关紧要的东西启发就没什么意义了，二来测试人员已经很辛苦了，在看程序的动作，估计要。。。。

barbara

原帖由 gwg829 于 2008-8-7 15:27 发表
1。D+的行为启发只会在explorer调用某应用程式时起作用么？
2。当explorer launch不明程式被allow之后，不明程式接下来的行为是否还能触发comodo的d+报警呢?


毛豆的D+在防火墙相关提示中也会有启发

你说的A ...

我的意思就是在样本区测试时为什么只测一步。。。

barbara

原帖由 huai168an 于 2008-8-7 15:34 发表
1。D+的行为启发只会在explorer调用某应用程式时起作用么？
启发在第一步时，就是explorer调用时，这个只是一个情况，启发还有很多种情况
http://bbs.kafan.cn/viewthread.php?tid=160007 这个帖中的截图你仔细下就 ...

只测第一步。。。这样的“测试”不测也罢。

周勃

所见略同。
这种测试，意义不大。
稍微测试一下就算了，长期到那里去测试HIPS，没意思。

[ 本帖最后由 周勃 于 2008-8-7 21:25 编辑 ]

gwg829

那帖测第一步  只是告诉你  毛豆的启发是什么样的而已

只要有heuristic就表示是启发的

barbara

1。恶意程式并不是每一个行为都是危险或者有害的。。。如果启发放过真正的恶意行为不报，那....
2。第一步选择block，并不代表comodo不能继续出现D+ 报警，样本区的测法实在是很XX
3。判断comodo是否成功启发的标准是出现mal d+ heur found mal behav，并不是出现提示窗就算，而且请3楼注意，不管是d+还是防火墙，都只有在safe mode以上才会有这种启发，clean pc mode没有启发。

[ 本帖最后由 barbara 于 2008-8-7 21:28 编辑 ]

huai168an

comodo的重点不看，非要扯启发，启发只不过是辅助，给你个信息或提示而已。

http://bbs.kafan.cn/viewthread.php?tid=252018&page=1#pid3510938 最下面自己看看吧

2。第一步选择block，并不代表comodo不能继续出现D+ 报警，样本区的测法实在是很XX
3。判断comodo是否成功启发的标准是出现mal d+ heur found mal behav，并不是出现提示窗就算

汗啊。对于启发不说了，说的天花乱坠还是一样，没意思

注意测试区测试的就是comodo的启发，不是D+。

[ 本帖最后由 huai168an 于 2008-8-7 21:55 编辑 ]

gwg829

测试区只是测试毛豆的启发而已  不可能拿D+去测试的

用HIPS去测试区测试  你觉得还有意思吗  




1。恶意程式并不是每一个行为都是危险或者有害的。。。如果启发放过真正的恶意行为不报，那....


启发也不能保证100%启发的

2。第一步选择block，并不代表comodo不能继续出现D+ 报警，样本区的测法实在是很XX

样本区只是测试毛豆启发  不测试别的..



3。判断comodo是否成功启发的标准是出现mal d+ heur found mal behav，并不是出现提示窗就算，而且请3楼注意，不管是d+还是防火墙，都只有在safe mode以上才会有这种启发，clean pc mode没有启发。

clean pc mode本来就是信任你机器上已经存在的所有文件
所以请先看看毛豆的几个MODE的定义

[ 本帖最后由 gwg829 于 2008-8-7 21:52 编辑 ]