给冰刃的Fans（更新----解密“冰刃事件”）

huai168an

【更新：更新了对冰刃限制的各种情况及冰刃删除文件的事件分析。详情见低端分析】

都说冰刃可以干掉comodo进程，而且事实呢？可以（完全信任冰刃的情况），而这就说明comodo的弱，comodo不堪一击吗？！

导火线：http://bbs.kafan.cn/thread-319823-1-1.html

先看下冰刃的动作
























打开后还有一个提示


以上说明等都不具体说了，知道的fans就看下（8楼有汉化的说明，需要的可以看下）

上面的所以动作是allow，允许的。。。。。。




结束后确实没有进程了。。。。。。




此时要等等，对于comodo规则没有的程序规则，未知的程序，不符合all application权限的规则等等一切未知的情况，你可以让其突破权限范围吗？？（注意的是这里我没记住冰刃的动作，只是临时的使用。如果是试验病毒等操作，自己要把握好吧。。。。）


是否选择了一个较为重要的选项呢？


我们说冰刃确实是个强大的安全辅助软件，这点是不用怀疑的，而对于进程等其它方面的表面现象也不足说明问题，而且危险程序的具体危险权限是否控制好，即使没控制好，是否把握了comodo的最后防线！

如果除了进程被结束只是一面（简单的结束进程不能完全说明问题，或许很多工具可以结束comodo的两个进程），那么其它程序可以很简单的恢复系统的SSDT等等，那comodo确实是有问题的（规则没有问题的情况下），然而至少现在的comodo还没有被较为简单的突破，除非fans自己的完全信任一个陌生软件，这个就。。。。。

限制冰刃的情况就不试了，或许冰刃无法运行，或许冰刃可以结束comodo的所有进程，然而是徒劳的。还是要把握好驱动等危险行为就OK了。

不要被表面现象所迷惑。也千万不要等病毒在系统肆无忌惮后，才想起规则。。。。。。

【更新的内容】
在高级模式规则较为完善情况下进行冰刃运行试验


失败，无法运行。日志
管道问题

删除all application规则的管道
继续
失败
原来是COM口问题
删除对应规则，继续
失败
加载驱动问题
删除对应规则继续

以后才可以正常运行，记住所有动作，开始冰刃锋芒
既然冰刃可以畅通运行了，我们就开始来限制下冰刃的权限吧（我想这是很基本的试验或制定规则的方式，可是？？）。。。。


然后冰刃权限全为block


运行冰刃，神奇，运行起来了，既然运行起来了，就看看效果吧，删除一个文件


成功删除，其它的就不要测试了，应该“过五关斩六将”了

哈哈，看官不要急，原因自然会显露

此时我们用工具看下


此时系统模块看到两个熟悉的身影没？！！
在来个图瞧瞧


冰刃驱动。。。。

好家伙，给了一次运行机会就如此“猖狂”，关闭冰刃居然不自动卸载，怪不得全为block状态还依然运行无阻呢。

重启机器。看看系统模块



总算是平静了

继续我们的全block状态（注意：例外中无任何内容）的冰刃之行吧
结果


还想通过管道吗？！~~  通过管道，想通过COM口嘛，即使通过COM口，驱动都无法加载，还想运行吗？！！妄想。。。。。


好了，我们小结下：“冰刃事件”的起因是为何，关键的操作点在哪里？居然是重启。。。。。冰刃确实强大，不过在强大的东东，被限制也是无用的，一个连运行都无法实现的强悍安软，如何来破坏系统呢？剩下的无非是用户“赤裸裸”“毫无知情”的情况下放行程序。如果非要说冰刃在全block的状态下（其实是完全自由状态）干掉comodo，干掉HIPS类软件，那么fans是否理解了HIPS的真正用途和目的呢（甚至是理解了冰刃吗？）？！

HIPS是防毒，玩的是规则，不是等到病毒运行起来才去清理的，才去考虑HIPS自身的能力的，它们不是杀软软。。。。

把握好“试验”的全部过程，而不是单一的去试验一方面，片面的下出结论，毕竟出现的情况和可能性都有。

PS：不知道那位冰刃的fans对comodo的“新认识”。。。。。还是对HIPS的“新认识”呢？？！！~~，祝你好运了

【因为上次时间仓促，没有对其仔细的分析，此次完善下】

[ 本帖最后由 huai168an 于 2008-9-3 13:00 编辑 ]

pastport

关键是提醒大家
那个选项最好是勾上

qcqyt

168发上来了啊，或许你应该写明白点，至少让刚才的仁兄看明白了，要不然发上来没什么用。

huai168an

啥明白点，我还没明白

yangjingfrance

说的很明白了啊....毛豆是很强大的~~ 冰刃是不能干掉毛豆的?

baerzake

冰刃可以干掉所有HIPS的进程
如果现在还有人对此怀疑就不要用HIPS了
加载了驱动的东西HIPS是防不了的
这个是最基本的常识
关键是什么东西要加载驱动

wellkobe

一大早的。。。。。。。。。。。。。。。

wuliyen

中文说明

trumanyqc

支持一下吧，俺是comodo的Fans

electronic

呵呵
不错
又学习了