CIS D+的变化之我见(10月7日更新)

aseioteur

引子：
前些天使用了CFP，结果没有能拦截一个样本区的病毒，经星版的测试，CIS可以拦截相关的COM，由此引发在V3 D+原有COM保护里补加了相应的COM，但结果依然无法拦截。让我有装CIS的冲动。

这是关于COM拦截的那个帖子
http://bbs.kafan.cn/thread-333078-1-1.html

卸掉CFP 装上CIS后导入以前的规则，结果根本进不了系统（注:原来的规则设的比较严格，对系统进程进行了很多限制，但在CFP上未见问题）,系统反复蓝屏，进安全模式关闭CIS，就能正常进入系统，一种合理的解释是CIS中加入了很多新的过滤条件，而在CFP中没有监视。进入系统后开启CIS D+，系统运行正常，但从日志可以看到，拦截的东西明显多过CFP，包括如果规则限制的严格，可能导致软件无法运行，这些在CFP上已经反复调试的规则，在CIS上出现了问题。
因为反复蓝屏没有找到好的办法，用回CFP。
这里有个猜想，希望能得到大家的验证，用IS或狙剑可以看到CFP对SSDT很多项进行了挂钩，其实包括CFP和EQ HIPS的实现大多数也得益于这样的挂钩，CIS是否对更多的SSDT项挂钩呢？？用虚拟机的同志可以试验一下，实在怕看到蓝屏了

虽然论坛上，没有明确提到CIS D+和CFP D+的区别，但单从我的对比来看是有些细微差别的。总结一下大概有下面几点，个人观点，如有不对，希望指正。

1.启动速度，感觉最明显，CIS启动速度明显快过CFP，正常情况下CFP都是启动到最后才慢悠悠的跑出来，CIS很快就跳出来了，而且对整个系统的启动速度来说，也明显加快了很多。

2.默认的规则，CIS对系统进程的默认规则要比CFP的规则看似宽松了很多，这可能和CIS监视更加严格有关，毕竟要增强兼容性，在官网推荐于杀软的搭配中，默认关闭了显示器监视，磁盘读写监视和键盘监视和COM监视（多谢2楼的XD补充）。

3.增加了更多COM的监视，这些监视即使人为加入CFP中，也无法起作用，HOOK??

4.稳定性，因为一开始就导入了自己的规则，所以不知道在使用默认规则的情况下表现如何，但导入自己的规则后，CIS明显不够稳定，经常停止反应，在这种情况下，很容易自动退出。解释可能是
     Ⅰ，测试版本，没有解决所有的BUG
     II，个人的规则问题，规则过严与系统冲突，造成无反应
以上是个人的理解，希望大家一起研究，新手不要受误导。

总体感觉就是，CIS虽然主要的改变是加入了CAV，但D+也在默默的发生变化，将来肯定会走向更成熟，而且默认规则放宽意味着，CIS在后台给大家提供了更好的保护，不会降低安全性。是不是D+也在向更加智能化的方向发展呢？那自己定义规则，可能要注意到更多的兼容性的问题，不要学我，搞到蓝屏



经分析日志，得到的CIS BETA3版新增的拦截，包括命名通道和文件拦截
更新:
CIS 新加的命名通道拦截
\Device\NamedPipe\lsarpc
\Device\NamedPipe\samr
\Device\NamedPipe\EVENTLOG
\Device\NamedPipe\msgsvc
\Device\NamedPipe\ROUTER
\Device\NamedPipe\dmserver.pnp.dmadmin



CIS 新加的文件拦截
\SystemRoot\AppPatch\sysmain.sdb
\SystemRoot\AppPatch\systest.sdb


另外，光盘、U盘和硬盘分别新增
\Device\IDE#CdRom*
如\Device\IDE#CdRomHL-DT-ST_RW#DVD_GCC-4244N_______________1.02____#5&633cdd6&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

\Device\USBSTOR#Disk*
如\Device\USBSTOR#Disk&Ven_Ut165&Prod_USB2FlashStorage&Rev_0.00#0000000000260A&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

\Device\IDE#Disk*
如\Device\IDE#DiskHTS541060G9SA00_________________________MB3IC65R#4&14aa9da8&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}



?:\...的形式失效，如?:\RECYCLE?\*失效，这个大家的规则有必要调整一下了，现在？仍然可以代替单个字符，但不再适用于此种情况。
解决办法：
可以用\Device\HarddiskVolume?\替代?:\
如\Device\HarddiskVolume?\RECYCLE?\*

希望大家有什么新的发现，补充一下哦！

注：因为很多XD不相信，这里我截一下，我的拦截报告，只取了其中的部分，因为每个人的规则不同，拦不到很正常，只是说明CIS D+的变化（对比CFP V3）
另外，终于用上CIS了，beta3的稳定性感觉好很多，启动速度快也比CFP快，推荐大家升级。


[ 本帖最后由 aseioteur 于 2008-10-7 13:04 编辑 ]

lima668

CIS D+默认也关闭了COM拦截   支持LZ   顶一下

[ 本帖最后由 lima668 于 2008-10-2 13:31 编辑 ]

jony327

支持CIS的发展，但不支持智能化。手动hips一是可以达到更高的安全性，同时也是发烧友的乐趣所在。可以单作一个智能化的版本。手动的应该做的更全面和易用。不过要推广CIS，智能化不可避免，Comodo也两难，因为好象不太可能做两个版本。。。

绿茶

智能化绝对是一条正确的发展路线。

llxm920

那不是智能化`只是有了杀软 减少些规则少些提示

airforce9527

希望CIS正式版会给我惊喜

[ 本帖最后由 airforce9527 于 2008-10-2 20:11 编辑 ]

491866227

智能化只是一种炒作。
易用性才是本质。

aseioteur

易用性和智能性，我觉得在本质上是差不多的，只是说法不同，对于用户来说强调易用性，而在商家则大力宣传他的智能性。

我觉得，无论是何种HIPS，最终都会走向智能，毕竟喜欢手动的用户只占极小的部分，商家要生存，不可避免的走向商业化，大众化。

Magis

原帖由 491866227 于 2008-10-2 20:11 发表
智能化只是一种炒作。
易用性才是本质。

精辟！
lz此帖有加分的潜质啊，先琢磨好SEP的防火墙，等CIS稳定些了，也加入到打磨的行列来

polly5771

一直觉得毛豆是手动HIPS里最好的一种。

期待CIS正式版。