新版comodo可以拦截病毒通过services.exe加载驱动了吗？

Magis

主要是因为services.exe 默认隶属于windows system application组，drive installation是允许的。
个人允许services.exe加载%windir%\system32下的驱动，其他的ask。

周勃

应该都询问吧？
你怎么反而把最关键的文件夹给排除了？

pastport

原帖由 周勃 于 2009-1-2 13:44 发表
应该都询问吧？
你怎么反而把最关键的文件夹给排除了？

如果FD把关的话
这里允许也无所谓

周勃

哦，原来是这么回事。
不知道FD能不能把到关。

Magis

本来正常程序要访问SCM的话，只能允许，而且加载的都是可信的驱动。关键是某些未知程序通过services.exe加载非法驱动。另外system32下的*.sys靠FD来把关。

[ 本帖最后由 magiscoldeye 于 2009-1-2 14:37 编辑 ]

抓抓

除非能弄个“服务白名单”之类的东西可能好一点点。。
所谓services.exe规则的意义不大。。在安装一些软件时，你不可能知道所有未知驱动的加裁哪些是否合法，哪些该block，不可能有通用公式。。。

周勃

哦，这个跟OP正好相反。
访问SCM的时候OP是不会提示的。
只是程序通过SREVICES加载驱动的时候才会询问。反倒是创建文件和调用程序是ALLOW.
哦，这个COMODO我还没搞懂。
怎么我看到9楼U版做的测试，提示的是跟OP一样的呀？我还以为跟OP一样呢。
如果按你那样设置，是不会有U版那样的提示了吧？

[ 本帖最后由 周勃 于 2009-1-2 15:11 编辑 ]

pastport

原帖由 周勃 于 2009-1-2 15:05 发表
哦，这个跟OP正好相反。
访问SCM的时候OP是不会提示的。
只是程序通过SREVICES加载驱动的时候才会询问。反倒是创建文件和调用程序是ALLOW.
哦，这个COMODO我还没搞懂。
怎么我看到9楼U版做的测试，提示的是跟OP一 ...

允许SCM 而 srevices 使用CIS 默认分组
不会出现U版截图的提示

周勃

哦，明白了。
可能正如抓抓所说，OP的可能加了白名单。

distance0

原帖由 ubuntu 于 2009-1-2 10:59 发表
CIS可以拦截

不过直接报service.exe加载驱动，意义不大
因为service.exe加载驱动是正常行为

要报就报xx程序通过service.exe加载驱动
或者直接是xx程序安装新驱动或服务


432754

xx程序通过service.exe加载驱动之前，会拦截到xx程序access service.exe，而且释放驱动文件，fd也会拦截到，是不是正常行为很容易判断。eq也是这样分开报的，似乎专业的hisp都是这样，某些杀软或所谓“智能”主防才可能会报xx程序通过service.exe加载驱动。eq报xx程序安装新驱动或服务，其实只是拦截的注册表操作，在comodo中，当然交给rd了。从这里看，eq更傻瓜一些，comodo更专业一些。