新版comodo可以拦截病毒通过services.exe加载驱动了吗？

星之梦

我是说首次运行至少要Block吧。
没声音的问题以后再解决。
如果想又有声音又不要被它加驱动，
组策略里添上它基本用户，gpupdate /force就行了。


-------------
不过这也是临时办法，有些程序基本用户下也不是很正常。
彻底解决还是需要U版说的，新的COM。。。

[ 本帖最后由 星之梦 于 2009-1-4 10:01 编辑 ]

Abcix

学习一下，comodo怎么不出中文版呀

distance0

原帖由 ubuntu 于 2009-1-3 23:36 发表


时间有限，还有其它事去做。这个问题只说这一次。
讨论问题要统一前提，这个问题用的是Comodo默认规则，而且没牵涉FD ， 还要从普通用户角度看
现在说的是CIS 的SCM 和service.exe, service.exe已经被Comodo列 ...

你发的拦截图显然不是用的默认规则，都用默认规则也就不用去打磨了，呵呵。而且comodo自带多套规则，评测机构都搞混了。因为从来没用过它自带的规则，所以不是十分了解，其中最严格的规则也不拦截service.exe吗？另外fd里面似乎默认就是拦截sys的创建修改的。
驱动如果用了其它扩展名比如tmp，那就更容易判断是否恶意了，因为没有正常程序会这么做，什么都不用想就可以直接阻止了。
我只是觉得comodo在这方面的防护还是很到位的，呵呵。最大的缺陷是不能控制文件读取。

distance0

原帖由 ubuntu 于 2009-1-3 23:36 发表


Comodo要拦截的是恶意软件对service.exe的控制，有什么办法
只能去看SCM的提示，可是Comodo 的SCM不能确定是否安装服务或驱动
因为打开服务，它也报，

安装服务或驱动都是其实都是改的注册表，位置在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
一个是当前正在用的，一个是正常的，一个是备份的。保护好注册表完全能防止服务和驱动的安装。
installation既有安装也有设置的意思，我觉得在comodo中更多的是指设置。
恶意程序要通过service.exe加载驱动，就要先控制service.exe，所以拦截access service.exe应该是个不错的途径，当然还有别的途径，比如com口。

周勃

楼上的，建议你读一下这个帖子，加强一下感性认识，你就知道U版说的是什么了。http://bbs.kafan.cn/viewthread.php?tid=263063，

[ 本帖最后由 周勃 于 2009-1-4 22:10 编辑 ]

Mr.Z

同意,還是在all appication裡設定較實際

九尾野狐

原帖由 distance0 于 2009-1-3 19:51 发表

xx程序通过service.exe加载驱动之前，会拦截到xx程序access service.exe，而且释放驱动文件，fd也会拦截到，是不是正常行为很容易判断。eq也是这样分开报的，似乎专业的hisp都是这样，某些杀软或所谓“智能”主防才可能会报xx程序通过service.exe加载驱动。eq报xx程序安装新驱动或服务，其实只是拦截的注册表操作，在comodo中，当然交给rd了。从这里看，eq更傻瓜一些，comodo更专业一些。

是啊是啊

说的真好

EQ是没FD的而且只能拦截驱动和服务的安装拦不了驱动的加载

让我们一起瞻仰专业的COMODO

[ 本帖最后由 九尾野狐 于 2009-1-5 02:18 编辑 ]

491866227

拦截形式不同的hips有不同的考量，说哪个更专业就牵强了。
手动的效果都差不多，个人以为重要的是易用性、稳定性和兼容性。

[ 本帖最后由 491866227 于 2009-1-5 09:58 编辑 ]

491866227

通过services安装服务这个应该不难理解。
不明白通过services安装驱动是什么意思，是一个概念吗？

distance0

原帖由 周勃 于 2009-1-4 22:07 发表
楼上的，建议你读一下这个帖子，加强一下感性认识，你就知道U版说的是什么了。http://bbs.kafan.cn/viewthread.php?tid=263063，

原帖由 491866227 于 2009-1-5 09:57 发表
通过services安装服务这个应该不难理解。
不明白通过services安装驱动是什么意思，是一个概念吗？

安装驱动和加载驱动不是一个概念，安装驱动是为了下次启动自动加载，加载驱动就是通过SCM直接加载生效。安装成系统级的驱动启动加载的时候似乎也不是通过SCM了。当初用eq时候，我不理解为什么安装服务和驱动要放在一起，因为安装驱动比安装服务要危险的多，为什么不分开控制？在eq论坛问过驱动安装的问题，eq作者的回答是eq的这个监控项目确实就是监控的注册表。这些理解只是一些经验和主观感受，难免有错误之处，谁能做一个系统的全面的阐述就最好了。