CISv3.5 过度BT规则导致开机华丽蓝屏...

SmallFlag

突然心血来潮把All_Application的权限规则改得过分了点。。。结果开机系统关键进程被BLOCK...结果自然是滚动条滚着滚着突然华丽地给我一个BSOD...

随后发现只要默认正常模式进系统100%BLUE。。。无奈进安全模式。。发现安全模式打不开COMODO的GUI ,自然也没法修改规则。。。然后发现COMODO对自己的保护做得太到位了。。。干不掉。。。瞬间绝望下。。。

随后。。去把毛豆3个内核驱动灭了。。。重起。。。成功进入系统。。毛豆GUI显示服务Disabled。。抱着试一试的心情修改了规则。。然后恢复3驱动。。重起。。。正常进入系统。。。。

所幸COMODO的规则配置没写在*.sys里....不然偶就没方向了。。。。...只好乖乖拿出系统盘RECOVERY3.5

[ 本帖最后由 SmallFlag 于 2008-11-5 23:24 编辑 ]

夏春秋

安全模式应该可以打开COMODO的GUI，新版没试，打不开属于bug

SmallFlag

突然发现正常情况下COMODO对自己的驱动文件也是一点保护也没做。。具有管理员权限的程序把他的驱动改个名重起系统下COMODO就无效了。。。。。

本来还以为是只有安全模式才能改。。。看来COMODO要改进了。。。

夏春秋

你给了explorer太高的权限了吧

SmallFlag

没有啊。。就基本用户USER....然后用UAC提权到管理员就能改了....

按照国情。。我觉得病毒木马拿到管理员权限应该不难。。。。

夏春秋

你用什么程序改的？
comodo防提权还是很好的

SmallFlag

偶用的只是提升到Admin级别的Explorer.exe而已

刚才的言论只是假设某个危险的程序知道怎么灭毛豆的驱动....
同时偏偏一不当心就拿到了管理员的最高权限级别....（也许是某个程序或系统的漏洞抑或是缓冲区溢出类）
当然就咔嚓一下DEL..然后重起下.....最后做它想做的事。。。。
（Admin权限程序发重启命令应该是可以的。。这个不是很了解。。猜测）

满足以上条件的程序，我估计目前还没有，毕竟知道/用卡巴的人多（真有程序也优先灭用户面广的）。。。

[ 本帖最后由 SmallFlag 于 2008-11-5 23:03 编辑 ]

夏春秋

explorer的权限是你自己设置的，外来的程序怎么提权？

SmallFlag

提权的话。。要么是利用某个程序或系统的漏洞抑或是缓冲区溢出等很。。复杂的东西。。
要么就是那个被不当心启动的程序本身权限就是最高的

也许会有些安全意识比较强的人,
不过还是有很多人是一个administrator走天下的
（我也差不多。。。懒人。。。 ）

所幸这次给我救回来了。。。。还好毛豆留了个最后的软肋（很像故意留的）。。。不然我可就没办法了。。。。

[ 本帖最后由 SmallFlag 于 2008-11-5 23:16 编辑 ]

Magis

觉得lz有点理论化了，这些程序的漏洞或者缓冲区溢出的问题，说出来感觉无处不再，但comodo在填补这些漏洞到底做的怎么样呢？ 不知道我说的对不对，CMF或者现在叫SS就是防止buffer overflow这个问题的。上次出现内核驱动漏洞的大批安全软件名单里，我们没有看到comodo，不知道是不是测试者忘了找它的碴了。另外lz的explorer权限应该在comodo里给予限制。
感觉lz在系统本身程序功能（组策略，权限）上造诣颇深，有问题一定多请教。
PS：一个软件要是把自己从底层保护到头（比喻....）万一自身删除程序出了问题，可就头疼了。就像往一个保护做到极致的保险箱里存放重要物品，但你丢了钥匙......怎么办？借核弹？

[ 本帖最后由 magiscoldeye 于 2008-11-6 13:02 编辑 ]