comodo在允许访问服务后不拦加驱？

distance0

原帖由 attc4 于 2008-11-28 22:41 发表
你的意思是把service的device driver installations改为ask就会有二楼那样的提示？

如果其余规则没有包含service会有提示，不过要为service专门创建规则，我的防护思路是用fd管好driver目录，而所以程序都只允许加载driver目录的驱动。其余的驱动不管由谁来加载都会提示，而且不影响正常驱动的加载。

attc4

我今天上网无意看到这个加驱工具，据说是把驱动只要加载上没有多余的动作就可以恢复ssdt.。所以我想试下comodo的hips是否会失效，结果才知道有这个问题。

attc4

系统盘下面有个C:\pagefile.sys，貌似有通过pagefile绕hips加驱的方法。

Magis

原帖由 distance0 于 2008-11-28 22:20 发表
我这里正常拦截。

零距离的Service 的规则不是默认的？加载驱动的时候岂不是很麻烦？

LS的回复很有讨论价值~~

distance0

都不是默认的，我的规则很简单，windows目录*统一规则。

distance0

如何实现的，pagefile.sys有什么特殊的权限？

Magis

能详细说下吗？要么上几个图？很感兴趣

attc4

用PAGEFILE.SYS来个SHELLCODE，哈哈，其实我也是随便想的

distance0

我的规则完全根据自己使用习惯，没有代表性，呵呵。
简单说明一下：
最上面的*为了拦截绝对不允许创建的文件，放在最上面windos系统文件也没法创建。当然你也可以加入其它绝对不允许的操作。这里注意一点，要在最下面所有程序规则存在的情况下创建*，先创建了*，就没法再给所有程序添加规则。
第二个svchost只是为了拦截顽固调用ie的弹出广告。
下面windows和c盘程序都给了很高的权限，c盘只安装非常安全的小程序如rar等，另外安装时候可以用fd控制写入的文件，所以给了很高的权限，但它们的驱动加载如前所述，只允许drivers目录。
start up是随系统启动的放在其它盘的绿色软件，我用了音量控制和音速启动。
下面3个组每组其实只包含一个程序，分组完全是因为在这里没法改路径，分组后以后调整路径可以在组里面改。
odbc32是一个打了包的抓图软件要在临时目录释放这个文件，然后调用系统目录的文件，完全是个人情况，呵呵。
下面所有程序也很宽松，都可以运行c盘及自己常装程序的盘外除根目录的所以程序。创建修改文件也是除了c盘及自己常装程序的盘外除根目录的所有文件。

Magis

占下第二页最后一楼，慢慢看

[ 本帖最后由 magiscoldeye 于 2008-11-29 14:10 编辑 ]