两个关于某些comodo规则无效问题

germany05400

问题1：
C:\Windows\System32\svchost.exe    Block File    C:\Windows\System32\dllhost.exe
  （局长黑名单有dllhost.exe，为什么捏?不禁止有什么危害么？）
问题2：
有几个dll文件不能被hook，但是我明明设置了可以被hook的呀，为什么呢？
D:\security\Comodo Vista\Comodo\Firewall\cfpupdat.exe    Block Hook    C:\Windows\System32\msctf.dll
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avscan.exe Block Hook    C:\Windows\System32\msctf.dll
D:\security\vista version\CMF\cmfupdat.exe Block Hook    C:\Windows\System32\dwmapi.dll
D:\security\Comodo Vista\Comodo\Firewall\cfplogvw.exe    Block Hook    C:\Windows\System32\ieframe.dll


恳求大家解答，感激不尽了！

[ 本帖最后由 germany05400 于 2008-12-19 09:11 编辑 ]

秘书

规则也分优先级的

你可以在modify里的allow里添加这些hook试试

germany05400

忘了说了，我的那个组是置顶的，而且分配了最高权限。

Magis

dllhost.exe的官方说明
  Process   File:   dllhost   or   dllhost.exe  
  Process   Name:   DCOM   DLL   Host   Process  
  Description:   The   DCOM   DLL   Host   process   supports   DLL   based   COM   objects   and   is   used   by   many   Windows   programs  
简单说就是允许dll运行COM 的组件
正常目录是C:\Windows\System32\dllhost.exe或者C:\Windows\system32\dllcache下。冲击波病毒会生成C:\Windows\System32\wins\dllhost.exe,同时在该文件下生成svchost.exe

lz手动在modify--allow里添加AD_All Hooks 和AD_Windows Hook试试，具体分组见置顶打磨帖。

[ 本帖最后由 magiscoldeye 于 2008-12-18 20:20 编辑 ]

秘书

你是不是开启了防护设置??

germany05400

那就应该隔离*\Windows\System32\wins\dllhost.exe咯！

[ 本帖最后由 germany05400 于 2008-12-18 20:40 编辑 ]

germany05400

只给high security设置了protection，而且排除了本身那组

[ 本帖最后由 germany05400 于 2008-12-18 20:25 编辑 ]

Magis

没错，lz可以先设成ask，提示后生成规则。具体原因可能如秘书指出，和protection setting 有关

秘书

protection setting 里


windows hook

modify 里 allow 加入那些dll文件

germany05400

应该是protection排除那些dll文件吧，允许hook被保护文件。那就是说block hook被阻止的是那些dll文件，而不是可执行文件吧？