惊觉:comodo没文件MD5码等校验的么???

chicken

前几天才装COMODO  先套用论坛某大的规则  再据自己的实际  对自己电脑上的各个程序修编好相应规则   到用得顺手  正在兴头上 在完善着规则  想着想着  
忽然惊觉:怎么没见comodo有文件MD5码等的校验???   不会吧


为了打消自己的疑问  马上求证:
先把AKLT测试程序拷一份出来到任意目录   然后改名为QQ.EXE   双击运行  哈 竟然无任何提示就打开了(我的规则设置对陌生程序的运行 COMODO的AD相应动作都要询问的  另说明下ALKT.EXE在没改名为QQ.EXE前运行  是有提示的  说这个只是想说明我的设置询问规则没问题)     开始冒汗


如下图   分别按图中的1和2按扭  分别被调用了WINDOWS本身的画图工具和给屏幕截图了  COMODO无任何拦截!!!




而在这个假的QQ.EXE在没改名前 也就是AKLT.EXE本身   运行后按1和2按扭  COMODO是有拦截的 不会给调用画图工具和被截屏的!!


冷汗直冒 [:15:]


为什么会这样?     
个人初步认为是这个改由AKLT.EXE改名而来的"假"QQ.EXE   套用了规则上的"真"QQ.EXE的规则权限  而这个"真"QQ.EXE是个怎样的主就不用多说了 大家为了正常使用QQ  不得已赋予它很大的权利(论坛上各大的规则对QQ的设置可见一斑 那也是没办法的事)

但  假如那个"假"QQ.EXE不是AKLT.EXE   而是一病毒!!  而就因为名字是QQ.EXE   就可得到那个真QQ一样的权利  那后果~~~  [:15:] [:15:] [:15:]


但COMODO就这样"儿戏"吗?  就这样轻易的   那森如壁垒的AD动作控制  就这样连HIPS的AD基本MD5校验都没吗???   

不解   但愿不是真的  毕竟这几天花了一番苦功  有点喜欢上COMODO了   不想就这样~~~


各位COMODO区的大大们能解释下吗

ccyijane

偶的QQ规则用的是绝对路径......有危险哇？

lorchid

镜像可执行文件控制开到最高；
MD5校验最重要的是判定文件是否有被修改过，楼主提出的问题是由规则里的通配符引起的，用绝对路径无通配符时不会存在，既然规则里用了通配符相应的必须要设置保护该程序或文件。

chicken

绝对路径也只是相对安全了点   COMODO的AD就能控制病毒不能在绝对路径生成同名病毒么?

镜像可执行文件控制开到最高；
MD5校验最重要的是判定文件是否有被修改过
lorchid 发表于 2010-1-4 23:19

是的 就是要这个"判定文件是否有被修改过"     这个可说是一款好HIPS的AD基本要求了

这么说  COMODO真的没文件校验了???

lorchid

同一绝对路径下不可能存在两个完全同名的文件，病毒做的只能是修改或者删除重建；
没有文件校验，但有镜像可执行文件控制，修改过的文件将会提示

chicken

对这个"镜像可执行文件控制"不太了解   但愿能做到"修改过的文件将会提示"

把AKLT改成QQ复制到绝对路径的QQ目录   双击运行这个"假"QQ.EXE  一样顺利打开界面  很是失望!      进而按上面说的两个测试按扭   一样的无任何拦截的被调用画图程序及被截屏   也就是说这个"镜像可执行文件控制"对修改过的文件没提示   或许这个不是用来做文件修改检查的  失望啊!

pastport

是的
没有叫HASH校验
我更新firefox也很省事
解压覆盖即可

不放心就把软件目录加到受保护目录去

zhangshu2005

你把规则设好，想替换QQ都不行，可见楼主规则还不严密。。

apcclxj

感谢LZ的发现！

huhsh

在d+里面有选项“我的受保护文件”，楼主试试添加qq的目录或者单文件，然后在测试一下