惊觉:comodo没文件MD5码等校验的么???

yanyu3000

看人品的

白羊座

哦，我用MD，从不用校验，通配符也用了很多，我只知道病毒木马现在根本改不了我的系统PE文件
何必再去校验一遍，浪费cpu

月光下的忍者

你只是重命名了A程序，然后去冒充B程序，并没有改变A、B程序的代码，也就是没有真正修改其文件！


          然而规则是基于文件名的，所以仍然会按照你的编辑，只要是B就会按照你给的B的权限来执行，懂了吗？

          换任何HIPS都是这样！所以FD是无法取代的！

         我用EQ给你看看，你要的结果~

         首先，选中IE，选择MD5校检程序文件。

          

         然后把XT改名为IE，放进IE的文件夹（已将原iexplore改名为IE，因为同一目录不允许两个相同名称文件）

         

        然后运行XT，没有任何你想要的“提示XXX文件MD5已改变”

        所以直接按照IE的权限被拦截干掉了……

        

        规则为：

        


        看明白了吗？

thelord

ls的，看明白了
其实防火墙都会提示程序已改变的，毕竟规则就是用来让不同程序有不同权限嘛
现在改名就可以提权了，还是不妥
可能是出于性能考虑。。

月光下的忍者

回复 34# thelord


    改名并替换原文件属于FD操作，逃不了FD手心的。

    另外我个人不支持校检，占资源、占时间、占网速……

    相对于已经被修改再去报警，不如在修改前就拦截~

     假如你有个大型好几G的游戏，比如说WOW，WOW被修改了，这时候就算提示你修改，是不是也为时已晚了呢？你又得去重新下载了……要是全盘感染呢？这时候再疯狂提示你程序被修改，又有何意义呢？

    HIPS本身就是玩先发制人的，而程序在运行前，肯定要创建在你电脑里，所以FD是你电脑的守门员，比所谓的禁运党，更提前更安全的御敌于千里之外。

    3D之中，每一D都很重要，如果SSM仅凭AD就能独当一面的话，那这些3D的HIPS何必又要吃饱了撑的开发FD呢？

     仔细想想吧，我已经懒得再回贴了……

chicken

你只是重命名了A程序，然后去冒充B程序，并没有改变A、B程序的代码，也就是没有真正修改其文件！
然而规则是基于文件名的，所以仍然会按照你的编辑，只要是B就会按照你给的B的权限来执行，懂了吗？

          换任何HIPS都是这样！所以FD是无法取代的！

         我用EQ给你看看，你要的结果~


 ...
月光下的忍者 发表于 2010-1-5 19:42

    嘿嘿  我被你说的有点糊涂了  真不懂你上面说的是什么    抱歉


你上面用EQ是吧  好的 我就用EQ    你拿IE浏览器试吧   好的  我也用个浏览器试试  我改改  我改用Maxthon

好 试验开始  把AKLT.exe 改成Maxthon.exe  把这个"Maxthon.exe"拷进Maxthon的安装目录  覆盖掉原来的那个真的"Maxthon.exe" (或者如你那样把原来的改名 再把那个冒充的拷进去也成 效果一样)   运行这个冒充的"Maxthon.exe"

结果呢  还是那句话  事实胜于雄辩  上图







EQ有没提示文件改变?   事实怎样很清楚了吧   

之于为什么我的EQ有提示  而你的EQ没提示 我大致猜到原因  只是不便说出来(说出来可能对你不大好  令你有点太那个了…… 嘿)  你自己找找原因吧



另

任何HIPS都是这样！

是吗?  我想不是  不用我再上GSS  SSM  PS(RTD)的图了吧



PS:我有什么不是还请月光斑竹原谅  大家讨论问题而矣 不用搞得那么剑拔弩张吧  就算我真的不懂  我作为普会 你作为斑竹  你是不是应该大度些呢?    哈

月光下的忍者

回复 36# chicken


    AD都设为询问弹窗的话，COMODO也能识别出来~



     什么东西说出来不好？你尽管说出来，没什么好隐瞒的~

    问题是AD全局“弹弹乐”，有意义吗？你不选择记住？下次还继续弹？每次都弹吗？

cannian

我最喜欢带MD5防火墙，ZA做得不错，没感觉到占不占资源，占不占网速……

带刀侍卫

回复 36# chicken


    什么东西说出来不好？你尽管说出来，什么原因

chicken

回复  chicken


    AD都设为询问弹窗的话，COMODO也能识别出来~

问题是AD全局“弹弹乐”，有意义吗？你不选择记住？下次还继续弹？每次都弹吗？

   
...
月光下的忍者 发表于 2010-1-5 22:11

    嘿嘿  不是这个……    不是"  AD都设为询问弹窗"的问题  
我36楼的EQ的AD规则设置好优先级   在Maxthon.exe的规则前面已设好系统的Explorer.exe允许运行任何程序  如Maxthon.exe没改变  EQ没任何提示的 Maxthon.exe正常运行  
只有Maxthon.exe文件改变了 EQ才会有如36楼的"文件已经发生改变"的提示的