惊觉:comodo没文件MD5码等校验的么???

tanlimo

没有D+的话毛豆防火墙部分的访问控制功能（ND）就形同虚设了,既然毛豆允许用户禁用D+就应该考虑到禁用D+后可能存在的安全风险，所以适当的加入一些校验手段还是有必要的。

username

把sys换了再好的hash效验都没用
毒区就有一些这样的毒
所以
我个人支持用FD防
——
但
加了也不错
可以做为建议来考虑

月光下的忍者

回复 40# chicken


    有FD的EQ，允许还弹，这条明显多余，除非禁用FD。

    我刚才用EQ之所以不弹，是因为触犯了阻止规则，都阻止了，所以就没必要弹了，所以遵循的还是IE的规则！

   纠结这些没有多大的意义，有意义的在35楼，我都说的很清楚了~

chicken

回复  chicken


    有FD的EQ，允许还弹，这条明显多余，除非禁用FD。

    我刚才用EQ之所以不弹， 是因为触犯了阻止规则，都阻止了，所以就没必要弹了，所以遵循的还是IE的规则！...
月光下的忍者 发表于 2010-1-5 22:48

    是规则问题么?  我看不是  只要程序有这个文件校验功能  而你也选用了这个功能(也就是你把那个"MD5校验程序文件"前面的框"勾"上的话)   如文件发生改变  不管你用什么规则  EQ都会有我36的贴图提示  (这个在这就不多试了  你可问问EQ区的朋友)

周勃

正是因为楼主说的这个原因，我才没用毛豆了。毛豆会没有任何提示，沿用以前的旧规则。
至于用FD保护，保护系统的几个关键位置就行了，若要全盘FD，会很烦的。易用性会降低很多。
试按楼主的做法，将ALKT.EXE复制到QQ安装目录重命名为QQ.EXE，运行这个假的QQ.EXE，OP会有提示：



但如果这个提示一旦允许，也是会沿用以前QQ的旧规则。
其实我更喜欢PCT的做法，一但文件哈希发生改变，以前的旧规则作废，重新来过。旧规则那里是个红叉叉。

30794

HIPS有hash校验最好
没有问题也不大，真正能利用这个漏洞的病毒罕见，多是用户手动测试遇到此类情况
据说COMODO有hash校验，在D+的FD中，但不直观

用过tiny，hash校验直接整合在AD里，可以设置成hash校验值一旦改变，运行就弹窗报警，这样可能满足楼主要求了
但用久了就会知道是在折腾自己，每次hash校验值改变报警都是文件升级所致，没有一次是病毒的作用结果

以上是我使用tiny2年多的体会

30794

放图
这是tiny AD的程序列表
最右侧的“checksum and filename”表示同时监视MD5校验值和文件名的变化

choso

首先，我只同意：毛豆在AD中没有校验文件。（但是ImageExcute中有）

但是貌似这个校验是不必要的。
因为在更改前毛豆已经提示过，是否允许更改，既然你允许了，说明这个更改是合法的。
再次运行时，自然也无需校验内容是否改变。

而且即使你误操作进行了更改，那么沿用的还是之前的规则。即使你用病毒替换了IE，并选择了允许更改。
那么这个病毒也只能干你允许IE干的事，并不能造成有效的破坏。

不开FD？那你用什么HIPS，找个OP、ZA都能满足你简单AD的要求。
文件被破坏后，它出来告诉你，这文件被改了，有意思么？
手动HIPS就是在各种规则下运行的，不愿写规则， 不如去用智能HIPS。

唯一的目的就是保证安全，各有各的考虑。
毛豆的设计人员不可能没考虑到这个东西，但是没有加上说明没有这个需要。

至于“FD难用”，这是明摆着的，手动HIPS不可能脱离规则，而规则也不只限于AD，你去看看其他HIPS的规则，哪个是只有AD的？？

另外，楼主的语气令我很不爽……至少我觉得，这种语气很容易引起口水战

lorchid

怎么还在讨论这个问题~

虚拟机里没装QQ，用cmd代替了。

ldkvfeng

找到个帖子对楼主有帮助

http://www.kpfans.com/bbs/thread-183886-1-1.html

Image Execution Control Settings可执行镜像控制我对这个地方理解的也不深 看过之后才明白