惊觉:comodo没文件MD5码等校验的么???

chicken

...
不开FD？那你用什么HIPS，找个OP、ZA都能满足你简单AD的要求。
文件被破坏后，它出来告诉你，这文件被改了，有意思么？
...
另外，楼主的语气令我很不爽……至少我觉得，这种语气很容易引起口水战
choso 发表于 2010-1-6 09:15

    你先回去想想平常使用为什么你电脑的文件会被破坏再说吧



PS:说人前先自省  你的语气就令人很爽?     
      我对进来讨论问题的朋友是绝对尊敬有加的  多谢都来不及呢

chicken

怎么还在讨论这个问题~

虚拟机里没装QQ，用cmd代替了。
lorchid 发表于 2010-1-6 11:26

    这位朋友  能说说你最后一幅图的由来么   谢谢

choso

回复 51# chicken

抱歉，早上看了太多的楼层有点激动，也有点跑题(当然是你们先跑的)。

楼下你的问题，我来解答吧。

ImageExcute要开到最大，并且explorer.exe使用的是“自定义规则”。
但我懒得这么弄，干脆用cmd代替，道理是一样的。

首先，用cmd运行一个程序


由于cmd(explorer)没有运行过这个，所以有提示


这里我选允许并记住。查看一下规则，已经出来了


之后我把这个文件重命名，用并把另一个程序改成同名的放这里


再次通过cmd(explorer)运行他


看，出来你要的效果了





至于为什么会显示 xxxx运行xxxx而不是cmd 运行xxxx，这个我也不明白。
但总之是发现文件被改变并给出了提示，这就可以说明问题了，不是吗？

chicken

回复 53# choso

哈哈 有句老话:不打不相识啊
  
  谢谢!有你上面的图及49楼那位朋友的图  应该可证明COMODO是有文件校验的了   

我在自己电脑上试试      有不明的再请教  先谢了

cg101100

原来楼主之前都是在请教
今天又长了见识了

30794

回复  chicken

抱歉，早上看了太多的楼层有点激动，也有点跑题(当然是你们先跑的)。

楼下你的问题， ...
choso 发表于 2010-1-6 21:30

我做出来的结果不一样，请看
http://bbs.kafan.cn/thread-623694-1-1.html

有些程序会运行两次，比如firefox.exe，第一次是资源管理器或cmd等启动火狐，第二次是火狐自己启动自己，第二次启动后火狐才正式运行
计算器可能也是这样，要启动两次，但不是所有的程序都这样

你的测试中，改名的计算器运行，弹出询问是否允许计算器启动计算器属于新规则，规则主体不是cmd，而是改名后的计算器
只要不是询问是否允许cmd启动改名后的计算器，就不能说哈希校验起作用了
建议换一个只用启动一次的可执行文件测试，不要用计算器

chicken

刚才回帖后出去  回来试了好几个小软件的测试   建立了规则后  改名再运行  但都没有出现那个"新的父进程"提示   疑惑中   回来打开此帖再看个究竟   发现LS的回复  原来也不是每个有提示的   不知其他朋友的情况怎样  大家都来说说好吗?

既然LS的朋友另开了新帖讨论此问题   就请有兴趣的朋友过去说说你们的情况好不?  烦请lorchid和choso两位朋友也过去解释下好吗?  谢谢

choso

我知道你的计算器是怎么回事，我的那个不是微软的，是自己写的，所以没有数字签名。

系统自带的计算器有数字签名，毛豆会自动放行。

晋文2009

尝试不要勾选“信任数字签名程序“看看

491866227

楼主的可执行程序被改了？反正我的程序好好的。