惊觉:comodo没文件MD5码等校验的么???

晋文2009

看了一下其他的贴。毛豆在疯狂模式下，将严格执行规则。不管你是否自己改变了文件名，它都照样按规则办事，反而没有哈希文件校验。毛豆在安全以及干净模式下，才会有哈希文件校验。
参考:http://bbs.kafan.cn/thread-623694-1-1.html

kansong1988

讨论完了没，各位？

yhsr

我很负责任的说，干净模式下也没有。之所以干净模式下会报的原因是，你先对一个文件进行了修改，这种修改在干净模式下会被监测到，成为了非本机文件，这样自然要报
测试方法如下：
将毛豆调到干净模式，然后重启电脑到安全模式（或直接用U盘启动），修改完文件后再正常启动，看它还报不。手头没装这个，也没法测试了

30794

我很负责任的说，干净模式下也没有。之所以干净模式下会报的原因是，你先对一个文件进行了修改，这种修改在 ...
yhsr 发表于 2010-1-8 16:34

也就是说，如果comodo有哈希校验，也是在fd，而不是在ad

naterrykim

关于楼主的问题，简单回答下:

1.comodo是有哈希值检验的，正如楼上所言，哈希值比md值安全性更高。
如图所示，可以把文件放入待定文件中，看其公司状态。
（取自lrochid）


毛豆的检验是放在Fd中的，不像tiny之类是在AD中，致使没有像tiny那样显得较为直观。

2.检验是放在fd中适合还是AD中适合？
就个人而言，放在AD中并不意味着有一定优势。

原因在于：一，软件升级时就要更改相关规则，如程序访问、内存访问，钩子之类的都要重新设置。增加了一些额外的操作。
             二，借用46楼30794之言“用过tiny，hash校验直接整合在AD里，可以设置成hash校验值一旦改变，运行就弹窗报警，这样可能满足楼主要求了。但用久了就会知道是在折腾自己，每次hash校验值改变报警都是文件升级所致，没有一次是病毒的作用结果。
以上是我使用tiny2年多的体会”。
             三，将检验放在FD中，即使有病毒或木马要修改相关文件,如qq.exe，使其套用qq的规则来运行。但我想问下，，毛豆的FD是个木头人，在那一动不动？？？呵呵。在者，在我看木马病毒类程序的行为是，他们的FD行为一般是在临时文件夹中、系统文件夹中创建或修改文件。并未曾见通过修改其他程序如qq.exe，来达到启动的目的。（如果木马类用此方法来达到运行目的的话，估计木马自己也觉得够呛，用这么个迂回战术，绕一大圈还可能会遇到个程咬金——FD，还不如直接通过修改注册表、修改内存、线程注入等方式来的干脆）。


3.关于FD的重要性。
楼主的安全设置是AD+沙盘。不知楼主可否想过，你的配置可能被病毒或木马通过加驱或底层磁盘操作导致沙盘被穿透。（我这有几个穿透的样本，有兴趣可试试，也是在卡饭收集的）。
就我个人而言，FD就是第一防御线。用ie简单举例来说，在其FD中限制相关运行文件如.exe, .dll, .com之类的下载后，请问，你觉得网页木马之类是否还有入侵的机会。而AD因为FD防御的存在，貌似也可以在那偷偷懒了。用毛豆已经单奔差不多半年了，开着D+就喜欢进卡饭提供的挂马网址，哪里的网马越多我就越喜欢去尝试，到现在也未发现有什么木马入侵本机。（即使在周末用小红伞全盘扫描，也是空空如也）。

倘若没有FD，控制好AD可能也不会中毒，但想必电脑已经是个小毒窝了，呵呵，规则还是很重要的哦。



每个hips都有各自的特点，但如果就拿hips的某一部分如AD来比较的话，我觉得是没有可比性的。各个hips的设计理念或者说是设计逻辑是不一样的，有些在AD中没有体现，但是在FD中得到了补充，3d之间相辅相成，你能说这个hips不强吗？？答案显然不是。

在学习阶段，提出问题——解决问题是很重要的，也是进步的关键。但在提问题的阶段应该避免“首因现象”，比如在使用毛豆中遇到了一个不甚明了的问题，就觉得毛豆有缺陷。别人加以解释，但还是保持“毛豆有缺陷”的观点。呵呵，有点扯远了。

楼主的问题是早上用手机上网时看到的，到现在讨论的问题症结已有所淡忘，只是凭印象写了点自己的感受。

记得楼上有几个新手也遇到了类似问题就放弃了毛豆，甚是可惜。

chicken

为避免一些因素  本不想再在此帖讨论 本人也在57楼呼吁有兴趣的朋友移步到56的朋友新开帖讨论   不过之后还是有人想在此讨论  顶了好几个楼层  可能本帖有传承性  知道前因后果  其它帖可能不大清楚讨论什么   那就再在本帖讨论讨论吧

不过  在讨论之前  我先申明下一些东西：
我开此帖的本意是想搞清楚COMODO有没有文件的HASH校验  如没有  就顺道呼吁下大家认识到COMODO在此地方的不足   看能否反映到官方在功能上完善下（我没号 而且从一些帖看到 似乎官方论坛注册不易）  让我等能用上更好的软件  这个我在前面也已提及  也许我本不应在此讨论   而是去官方反映这个  就可能避免一些误会

在此想说下  一款好的软件  应集思广益  取各家之长  不断改进 才会成为一款优秀的软件
很好的例子如EQ  先不说它的内核架构   在功能上可说是集各家之长 能做到的都做了 在规则编辑的灵活性上也可说在各家之上
能做到这样  是离不开众多的粉丝的不断提议  也离不开作者的集思广益～

chicken

相应的回答65楼层的二三问：
1.可能是这位朋友的笔误 md5值是哈希值一种 不存在比较好坏
COMODO的FD是否有HASH校验？你的贴图不能说明问题  本人前两天经过不断测试 对COMODO的那个“可执行镜象控制”  有了一些自己的认识和体会  只是有些东西还想求证下  才在56的朋友帖里叫他帮忙再测测  可惜他已卸了  在这也想请有兴趣的朋友再帮忙测测——这也是我再回帖的一个原因   不过  本人对这个“可执行镜象控制”的认识还是基本可确认的 或许这个以后再开帖讨论交流下吧

2.
一，不用 很多都是校验程序一下 通过后  规则可沿用以前的  极其方便
二，你再看看他之后发的帖  在说tiny的HASH校验做得好呢
三，
在这举个例子：  
好比一个人的身份证  如果有人拿到了你的身份证  就能完全“替代”你   就能拥有你的一切（存款、物业、家人……）  可怕不？  当然你可把身份证锁在家里的保险箱里   需要时再回家打开保险箱拿  但这样方便不？  比之我随身带着随时可拿出来应用哪个方便？  万一就算我不小心掉了  你也不可能就代替我  拿到我的东西     因为你还必须通过那个严格的身份认证  
（假如IE缓存有一QQ.EXE要运行  有提示 匆忙间你点了“允许”  两种后果的区别？  这里顺道说说COMODO个人觉得又一不足的地方——就是提示中只有程序名 而下面没有绝对路径显示 这也增加上面的出错机会）

两相比较  你更愿意选择哪种使用习惯呢？  

上面涉及到一个在“安全性”和“易用性”或许还要加上“资源——包括人力、物力”三者之间的“平衡点”选择问题
或者以后有机会再讨论吧

3.
我平常就用一AD  就象你平常用COMODO  我只是对付陌生程序时才用沙盘   不知你怎样对付陌生程序呢？  也只用COMODO么？
你对沙盘的认识可说只停留在以前  现在能穿最新版沙盘的你有几个？ 那到想你发上来  也可让大家试试   不过我到是喜欢用
以前的版本  也就是能穿的那种 因为还有个AD啊  哈  


本不想这么唐僧  但一些朋友总是语重深长的跟我说FD的重要性  那我想有必要在此说说
我也说说我对FD的认识过程吧:
那也可从EQ的那个“忽略该操作”功能选项的由来说起
我最初接触的FD是咖啡8.0  这个用了两年多   之后有单纯点的HIPS出现  如SS（这里只说FD的软件 那时已有比较成熟的AD软件 如GSS和之前的PG）  比之咖啡小巧了很多  于是有了舍弃咖啡的AV的想法——（但好的FD还是很少  为了用个好的FD那得满大街的找 ）  这个SS跟咖啡一样是如遇触犯规则的动作  都是立即阻止的   没有提示  之后的咖啡8.5好了点  有了一圈红圈   但还是没选择框让你选择放行还是阻止   之后找到PFP   这是我遇到的第一款有选择框给你选择的FD   这个个人认为比较好  也用了很久（期间还用过winpooch、SensiveGuard   tiny、SNS块头较大 那时电脑不好 所以一直没用）  但PFP有个不足    就是能防读、写、建  但就是不防删除   没法   只得再找  于是找到EQ  那时EQ刚出  很多BUG  创建一个文件  有时得点3、4次确认  于是不想用其它   只是想用它的防删除  但那时EQ的每个功能选项  只有“允许”和“阻止”加两种询问形式  也就是用它的FD  你必须全用 而不能只选用一种   于是就上官网与作者讨论  要他加上个“忽略”选项   但我不能直接说我不想用它的“读、写、建”而只想用它的“删”  于是搬出了咖啡的FD里面也有这种选择   再说加这种功能的好处   之于实质加上这个功能的好处  大家现在肯定有所体会   但当时我想到的  只是对我来说的   可以只用它的“删”而不用其它的    经过两次跟作者的讨论  等了两个版本 终于等到了那个“忽略该操作”的功能   幸好这个功能确实有很多好处（哈哈  不知现在给EQ的作者看到  作何感想）  好了 我对FD的使用就说到这吧

以上哆嗦了这么多  只是想说明我并不是如前面楼层说的轻视FD   对FD的作用也不用对我解释太多   我编的FD规则也不会少

之于你说的上网  用FD限制可执行文件下载  就可防网马 不错  我很早时就是这样做的  但你都说了 有了这个FD  你那个AD是在偷懒的  也就是说是基本没用的
之于你说的只用HIPS进挂马网站的行为  我很久前就开始了  约四年前吧   你只是想测试软件  而我是想捉毒（其实这法子很笨  后来费了段时间学会了手工解密网页  才没用这种笨方法  那时可没有象现在的FreShow这样的工具——題外话）  从设置FD的各功能设置为全阻止到设置为全询问 再到后来完全关了FD  只用AD  也许有些人会害怕这样会中毒  其实只要用AD守住“大门”（“大门”一说  是沿用了一位好朋友“蓝”MM的说法 她是很饭FD的  也支持把毒完全挡在门外的做法 也许女孩子有洁癖吧 哈）  我是让毒来到大门口 但并不是让它进来  还没使坏前就已制服了它  就算再毒  满身武功  也没用 因为我根本不给它施展的机会 也就不会你想象的电脑成毒窝问题 相反 我就是想它来 来一个捉一个 来一双捉一双  也从来不用用AV全盘扫描  






诚然 每个hips都有各自的特点  但COMODO是不是就很完美了 在功能上就不用完善了？  如是  COMODO就不会从FW——FW、D+——FW、D+、AV   一路发展过来  不是COMODO饭还在翘首以盼再加入沙盘的V4早日出现的么 ？

诚然  你用COMODO的时间比我长  而我只是刚用（也就一星期）  或许你对COMODO的了解比我深  但并不代表你就完全了解COMODO    而我就完全不懂   譬如上面你根据那贴图来认为COMODO的文件“检验是放在Fd中”的   那如“yhsr ”在他另开一帖说的“干净模式……你随便复制一个硬盘可执行文件就会被添加到未处理文件中去”  你怎么解释这个呢？  也就是说  一个文件和它的复制品的HASH值是完全相同的  而COMODO的“未处理文件中”有记录   你能说这就是COMODO的FD哈希校验的表现吗？  有兴趣的话  可移步到http://bbs.kafan.cn/thread-624964-1-3.html这帖跟“yhsr ”讨论下

另在我看来  你说的那几个新手 在字里行间  我觉得都是用HIPS的老手了

ddkkmm8c

学习一下。

hlbt

回复 67# chicken


   原来 EQ的那个“忽略该操作”功能是这样来的啊，楼主高人，学习了。

queyao

楼主用HIPS的过程和我差不多啊,我一直是SSM的死忠