惊觉:comodo没文件MD5码等校验的么???

naterrykim

回复 67# chicken


楼主码字不易，每个人都有自己的习惯，，保持自己的观点也是很重要的。

无论见解如何，只要能保持系统机子安全即可。

就我而言，就独爱comodo了。

iccil

CIS的架构啊……

柯林

回复 1# chicken
看了楼主的帖子，对于要求加强文件校验来保证文件的正确性，这个想法是可以理解的。
不过，仅以目前的局面来看，要防止楼主所说的假冒问题，即使不使用MD5检验或者哈希值校验，也是不成问题的。要达成楼主所说的这个假冒东东得以执行，必须满足两个条件：1、创建一个虚假的QQ.exe，2、在桌面图标上替换QQ的快捷方式以指向虚假QQ，或者是在开始菜单上修改快捷方式指向虚假文件。否则，即使你创建了个QQ.exe，如果不是用资源管理器去双击它，那是没有程序可以启动它的，它充其量只是个病毒尸体。很多规则，在开启D+的情况下，是不允许随便创建可执行文件的，也不允许修改快捷方式。楼主说的这个假冒问题要成为现实，必须是：1、病毒作者看过规则，知道规则中允许任意位置的QQ（假设路径以通配符的形式写为?:\*\QQ.exe）运行；2、在某个安装程序中捆绑病毒程序，在安装该程序时释放病毒文件QQ.exe并修改QQ的快捷方式指向该病毒。只有这两步完成，才可能发生双击桌面上的QQ图标而运行病毒的问题。但是即使是这样，实际上也无法完成假冒——病毒怎么做也不可能做成个真的QQ，如果用户双击桌面上的QQ图标，结果却不弹出QQ的登录画面，即使弹出QQ的登录画面，却不能正常登录上QQ进行使用，再怎么着也会觉得不对劲吧？
使用绝对路径是追求高安全性的好方法，那样就只能通过替换真QQ的QQ.exe来假冒了。

hlbt

回复 73# 柯林


  柯林可能没看过LZ的其它回帖，特别是67楼的，我看了三遍了，觉得他说的很有道理的。

相应的回答65楼层的二三问：
三，
在这举个例子：  
好比一个人的身份证  如果有人拿到了你的身份证  就能完全“替代”你   就能拥有你的一切（存款、物业、家人……）  可怕不？  当然你可把身份证锁在家里的保险箱里   需要时再回家打开保险箱拿  但这样方便不？  比之我随身带着随时可拿出来应用哪个方便？  万一就算我不小心掉了  你也不可能就代替我  拿到我的东西     因为你还必须通过那个严格的身份认证  
（假如IE缓存有一QQ.EXE要运行  有提示 匆忙间你点了“允许”  两种后果的区别？  这里顺道说说COMODO个人觉得又一不足的地方——就是提示中只有程序名 而下面没有绝对路径显示 这也增加上面的出错机会）
两相比较  你更愿意选择哪种使用习惯呢？  
chicken 发表于 2010-1-11 22:46

他举的例子很好，在不用FD的情况下上网，这种情况是很易出现的。

柯林

回复 74# hlbt
没有看完全部回帖，个人意见主要是根据楼主的帖子来说的。
对于文件校验，以前用jetico1.0时软件自动集成强行校验MD5值的功能，那时觉得很烦，杀毒软件一升级MD5值变了，规则就失效了。
单就上文所举的IE缓存来看，首先是要在缓存里创建，然后是要让它运行——除了自动运行的程序，必须要有一个父程序去调用它才会被执行，哪个程序会去调用它呢？很多规则其实是禁止调用?:\Documents and Settings\*的，如果不放心，还可以将父程序?:\Documents and Settings\*进行阻止运行任何程序。
实际上这个问题还是看各人的规则设置吧。我是采用全局FD的，开启D+的情况下，除了升级程序，是不允许任何程序创建修改可执行文件的。
有MD5或哈希值校验当然是好事，哪个文件被修改马上就知道。对于我个人而言，我其实不喜欢这功能，太烦了。

hlbt

回复 75# 柯林


脚本下载并运行啊，你用FD，楼主说他平常是不用的，这就如楼主说的：

上面涉及到一个在“安全性”和“易用性”或许还要加上“资源——包括人力、物力”三者之间的“平衡点”选择问题

chicken 发表于 2010-1-11 22:46

其实你说的问题，楼主在67楼都有提及的，有空看看吧。正如71楼说的，楼主码字也不易，反正偶通过楼主这帖，对HIPS的使用有了更深的体会。

柯林

回复 76# hlbt
是的，楼主指出这一问题，对大家都是有帮助的。各种有益的意见都值得看的。

magic小楠

关注中

dyzg

配一个能检查执行文件改变的病毒软件就可以了 比如卡巴