COMODO 日志里发现拦截autorun.inf 是什么情况？ （有日志图）

3396591

还有Explorer.exe也有这个动作,用右键扫描版免费的红伞扫了，没有什么发现

qq应该是会读取autorun.inf，不过毛豆应该不防读取的啊。。

wptyh73hm

你把autorun.inf 放进了"我的被拦截文件",说明规则有效如此而已

hekygogo

qq应该是会读取autorun.inf，不过毛豆应该不防读取的啊。。
单身熟男 发表于 2010-5-7 00:36

    Comodo说明文档～～我的被拦截文件："Defense+ 功能允许您锁定文件或文件夹，彻底禁止其它进程或用户对其访问，操作"。
     感觉这条规则没多大用，还出问题～

Comodo说明文档～～我的被拦截文件："Defense+ 功能允许您锁定文件或文件夹，彻底禁止其它进程或 ...
hekygogo 发表于 2010-5-7 12:25

    把autorun锁定的确没多大用，不如直接防止创建，不过好像毛豆不防创建。。。。

hekygogo

把autorun锁定的确没多大用，不如直接防止创建，不过好像毛豆不防创建。。。。
单身熟男 发表于 2010-5-7 12:49

防文件创建，不防空文件夹创建～～autorun这条规则出过问题，早前有人反映加了这条不能重装VM～，而且，是个杀软也能认识autorun是什么东西，在硬盘上防就木意思了～ 至于U盘，还不如禁运来得安全简单～
有必要分析一下为什么comodo不妨空文件夹创建，这个有点意思～

防文件创建，不防空文件夹创建～～autorun这条规则出过问题，早前有人反映加了这条不能重装VM～，而且，是 ...
hekygogo 发表于 2010-5-7 13:15

    囧。。记得以前用的时候只有在那个啥protected area里面才防文件创建。。。

3396591

原来如此，谢谢了，还以为中了莫名其秒的毒。。。

hekygogo

囧。。记得以前用的时候只有在那个啥protected area里面才防文件创建。。。
单身熟男 发表于 2010-5-7 13:23

    哦，弄了半天也没搞清为什么，这是文件的创建：Copy/Move/Rename/Delete/Link Object  C:\Windows\system32\DllHost.exe /Processid:{3AD05575-8857-4850-9277-11B85BDB8E09}
这是空文件夹的创建：Thumbnail Cache Out of Proc ServerC:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
具体过程是，创建文件同时生成上面两个dllhost，创建文件夹只生成后面一个dllhost，然后限制来，限制去都没办法阻止～尤其是“Thumbnail Cache Out of Proc”的作用比较黏糊～ 然后上维基，才发现文件夹原来的名字叫“目录”，“文件夹通常会与一个看起来很像真实文件夹的电脑图标一起展现。
严格地说，作为文件系统的“目录”和把它表现为一个“文件夹”的图形用户界面是有区别的。”还有百科上的“一种是计算机磁盘空间里面为了分类储存电子文件而建立独立路径的目录，“文件夹”就是一个目录名称，我们可以暂且称之为“电子文件夹”； 它提供了指向对应磁盘空间的路径地址，它可以有扩展名，但不具有文件扩展名的作用，也就不象文件那样用扩展名来标识格式。”
   然后就猜测，空文件夹其实不是真正的文件，它只是一个提供路径，磁盘分配的目录（磁盘系统），所以comodo和window对文件和文件夹的创建机制不同，再猜测，两种创建都出现的“Thumbnail Cache Out of Proc ”与创建是无关的，或者说仅仅是记录图标缓存，标记路径，而“Copy/Move/Rename/Delete/Link Object”dllhost才是创建文件的必要，唯一条件～ 然后一切就貌似合理了～
     全都是猜测，不懂代码，莫笑话～～

哦，弄了半天也没搞清为什么，这是文件的创建：Copy/Move/Rename/Delete/Link Object  C:\Window ...
hekygogo 发表于 2010-5-7 14:19

    只看懂了开头和结尾。。。重启去