测试：Comodo D+对以SYSTEM权限运行的进程无效

temp00

谢谢accordion的提示，对SYSTEM权限的进程进行保护的问题解决了，详见3L。


但是D+对SYSTEM权限的进程进行限制（access rights，中文版对应的是“访问权限”）的问题还没有确定，欢迎大家继续测试并补充。


------------------------------------------------------------------------------------------
关注这个问题的起因：想用D+保护MSE的MsMpEng.exe进程不被非法结束，参见http://bbs.kafan.cn/thread-895413-1-1.html

测试对MsMpEng.exe添加防终止规则，无效；
然后测试对notepad.exe添加防终止规则，有效；
然后选取了内存中正在运行的多个进程进行测试，发现只要是以“NT AUTHORITY/SYSTEM”用户名启动的进程，D+的保护规则均无效；而对以管理员用户名启动的进程则均有效。

因此怀疑D+的规则对SYSTEM权限的进程无效，继续测试：
设置多个SYSTEM权限的进程规则为全部ask，无效。D+没有任何反应。

结论：Comodo D+的防护作用对SYSTEM权限的进程无效。

这一点我在Comodo官方文档里没有找到明确说明，只是自测后的结论。
测试环境：Comodo V5.3.176757.1236；  WinXP SP3；  管理员帐号登录

欢迎大家自测并补充。

accordion

回复 1楼 temp00 的帖子

晕....怎么可能保护不了？
V3.14，以sbie的服务作对象

禁用D+，此服务可被终止（过程就不写了）

然后

accordion

回复 1楼 temp00 的帖子

敢问你所用的模式是什么，taskmgr终止进程首先要读取内存，你尝试把读取进程内存也给保护了试试？


真的是很奇怪

amalacc

规则问题 不解释

深度扫描

终结动作发出者是谁？。。。。。如果他有至高无上的权限肯定动作生效啊。

temp00

accordion 发表于 2011-1-23 09:00
回复 1楼 temp00 的帖子

敢问你所用的模式是什么，taskmgr终止进程首先要读取内存，你尝试把读取进程内存也 ...

D+=clean PC;  Firewall=Safe.

的确把读取进程内存也选上就有效了，这样任务管理器结束不掉MsMpEng.exe。

那么对SYSTEM权限进程规则设为全询问没什么会无效呢？

temp00

amalacc 发表于 2011-1-23 09:00
规则问题 不解释

敢问你的规则是怎么设置的？

temp00

自己回复一个吧。
关于进程终止保护，试了一下将任务管理器切换到SYSTEM权限后对D+以“内存访问”和“进程终止”保护的进程进行关闭，D+的保护仍有效。看来D+的防护还是不错的，不知道冰刃下的效果如何。
SYSTEM进程的访问权限限制仍是无效。

accordion

回复 8楼 temp00 的帖子

怪不得....是干净模式..


疯狂模式根本不存在这种情况，不信你试试？

干净模式自动信任安全进程（数字签名，还随便给套安全规则），很多保护都会干净模式失效

jiao轩

回复 8楼 temp00 的帖子

前面的大侠说得很好啊……建议老手还是使用疯狂模式。而你说的冰刃的问题。只要冰刃成功加驱了，那么就是和COMODO同一级别了，COMODO也就管不着了。