>我實測過可以防數種buffer over flow, shellcode injection, anti hook

單純的代碼注入多數防毒主防啟發式都能偵測到

我指的是類似 HMPA 之類的堆栈防護

IPS 對於所有 exploit 可能產生的行為都有詳細定義

而且這個定義隨時會被更新，因應最新的狀況

就拿 CVE-2015-2590 這個 Java 漏洞來說，IPS 當時直接禁用了 Java Security Manager

直到 Oracle 釋出 patch 才重新啟用

還有之前的 Yahoo 漏洞，HMPA 和 IPS 都能直接在入口就擋下來

HMPA 報 neutrino-exploit-kit；IPS報 angler exploit kit website

comodo 要入侵到本機 hips 才會有反應

>不過CIS本身有HIPS，所以已經有行為判斷
>就算沒有anti exploit
>之後的行為也可以依靠HISP來防

hips 是行為防護，不是行為判斷

comodo 的bb是 Viruscope，但也要入沙後才能發揮作用

漏洞跟行為防護也是兩回事

有 Exploit Prevention 的防毒能直接針對可利用的漏洞做封鎖

hips 則是對漏洞後續的行為做補救，還不一定能防住

再舉一個例子

http://bbs.kafan.cn/thread-2034559-1-1.html

這個網站我當初測試 IPS 和 HMPA 都可以在入口就攔截住

comodo 除了把 exe 拉入沙之外，對後續的 dll 注入完全沒反應

更何況現在的 CIS 預設是把 hips 關閉用 sandbox 取代，CCAV 也沒有 hips

一但 sandbox 監控不到注入，整個系統就 GG了

>一般的sandbox如果是基於重新定向
>那本來就沒有所謂能不能判斷病毒
>因為它不知道你到底什麼時候清掉
>如果是強制定向，那它根本也穿不出去
>所以也沒有清不清的問題

就先不討論穿沙的可能，因為確實機率很小

但就像我上面舉的例子，sandbox 再怎麼強無法監控到也是枉然

CIS 不適合一般人用原因也不在這裡

多數主流防毒，對於未知病毒都有一套識別技術，至少不會要使用者自己去判斷

把未知全入沙會產生很多問題

用過 sandbox 的都知道，因為權限和重定向的關係，不少程式功能在沙盒裡面是失常的

因為功能失常，連帶著 Viruscope 無法檢測惡意行為

導致使用者無從判斷沙盒裡面的東西要不要放出來

不放出來檔案不能用；放出來又可能是病毒

>另外善用權限繼承設定好FD
>把重要目錄保護好
>就算沒有AD，單靠FD也可以讓BO之後的行為無效化
>除非是直接access physical memory這樣的行為
>需要AD做anti hook或禁止記憶體重新定向

一樣看我那篇例子

>否則純粹論HIPS強度
>應該還是CIS會比KIS強
>但使用體驗跟整合性則是KIS比較好

卡巴 hips 一樣可以開交互模式，每個動作都彈窗

而且卡巴沒有掉規則的 bug

CIS 掉規則從5版到現在一直都沒修復

CIS的Viruscope 取消勾選只監視沙盒那個就可以
只是說不一定有用，這個功能感覺還不夠完善，也可能誤報

神網那個之前有看到，不知道有無人回報給comodo

D+掉規則目前應該無解，只能看以後會不會解決
不過個人沒碰過

這個在管理上我想概念應該不太一樣
不曉得你這裡說的這禁用是IPS直接disable Java Security Manager?
還是access deny？
因為就我的理解，這應該是disable而不是access deny
CIS就我所知，它在這方面的防護
幾乎都是要人工干預的
如果只是要做基於已知漏洞來決定是否disable某個app或plugin
整合個Bit9之類的黑灰白名單來做也是可以
因為KIS就是這樣做的

如果是我只要檢查到有問題我就禁用
那更簡單，像Firefox那樣直接由MOZILLA
設定DLL BLACKLIST就好
更新完才解除封鎖

而CIS雖然也有類似的東西
但它顯然沒有同樣的用途
只是作為行為判斷的依據之一
我很久之前有發現CIS白名單的一些問題
https://antimalicious.blogspot.tw/2...-2010cis-3.html
不過很多年之後還是這樣
所以我自己是認為這些白名單
對COMODO來說，不是我以為的那樣



你錯了，BB早在最初版CIS 3.0就有了
當時還給他一個名字叫做DEFANCES+
後來的Viruscope，只是為了沙盤引進的新的防護配套機制
而CIS BB依據行為條件定義的不同
CIS會省略部分行為彈窗，直接提示為高危損害類型

其實這個樣本產生的結果還蠻奇怪的
因為CIS居然沒有提示DLL注入
而這是相當重要的的一個行為
後續行為居然也沒有提示其實真的很奇怪
我是不太相信所有行為都是靠漏洞利用拿到權限
大部分只會出現在一開始的BO
如果是我，我應該會回報給COMODO官方
看他們能給出什麼樣的解釋

而CIS其實沒有想像中好用
不論易用性和防護效果
雖然KIS在防護能力上不如CIS
但是KIS整合的很棒，使用體驗也更好
而這也是我一直以來比較推薦END USER使用KIS
而不是CIS單純sandbox的原因之一


CIS可以自定FD規則
防BO或shellcode，或之後的行為
https://antimalicious.blogspot.tw/2...-bfo-fdxml.html
其實CIS強大的是在它的自定義規則
很多預設防不了的東西，自定義規則都防得了
或者有workaround，我blog還有其它類似規則補完供參考


不知你所說的掉規則是如何？
是規則存在
但應該觸發的時候沒有觸發
還是升級後規則消失或沒有被取代？
如果是後者，這應該是很正常的現象
COMODO官方論壇，每次更新
如果有此問題，都會事先告訴你怎麼手動去補完那些RULE


這也是我個人早期比較推PANDA的原因
PANDA幾乎完全不需要人工干預
只會提示已經做了什麼樣的處置
只是panda對於現在流行的勒索表現無法符合一般人的期望
不然我個人是認為panda是一個比KIS還適合end user的套裝

其實瀏覽器入sandbox還可以吧
大部分的衝突跟易用問題，幾乎是跟本身內建的plugin in sandbox還有輸入法衝突
不然額外再搭配一個基於roll back方式的sandbox
setp by setp的方式回覆惡意行為對系統的修改也不是不行
不過重點還是你說的，你怎麼用跟你真的會用才行

惡意行為下載的東西，都不是透過正常的瀏覽器下載管道
除非惡意軟體是用戶自行下載，然後自己執行後中標，那另當別論
當然，就像你說的有得人就是連這樣也要入sandbox
那麻煩其實就是自己找得

所以我個人基於hook ssdt的問題
我不太會建議半套方案
CIS的問題是COMODO過了這麼多年
雖然功能看似全部都有了
但還是沒有辦法整合程一套更友好的操作介面跟體驗

否則對我而言，我不會去跟end user說你裝什麼，怎麼用
就可以一勞永逸，我只會請他備份第一個仙做好，其它要說再來討論

看到講掉規則的，不少是自己寫的不見

最近看到掉的就是這樣不見
http://bbs.kafan.cn/thread-2046549-1-1.html


以前有人說可能是寫的規則有問題，出現bug

網路上有些流傳規則感覺是多餘或是改版後可能重複無用
設定一堆進去不知道會不會衝突或怎樣.....

之前加網路某人講的
結果用comodo 清除功能，跟我說那條是無效xd


.

我自己用那麼多年CIS還真沒愈過這個問題

除非你有樣本，能夠自己測試規則真的有用
或者那個人本身具一定可信度
否則我自己也不會去用網路流傳的什麼XX規則很完善或怎樣的

不勾選就是管家婆模式，對所有記體體執行的程序都用啟發法監測

相當於主防的存在

但 Comodo 的啟發....你知道的，真的那麼好就不會用 sandbox 這種東西在前面擋著

>不曉得你這裡說的這禁用是IPS直接disable Java Security Manager?
>還是access deny？

白皮書是寫 disable，但諾頓對於自家技術原理一向很保密

只能從實測和官網的啟發定義去推斷

>如果只是要做基於已知漏洞來決定是否disable某個app或plugin
>整合個Bit9之類的黑灰白名單來做也是可以
>因為KIS就是這樣做的

不止是已知漏洞的黑白名單

IPS 是專門針對0day的組件，單一的行為簽名可以殺複數以上（幾百幾千）的攻擊模式

可以參考官方白皮書

https://www.symantec.com/theme/star

http://i.imgur.com/s6ANRUl.png

至於已知漏洞也是每天都在更新，簽名參考

https://www.symantec.com/security_r...erabilities.jsp

卡巴的 AEP 也是類似原理

>如果是我只要檢查到有問題我就禁用
>那更簡單，像Firefox那樣直接由MOZILLA
>設定DLL BLACKLIST就好
>更新完才解除封鎖

漏洞不太可能由 user 全部個別禁用，看一下簽名數量就知道了.....

>而CIS雖然也有類似的東西
>但它顯然沒有同樣的用途
>只是作為行為判斷的依據之一
>我很久之前有發現CIS白名單的一些問題
>https://antimalicious.blogspot.tw/2...-2010cis-3.html
>不過很多年之後還是這樣
>所以我自己是認為這些白名單
>對COMODO來說，不是我以為的那樣

>不知你所說的掉規則是如何？
>是規則存在
>但應該觸發的時候沒有觸發

類似的 bug 到現在還存在

例如明明去掉了「為安全的應用程式建立規則」再自建規則照樣掉包

>你錯了，BB早在最初版CIS 3.0就有了
>當時還給他一個名字叫做DEFANCES+
>後來的Viruscope，只是為了沙盤引進的新的防護配套機制
>而CIS BB依據行為條件定義的不同
>CIS會省略部分行為彈窗，直接提示為高危損害類型

D+ 是 HIPS+sandbox 兩個組件的統稱吧

我以為這邊講的行為判斷是像蜘蛛的 BB、卡巴 SW、BD ATC 這種近乎全智能的主防

如果只是簡化部分彈窗，360 就有用到 RPC 這樣的解析技術

>如果是我，我應該會回報給COMODO官方
>看他們能給出什麼樣的解釋

回過了，台灣的客服死不承認被過，一直堅持 FD 有鎖住

（regsvr32 呼叫 taskhost，taskhost 再執行 cmd，但 cmd 被虛擬化所以報錯）

他們認為這樣就叫防住了 :jolin:

原廠 GeekBuddy 回應

這個是卡飯的負面文，主要不清楚我們的沙箱運作原理
首先是未知被虛擬化執行，但是因為需要寫入機碼，而被中止執行
然後再執行時又跑進沙箱，然後又被中止
所以他在強調沙盒沒作用，其實是一直都在作用
只是卡飯不懂
生成時不會阻擋，因為沒執行
一旦執行就進沙箱囉，有惡意行為就會被隔離掉啦

卡飯那邊是直接殺到英文論壇反映

>業界真正最強也好用的是mcafee企業版
>FD RULE設好一次，我幾乎可以應付所有已知或未知的加密勒索
>不過在台灣沒幾個人真正可以了解mcafee FD規則的精髓
>遑論去應用它了，這是比較可惜的一個部分

我看過 VSE 的預設規則，注重的是入口訪問保護

文件一但拉到信任區雙擊，並沒有任何有效防護措施

咖啡對於啟動磁區、硬碟/記憶體底層訪問也無法阻止

當然如果規則寫得好，是可以達到類萬物殺的效果

>這也是我個人早期比較推PANDA的原因
>PANDA幾乎完全不需要人工干預
>只會提示已經做了什麼樣的處置
>只是panda對於現在流行的勒索表現無法符合一般人的期望
>不然我個人是認為panda是一個比KIS還適合end user的套裝

我不知道你指的"不需要人工干預"是指哪方面的技術

單就這點而言，BD、KS、NS、AVG 都可以做到

其實現階段多數防毒的主防和啟發都加入了對勒索的行為定義

不敢說全攔住，但至少95%以上是沒問題

至於紅傘和 avast 這種沒主防的就不要提了

你說的這些我都知道....
這些東西歷年來功能跟改進..
有些還是我參與的...


不需要用戶自己設定
MOZILLA的這個DLL BLACKLIST操作完全是自動的


那你講的跟我說的不是同樣的東西
一般我稱KIS, PANDA, BD這種叫做智能HISP
不叫做行為判斷，一般也不應該叫做行為判斷
早在這種智能HIPS出現之前
就有"行為判斷"這個名詞普遍出現在HIPS上
主防一般應該是主動防禦的簡稱
都是左岸在用比較多
台灣很多新的英文專業名詞
它們的中文名詞有些還是我定義的
不過那也是很早期的時候的時候的事了


人工干預，是指當安全軟體出現提示要求使用者判決
放行跟不放行

不需人工干預，就是智能型HIPS
PANDA是智能型HIPS中的先驅
也比其他廠商早5∼6年做到僅有處理後的提示
完全不需人工干預
有些智能型HIPS例如早期的犀牛SNS
偶爾會跳窗，但不會寫一堆一般人看不懂的術語
會簡單告知發生什麼事，可能有風險之類的
如果使用者還是放行，之後跑出什麼更高危行為
此類智能HIPS還是有能力自動阻止


那COMODO那邊原廠是怎麼回應的？
因為你好像沒說原廠到底怎麼回應的

台灣這邊的技術客服有看到的例子
評價都不是太好，台灣假資訊業標準的通病
只想請最便宜的，而不是找一個最好的

話說我以前也幫COMODO找出不少漏洞跟bug
只是現在手邊沒有環境，不然都有樣本了
其實也沒什麼好討論的了

神網那個也不是很好觸發狀況
可能老外根本就沒有詳細去試

至於台灣comodo那個是做企業用戶
應該不會花太多時間理我們個人免費版問題.......

之前版本跟chrome有問題，有人去回報給台灣的
也是沒下文...........
後來還是原廠那邊有人去講才解決




.

借題請問一下，我可以把被加密的檔案先備份出來，等日後破解了之後在救看看嗎?

我自己視沒中過所以不清楚，目前是朋友的電腦中了，裡面一堆小孩照片 =.=

中哪隻? 是可以保留起來，看以後有沒有機會 ....

目前有新的解密流出來
可以解crypz cryp1檔名的

假如是中這個可以試試，死馬當活馬醫
http://news.softpedia.com/news/cryp...ns-506333.shtml