引用:
|
作者ts00937488
單純的代碼注入多數防毒主防啟發式都能偵測到
我指的是類似 HMPA 類的堆栈防護
IPS 對於所有 exploit 可能產生的行為都有詳細定義
而且這個定義隨時會被更新,因應最新的狀況
就拿 CVE-2015-2590 這個 Java 漏洞來說,IPS 當時直接禁用了 Java Security Manager
直到 Oracle 釋出 patch 才重新啟用
還有之前的 Yahoo 漏洞,HMPA 和 IPS 都能直接在入口就擋下來
HMPA 報 neutrino-exploit-kit;IPS報 angler exploit kit website
comodo 要入侵到本機 hips 才會有反應
|
這個在管理上我想概念應該不太一樣
不曉得你這裡說的這禁用是IPS直接disable Java Security Manager?
還是access deny?
因為就我的理解,這應該是disable而不是access deny
CIS就我所知,它在這方面的防護
幾乎都是要人工干預的
如果只是要做基於已知漏洞來決定是否disable某個app或plugin
整合個Bit9之類的黑灰白名單來做也是可以
因為KIS就是這樣做的
如果是我只要檢查到有問題我就禁用
那更簡單,像Firefox那樣直接由MOZILLA
設定DLL BLACKLIST就好
更新完才解除封鎖
而CIS雖然也有類似的東西
但它顯然沒有同樣的用途
只是作為行為判斷的依據之一
我很久之前有發現CIS白名單的一些問題
https://antimalicious.blogspot.tw/2...-2010cis-3.html
不過很多年之後還是這樣
所以我自己是認為這些白名單
對COMODO來說,不是我以為的那樣
引用:
|
作者ts00937488
hips 是行為防護,不是行為判斷
comodo 的bb是 Viruscope,但也要入沙後才能發揮作用
漏洞跟行為防護也是兩回事
有 Exploit Prevention 的防毒能直接針對可利用的漏洞做封鎖
hips 則是對漏洞後續的行為做補救,還不一定能防住
再舉一個例子
http://bbs.kafan.cn/thread-2034559-1-1.html
這個網站我當初測試 IPS 和 HMPA 都可以在入口就攔截住
comodo 除了把 exe 拉入沙之外,對後續的 dll 注入完全沒反應
更何況現在的 CIS 預設是把 hips 關閉用 sandbox 取代,CCAV 也沒有 hips
一但 sandbox 監控不到注入,整個系統就 GG了 |
你錯了,BB早在最初版CIS 3.0就有了
當時還給他一個名字叫做DEFANCES+
後來的Viruscope,只是為了沙盤引進的新的防護配套機制
而CIS BB依據行為條件定義的不同
CIS會省略部分行為彈窗,直接提示為高危損害類型
其實這個樣本產生的結果還蠻奇怪的
因為CIS居然沒有提示DLL注入
而這是相當重要的的一個行為
後續行為居然也沒有提示其實真的很奇怪
我是不太相信所有行為都是靠漏洞利用拿到權限
大部分只會出現在一開始的BO
如果是我,我應該會回報給COMODO官方
看他們能給出什麼樣的解釋
而CIS其實沒有想像中好用
不論易用性和防護效果
雖然KIS在防護能力上不如CIS
但是KIS整合的很棒,使用體驗也更好
而這也是我一直以來比較推薦END USER使用KIS
而不是CIS單純sandbox的原因之一
CIS可以自定FD規則
防BO或shellcode,或之後的行為
https://antimalicious.blogspot.tw/2...-bfo-fdxml.html
其實CIS強大的是在它的自定義規則
很多預設防不了的東西,自定義規則都防得了
或者有workaround,我blog還有其它類似規則補完供參考
引用:
|
作者ts00937488
另外其實我自己本身也覺得CIS的FD頂多算優秀而已
業界真正最強也好用的是mcafee企業版
FD RULE設好一次,我幾乎可以應付所有已知或未知的加密勒索
不過在台灣沒幾個人真正可以了解mcafee FD規則的精髓
遑論去應用它了,這是比較可惜的一個部分
卡巴 hips 一樣可以開交互模式,每個動作都彈窗
而且卡巴沒有掉規則的 bug
CIS 掉規則從5版到現在一直都沒修復
|
不知你所說的掉規則是如何?
是規則存在
但應該觸發的時候沒有觸發
還是升級後規則消失或沒有被取代?
如果是後者,這應該是很正常的現象
COMODO官方論壇,每次更新
如果有此問題,都會事先告訴你怎麼手動去補完那些RULE
引用:
|
作者ts00937488
就先不討論穿沙的可能,因為確實機率很小
但就像我上面舉的例子,sandbox 再怎麼強無法監控到也是枉然
CIS 不適合一般人用原因也不在這裡
多數主流防毒,對於未知病毒都有一套識別技術,至少不會要使用者自己去判斷
把未知全入沙會產生很多問題
用過 sandbox 的都知道,因為權限和重定向的關係,不少程式功能在沙盒裡面是失常的
因為功能失常,連帶著 Viruscope 無法檢測惡意行為
導致使用者無從判斷沙盒裡面的東西要不要放出來
不放出來檔案不能用;放出來又可能是病毒
|
這也是我個人早期比較推PANDA的原因
PANDA幾乎完全不需要人工干預
只會提示已經做了什麼樣的處置
只是panda對於現在流行的勒索表現無法符合一般人的期望
不然我個人是認為panda是一個比KIS還適合end user的套裝
其實瀏覽器入sandbox還可以吧
大部分的衝突跟易用問題,幾乎是跟本身內建的plugin in sandbox還有輸入法衝突
不然額外再搭配一個基於roll back方式的sandbox
setp by setp的方式回覆惡意行為對系統的修改也不是不行
不過重點還是你說的,你怎麼用跟你真的會用才行
惡意行為下載的東西,都不是透過正常的瀏覽器下載管道
除非惡意軟體是用戶自行下載,然後自己執行後中標,那另當別論
當然,就像你說的有得人就是連這樣也要入sandbox
那麻煩其實就是自己找得
所以我個人基於hook ssdt的問題
我不太會建議半套方案
CIS的問題是COMODO過了這麼多年
雖然功能看似全部都有了
但還是沒有辦法整合程一套更友好的操作介面跟體驗
否則對我而言,我不會去跟end user說你裝什麼,怎麼用
就可以一勞永逸,我只會請他備份第一個仙做好,其它要說再來討論