PTT數位生活區 / AntiVirus (防毒)

Re: [討論] Comodo 防禦勒索病毒操作測試

看板AntiVirus (防毒)作者 (Currahee)時間10年前 (2016/06/09 21:01), 10年前編輯推噓13(13043)
留言56則, 11人參與, 最新討論串3/3 (看更多)
容我提醒 Comodo firewall 的 Trusted Vendors (Comodo 有可設定信任程式的功能,這裡的 Trusted Vendors 是另一個不同的白名 單功能) 我在本板也提醒過 https://www.ptt.cc/bbs/AntiVirus/M.1460277943.A.CDF.html #1N2XAtpV (AntiVirus) Trusted Vendors 裡有中國公司的清單,可自行刪除 在同篇文章也提到中國政府在今年1月1日實施反恐怖主義法,要求 ISP 業者開後門, 伺服器資料加密儲存的金鑰必須提供給中國當局。 http://www.ithome.com.tw/news/102022 這個訊息提供參考。 PS.在2月26日我工作場所的電腦中了勒索軟體,找資料時,無意間得知中國政府實施反 恐法,之前已對中國軟體敬謝不敏,得知後更是廣為宣傳,中國軟體盡量不要使用。 不過,中間有得到反饋,「不違法,怕什麼?」所以現在後面我都會加註「提供參考」 XD 再PS.https://www.youtube.com/watch?v=vndaOa15bPg
cruelsister1 對 Comodo firewall 的沙箱設定 ※ 引述《AngelGT (旦旦)》之銘言: : 希望以下的說明能幫助版上的鄉民們測試勒索病毒。 : 這是小弟利用Comodo Internet Security Premium 免費的版本。(以下簡稱CISP) : 輔以在Comodo 企業版(CESM)上學到的設定觀念套用的阻擋案例。 : 範例中CISP的保護模組,防毒,防火牆,HIPS與Viruscope我已經關閉,只留下動沙箱 : 目的就是要測試「自動沙箱」在沒有黑名單與雲端檔案比對下, : 對於不認識的未知惡意程式如何保護本機的檔案。 : CISP的自動沙箱預設策略,還不足以阻擋,需要調整。 : --------------------------------------------------------------------------- : 1.自動沙箱→會看到預設的六條策略,請對第四條修改。(前三封鎖,後三虛擬化) : 2.對第四條點兩下進入設定,會看到三個來源策略,將第一條其來源改為任意到任意。 : --------------------------------------------------------------------------- : 6/8 : 修改成 : http://i.imgur.com/58D35ZF.png
: http://i.imgur.com/MyNFSzy.png
這是第四條(第一個虛擬化的配製) : 這樣的配法就是,不在黑名單的,也不在白名單的,通通去沙箱執行。 : 當上述設定完畢後,就可以打造一個測試環境。 : 以下三分半的影片是實際的案例。 : https://www.youtube.com/watch?v=EFjDwpg9THk
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.189.187 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465477304.A.9A0.html
06/09 21:04, , 1F
ptt網頁版暫時進不去,可否提供文章代碼,感謝!
06/09 21:04, 1F
加註文章代碼 ※ 編輯: fema (180.176.189.187), 06/09/2016 21:26:11
06/09 21:43, , 2F
不知道為什麼超多人有這心態 像之前監聽新聞也是...
06/09 21:43, 2F
06/09 21:44, , 3F
都覺得自己個資不值錢 確實個人的不值錢 但是有心人掌控
06/09 21:44, 3F
06/09 21:44, , 4F
數十萬人 數百萬千萬人的時候 結果就不一樣了...
06/09 21:44, 4F
我通常會舉情境例子說明 "在馬來西亞傳微信說 茉莉花快開了,中國政府立刻與馬來西亞政府交涉,要求馬政府 以違反 中國反分裂國家法 引渡中國審判" ( 茉莉花快開了 引用自 茉莉花革命 https://goo.gl/lR1tSI )
06/09 21:45, , 5F
怕你搞革命啊XD
06/09 21:45, 5F
06/09 21:47, , 6F
我是直接把整個白名單刪除了......
06/09 21:47, 6F
06/09 21:48, , 7F
你不用大陸軟體,那名單對你也沒什麼影響
06/09 21:48, 7F
06/09 21:49, , 8F
反正怕就手段刪除,或是取消勾選信任
06/09 21:49, 8F
06/09 21:50, , 9F
這種白名單,卡巴大概也有吧
06/09 21:50, 9F
06/09 21:50, , 10F
卡巴那邊在地化
06/09 21:50, 10F
06/09 21:51, , 11F
看有些大陸程式也不會被分到低權限群組去
06/09 21:51, 11F
好像微軟也針對中國出了不同版本的 Windows,我無法管中國內部怎麼玩,但是 Comodo 這樣玩,就要稍微注意了。對了,我現在仍在使用 Comodo。 ※ 編輯: fema (180.176.189.187), 06/09/2016 22:07:04
06/09 21:59, , 12F
有在大陸賣防毒的,應該都避免不了
06/09 21:59, 12F
06/09 22:07, , 13F
大陸軟體真的少用為妙
06/09 22:07, 13F
06/09 22:12, , 14F
確實是少用為妙,有警覺也是需要,不過不能怪這些廠商
06/09 22:12, 14F
沒有怪 Comodo,只是提醒對中國軟體感冒的人,在使用 Comodo 時要留意這個 Trusted Vendors 清單。 再一次強調,我現在仍在使用 Comodo。 ※ 編輯: fema (180.176.189.187), 06/09/2016 22:18:30
06/09 22:12, , 15F
他們要賣資安產品假如不做信任廠商名單,大概很難賣xd
06/09 22:12, 15F
沒錯,所以我很佩服 liumang 可以把這 Trusted Vendors 清單都刪除,這麼一來, 就是一堆詢問視窗,系統的行為就超多的說。 ※ 編輯: fema (180.176.189.187), 06/09/2016 22:24:26
06/09 23:04, , 16F
那麼 要怎麼辦呢?
06/09 23:04, 16F
06/09 23:05, , 17F
只能賭不會碰到中資在白名單的 vs 一堆詢問視窗 嗎?
06/09 23:05, 17F
06/09 23:08, , 18F
端午節快樂,先放假休息休息,打仗等下週。喝酒中
06/09 23:08, 18F
06/09 23:09, , 19F
去原PO之前的文章 倒到一堆可以沙廚的關鍵字 謝謝了!
06/09 23:09, 19F
06/09 23:10, , 20F
找到一堆可以刪除的關鍵字 輸入法真
06/09 23:10, 20F
06/09 23:12, , 21F
哈 Ange1GT大端午節快樂! 喝酒不要開車喔
06/09 23:12, 21F
06/09 23:17, , 22F
回覆一下XDD 我剛剛跑去看 結果白名單又開始慢慢增加
06/09 23:17, 22F
06/09 23:17, , 23F
但我不太確定的是 為什麼沒有想像中的詢問視窗
06/09 23:17, 23F
06/09 23:18, , 24F
我的想法是透過我人工來判斷後 COMODO 才會自動加入白名
06/09 23:18, 24F
06/09 23:18, , 25F
單 但是又好像不是這麼回事 因為後來實在是搞不太懂他
06/09 23:18, 25F
06/09 23:18, , 26F
哈,醉了直接睡,不開車與騎車!
06/09 23:18, 26F
06/09 23:19, , 27F
是如何把白名單恢復回來的機制 所以我直接在
06/09 23:19, 27F
06/09 23:19, , 28F
"檔案評價設定"那邊 直接把"信任的程式簽章由信任廠商"
06/09 23:19, 28F
06/09 23:20, , 29F
直接取消勾選 就像大大在之前那篇文章說的XDD 算是比
06/09 23:20, 29F
06/09 23:20, , 30F
較省事情了(的確好像也有多一點詢問視窗 但是還是沒想
06/09 23:20, 30F
06/09 23:20, , 31F
向中來的多
06/09 23:20, 31F
06/09 23:22, , 32F
可怕 是透過更新病毒碼增加白名單的吧 我猜
06/09 23:22, 32F
06/09 23:23, , 33F
應該不是 我在猜有可能是因為之前已經放行了 所以他過沒
06/09 23:23, 33F
06/09 23:24, , 34F
多久 若是某個檔案要通過 因為之前放行 所以他也會直接
06/09 23:24, 34F
06/09 23:24, , 35F
拉近信任的廠商名單內(也就是白名單)
06/09 23:24, 35F
06/09 23:25, , 36F
還有會這樣想的另外一個原因是 我目前有進入白名單的廠商
06/09 23:25, 36F
06/09 23:25, , 37F
都是我之前有設定放行的(例如微軟,Dropbox,)
06/09 23:25, 37F
06/09 23:26, , 38F
當然這只是我的猜測 很有可能我根本搞錯他的機制了
06/09 23:26, 38F
06/09 23:28, , 39F
名單只是比對其中之一,有有改過不會過
06/09 23:28, 39F
06/09 23:29, , 40F
comodo好歹是第二大證書認證,不會只有靠白名單放行
06/09 23:29, 40F
06/09 23:33, , 41F
我剛剛測試發現,他的白名單會藉由線上查詢而增加,譬如我
06/09 23:33, 41F
06/09 23:35, , 42F
把google都刪掉了,然後一執行chrome,沒入沙,查信任名單
06/09 23:35, 42F
06/09 23:35, , 43F
google回來了,所以如果下載阿六軟體,即使你刪掉了白名單
06/09 23:35, 43F
06/09 23:37, , 44F
線上比對又會回來><,要關就要關徹底點,線上查詢和信任廠
06/09 23:37, 44F
06/09 23:37, , 45F
都要取消,不然就只能全然相信comode的名單了
06/09 23:37, 45F
06/09 23:38, , 46F
有跟雲端連線,這家掃毒接下來也搞這個
06/09 23:38, 46F
06/09 23:42, , 47F
目前comodo防毒部分組件,快速掃描會去連雲端查檔案評價
06/09 23:42, 47F
06/09 23:42, , 48F
可以加速掃描速度
06/09 23:42, 48F
06/09 23:45, , 49F
線上查詢說不太建議關,雲端防護也算重要.......
06/09 23:45, 49F
06/09 23:46, , 50F
那就是只建議關信任廠商囉??
06/09 23:46, 50F
06/09 23:50, , 51F
關信任廠商就得一直點放行,除非你已經調校得很好了
06/09 23:50, 51F
06/09 23:50, , 52F
刪白名單是一件無功用的事,我只證明了這點
06/09 23:50, 52F
06/09 23:51, , 53F
不要用大陸軟體比較快 ....
06/09 23:51, 53F
06/10 00:03, , 54F
白名單比沒有名單還恐怖...
06/10 00:03, 54F
06/10 00:36, , 55F
對啊 白名單很像是後門 不要叫我的電腦撿肥皂阿
06/10 00:36, 55F
06/21 05:00, , 56F
06/21 05:00, 56F
更多 fema 的文章
文章代碼(AID): #1NMMYucW (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 fema 的文章
文章代碼(AID): #1NMMYucW (AntiVirus)