2009-04-14

COMODO規則補強 - 裝置變更操作



嚴格來說這不算是一個惡意威脅
因為它只是單純把系統碟以外的磁碟代號給抹去
使用者只需要自行掛上磁碟代號,這樣消失的分區又可以用了
只是我想這種玩笑很容易騙到某些人,導致最後用格式化解決..



這個行為正式版的CIS 3.8預設規則是無法攔的
就算把防護等級拉到偏執模式也無法攔截
因為COMODO預設不監控這個部分


這裡我使用EQSecure 4.1Plus,從空白規則裡新建一條全域規則
*.exe




將全域規則中所有的監控項目打開,然後執行此樣本




從提示的訊息中我們知道,這行為不是一般常見的"底層磁碟存取"
如果只是底層磁碟存取,COMODO正常情況下是會提示的
因為這行為遠比"變更磁碟代號"來的危險多了
如果沒攔,很可能就直接格式化了!


我們根據EQ給我們的訊息,也在COMODO中添加此一規則
\Device\MountPointManager




最後再執行一次,看看有什麼結果




嗯..終於出現提示了,阻止之後磁碟代號也沒有消失
不過同樣的規則在CIS 3.9 beta中是無效的,我想可能是FD bug導致的關係
當然手上也有CIS 3.9 beta的人也可以幫我測試一下
看看到底是我的問題還是bug所導致的關係


最後我把類行為的樣本規類到joke app(玩笑程式)
不過這種玩笑程式玩笑開的太大,也很不好笑
大部分人會直覺的以為磁碟分區真的被格式化了!
所以建議用COMODO的人最好是加上這一條規則!

沒有留言:

張貼留言