Comodo3.14的五个瞎实验

秋月的私语

因为自己跟毛豆认识还不太久，而凭借自己的菜鸟技术呢，又想把这软件玩一玩，于是在弄清楚了基本规则之后，做了下面几个自认为有趣但是实际很无聊的实验。
当然，基于安全考虑，以下实验都是在虚拟机上进行的，如果没有特殊说明，使用的版本是毛豆3.14版，使用模式都是疯狂模式+不勾选“信任已签名的软件”。
1.        限制系统进程
为了得到“最小启动规则”，这里借用我的另一个帖子里的一段话：

对于我这种超级刁钻而又没什么技术的菜鸟有个习惯就是我的Hips规则连系统进程够不放过，我希望对系统进程也进行规则限制，这样。因为以前用PS（Prosecurity，新版为Real Time Defender）这样做没有任何问题，具体来说是这么实现的：首先开启学习模式，然后将所有的系统规则全部删除，然后重启，等电脑重新进入系统稳定之后，这样PS学到的规则基本上就是所需要的最小启动规则了（当然，事实上这并不是最小启动规则，还可以更严格地控制，不过对于一般用户是不建议轻易尝试的，不然很容易出现因为规则过严而进不了系统的情况，本人在多款hips软件上已经经历过多次进不去系统的情况……确实想尝试的用户，建议先在虚拟机做好测试再实际应用）。这个时候再开启正常监控模式，PS会有一些弹窗让你发现系统程序之间的不少的互相调用，对于这种调用，多半是要允许的，但是如果你自己对系统进程比较清楚的话，也是可以进行手动控制，这个就不具体说了，因为已经扯得很远了。

这个方法在毛豆3.14上测试成功，具体使用方法就是：
在正常进入系统之后，首先将毛豆的D+改为学习模式，然后将所有的规则全部删除并确定，重启之后进入系统，就可以学到“最小启动规则”了，这样做的目的是为了进一步限制系统进程，当然，对于一般用户是不需要这样的，使用得当可能会带来更高的安全性，而使用不好，则可能有进不了系统，卡机甚至蓝屏的风险。
目前我个人使用这种方式，适当控制系统规则，效果还是挺不错的，建议对系统进程比较熟悉的用户才可以尝试这么做。
2.        疯狂模式 去掉所有规则
既然有刚才第一条的玩法，那么就自然有更厉害的玩法。
于是就是，我在想，在1的条件下，假如我不选择学习模式，选择疯狂模式（不勾选“信任已签名的软件”），然后重启电脑，会出现什么样的情况呢？
具体就是，首先选择不勾选“信任已签名的软件”，然后去掉所有的软件规则并且确定，最后调节成疯狂模式，重启电脑！会出现什么样的情况呢？（这里要说一下顺序，最好按照这里所说的顺序来，而不要反过来操作：比如，在不勾选“信任已签名的软件”的情况下，如果先疯狂模式，然后在去掉规则，然后确定，这容易出现卡机的问题，这是自然的；可能还关不了机，这也是自然的……）
以上操作之后，重启，按照逻辑上来讲，正常情况下，应该会出现进不了系统才对。我是这么想的，因为既然所有的规则都删除了，那么应该是无法登陆系统的，甚至连系统进程都无法正常加载的，因为没有规则允许系统进程运行啊！而且以前在另外一款HIPS上做过这样的测试，确实是无法进系统的。
但是！但是！！
我用毛豆这么做了，竟然还是进系统了！而且是相当正常地进了系统！再去一看规则，果然是自动创建了一堆系统进程规则，想来毛豆自身也注意到了这个问题，为了防止用户误将所有规则删除，于是内置了一些系统进程规则，至少可以保证系统正常启动。
这样的设计又一次让我感叹老外考虑问题之周全！
3.        禁止自己启动
这个测试很简单，禁止explorer.exe启动毛豆，这个时候退出之后是无法在桌面下或者资源管理器下启动毛豆的，而如果你没有允许其他进程启动毛豆的话（一般也不会这么做），是没法启动毛豆的。
于是，毛豆就这样被玩死了……
解决办法：安全模式，启动毛豆，去掉阻止项，重启即可。
4.        将自身目录隔离，无法启动，无法删除
将毛豆的安装目录直接添加到毛豆的隔离区，这个时候毛豆依然运行正常，但是尝试用资源管理器去访问该目录时会提示“无法访问”，当然，也无法删除，而此时一旦退出毛豆再想尝试进入毛豆就会发现已经不行了！
同样的，毛豆又一次被玩死了……
解决办法：安全模式，启动毛豆，去掉该隔离区，重启即可。
5.        将windows目录隔离
这个就比较犀利了，将windows目录直接添加到隔离区。
隔离windows目录之后，立马有一定的效果，就是该目录下的一些工具如果隔离前没启动，那么该程序都不能启动了，比如任务管理器等。然后用资源管理器尝试访问该目录提示“无法访问”，而且无法删除，当然，windows目录本身就不能删除，这没啥说的。
重启之后，我想，这回应该进不了系统了吧！
于是，测试。果然，这次果然是进不了系统了，直接蓝屏，提示“Unknow hard error”，于是乎，知道了绝对不要隔离windows目录……
尝试进安全模式，可以进，然后将隔离区的windows目录项删除，重启。
本以为这样就可以进系统了，结果是卡在登陆界面无法登陆！
然后就是类似于那种规则太严HIPS进不了登陆界面一样。尝试调用任务管理器，于是点击运行，想加载explorer.exe，失败，提示无权限；然后尝试加载毛豆，依然提示无权限！用任务管理器无论是注销还是关机都无效，于是，就这么卡住了！进退不能，最后没办法只能强行把虚拟机断电重启了。
解决办法：在安全模式下卸载毛豆，重启……

以上就是最近瞎整的几个内容了，也有点吃饱了没事干的感觉，我主要是想知道毛豆都是怎么处理这些可能的情况的，于是经过上面的这些测试，总还是有一些发现的。于是写下来和大家分享了。
Copyright@秋月的私语
版权所有 翻版不纠
2011年12月30日星期五

footman

你能限制所有的系统进程吗？不能话想cpl类病毒调用系统进程是不被旧版comodo监控的，这样的话你能安心的用吗？

秋月的私语

footman 发表于 2011-12-30 19:16
你能限制所有的系统进程吗？不能话想cpl类病毒调用系统进程是不被旧版comodo监控的，这样的话你能安心的用吗 ...

所有的，没试过，应该是可以做到的，不过危险性大。。。
cpl病毒的话，却是不少hip都没办法都防到。

h8888

楼主的分享不合时宜，有人恼羞成怒啊！

秋月的私语

h8888 发表于 2011-12-30 19:21
楼主的分享不合时宜，有人恼羞成怒啊！

为什么啊，我什么都不知道。。

秋月的私语

h8888 发表于 2011-12-30 19:25
个别误导小白的无lai正泼妇骂街。。。

我现在知道怎么回事了。。不过我还是挺你的，新版老版本我都试过，我并不想表达新版本不好这样，只是“新版本不适合我”，这样的感觉。。

hncdpjh

这个，版本差的貌似有点远....

秋月的私语

hncdpjh 发表于 2011-12-30 21:01
这个，版本差的貌似有点远....

确实，像我也属于喜欢古董的把。。。

h8888

自己玩自己喜欢的，笑骂由人。