查看: 289239|回复: 822
收起左侧

和我一起磕毛豆吧!---ComodoV3安装使用一条龙介绍及讲解

  [复制链接]
baerzake
发表于 2007-11-21 17:32:10 | 显示全部楼层 |阅读模式
本帖最后由 mxf147 于 2011-5-31 12:33 编辑

这个是我根据帮助文件和自己的使用心得归纳而成,希望对毛豆们有一点帮助,也是抛砖引玉,时间仓促水平有限,难免谬误,还请各位大大指正。本文是对comodo的基本功能的介绍和讲解,如有疑难杂症还请资讯U斑斑^_^

转帖请注明--卡饭baerzake


概述

Comodo防火墙专业版为你的系统提供360°全方位的保护,通过企业级的包过滤墙和先进的主机入侵防御系统的完美结合来阻止来自内部及外部的威胁。新的界面能帮助用户更加方便迅捷的访问所有主要设置,包括强大的高度可配置的安全规则界面。


Comodo防火墙始终监控来自内部和外部的攻击并且守护你的系统,V3最大的特色就是提供了完全成熟的HIPS主机入侵防御系统,命名为Defense+来保护你的重要系统文件以及在病毒和恶意软件获得机会安装前就阻止它。事实上,defense+对于防御恶意软件非常出色,你也许永远不再需要脆弱的反病毒软件了^_^。


V3提供了非常有好人性化的图形用户界面。高度细化的设置选项。容易理解和有益的报警提示。优秀的信任区侦测功能以及其他。Comodo防火墙专业版提供了企业级的保护,可以‘out of the box’ 使用---即使是最没有经验的用户也可以在安装后使用,不会为复杂的配置问题所困扰。


Comodo包括一个内置的可执行文件数据库。对所有已知的可执行文件进行了全面的分类。Comodo是唯一为用户提供这种重要信息的防火墙。

安装


在安装前确保你的系统里没有其他第三方防火墙软件。
系统需要配置
Windows Vista (Both 32-bit and 64-bit versions)
Windows XP (Both 32-bit and 64-bit versions)
Internet Explorer Version 5.1 or above
64 MB available RAM
60 MB hard disk space for 32-bit versions and 80MB for  64-bit versions


安装步骤

















这时Comodo防火墙会询问是否启用安全程序认证功能。Comodo的安全列表是一个超过了一百万应用程序的签名数据库。所有这些程序都被comodo认可为安全对你的系统不会造成伤害。如果启用了这个功能,comodo会自动为了系统内的在comodo安全列表内的程序创建允许规则来允许这些程序访问网络。这个功能是非常方便和安全的,因为你最爱的程序能立刻联网,不过如果这些程序尝试以可疑方式联网时comodo依然会立刻提示你的(比如木马劫持了程序后准备通过此程序外联时comodo会马上报警提示^_^)。


















安装完毕




[ 本帖最后由 baerzake 于 2007-12-8 21:01 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +50 收起 理由
ubuntu + 50 精品文章

查看全部评分

baerzake
 楼主| 发表于 2007-11-21 17:32:40 | 显示全部楼层
各主要界面及功能介绍

摘要界面




提示框界面

提示框分为防火墙提示Firewall Alerts 和行为监控提示Defense+ Alerts。先来看行为监控提示



关于less options功能


这个功能是将询问选项简化成只有允许和阻止。







询问框安全等级


询问框安全等级分为三类,以黄,橘,红三色表示。可以帮助用户判断,但是这只是辅助之用,还需要结合安全评估进一步分析方可做出允许或阻止选择。


黄色报警------低威胁报警。在大多数时候你可以允许这些网络连接请求或行为请求。这个等级默认对安全请求是自动勾选'Remember my answer for this application' (记住)选项的。

橘色报警------中度威胁报警。请仔细阅读安全评估后再做出决定。这个警报可能是信任程序的无害进程或活动,也可能是恶意软件的攻击。如果你知道这个程序是安全的你通常可以选择允许,如果你不清楚这个程序执行的动作或连接是否安全你可以阻止它。这里我的建议是如果有进程或动作不清楚,可以百度或狗狗来了解下,对判断很有帮助。

红色报警------高威胁报警。这个报警显示了类似木马病毒或其他恶意软件活动的高度可疑行为。在允许此活动前请仔细阅读提供的信息,慎重决定,不能确定的话百度狗狗是你的好榜手哦^_^









如何对询问提示做出正确的判断?


对于防火墙询问


仔细阅读安全评估。Comodo能够识别数千中安全程序(比如IE和outlook),如果程序被认为是安全的(安全评估里可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的联网请求(一般出现这个情况的原因是此程序还没有被加入到comodo的数据库中,所以想要更方便的使用大家还是要多多上报平常常用的一些程序),如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。


在提示框中点击进程的名称可以调出此进程的属性窗口,可以帮助你做进一步判断。





如果你确定这个程序是你常用的程序,你可以使用'Treat This Application As' (把此程序归为)选项来用内置的规则简化操作。比如你可以把程序设置归为'Web Browser' 浏览器类型。这样此程序就可以使用与IE等浏览器一样的规则。这些内置规则都是经过comodo特别设计的针对此类程序的最优化的安全设置。





对于行为监控询问


和防火墙询问一样,仔细看安全评估。Comodo能够识别数千中安全程序,如果程序被认为是安全的(安全评估里可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的执行动作,如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。
如果不是安装程序请不要把程序归为'Installer or Updater' (安装升级)类型。因为这个类型给予了程序最大的权限,如果你必须使用可以暂时选择此类型,但请不要选中“记住”选项。



在各种报警行为中特别要注意的是Device Driver Installation(安装设备驱动)和Physical Memory Access(访问物理内存),很少会有合法程序会有这两种动作(可惜中国好像很多^_^),这通常是比较明显的恶软和rootkit的行为。除非你确定请求此动作的程序是合法的。建议:访问物理内存一般不管正常与否都可以阻止,对程序的使用没有大的影响,安装驱动请确定程序的合法性,如果不确定一定要先阻止。



Protected Registry Key Alerts 修改受保护的注册表键值报警





这种情况一般发生在你安装新软件时,如果没有安装新软件,在使用软件的过程中出现这种情况,建议阻止,即使你看不懂它要修改的是什么也没关系,一般阻止了不会影响程序的使用。


'Protected File Alerts' 受保护的文件报警

一般发生在你下载文件或复制文件或者升级程序安装程序时。如果不是以上这些情况建议阻止。

如果有程序要在windows目录和子目录下创建可执行程序一定要特别注意。这是典型的恶意软件的行为,如果你不是安装新程序或打补丁一定要阻止。

如果有程序要创建一个很陌生的dll文件,可能是病毒,除非你信任此程序,否则建议阻止,或者将它设置为“监禁程序”'Isolated Application' 。






Defense+模块


D+可以说是comodov3最吸引人的地方了,非常有特点。它其实就是个HIPS主机入侵防御系统,会一直监控你系统中所有可执行文件的活动。每当有未知的可执行程序(.exe, .dll, .sys, .bat etc)尝试运行时comodo就会报警,得到你的允许后才能运行。先看界面,分为Common Tasks常规功能”界面和Advanced高级功能”界面。



常规功能界面


通过这个界面的功能可以很方便的配置D+。





高级功能界面


这个是提供给比较有经验的用户来更深入的设置D+的安全策略和设置的。





常规功能讲解

1.View Defense+ Events日志

日志记录每一条违反了你的安全策略的行为,这些行为已经被阻止,你可以通过查看日志了解。



点击上图日志中的“more”可以查看更多近期的日志。还可以对日志进行过滤,这个没什么大用就不展开了。



My Protected Files受保护文件

这个功能可以防止你要保护的特殊文件和文件夹被未授权程序非法修改。这个可以防止各种病毒修改受保护文件,也可以防止非常有价值的文件被偶然或蓄意的破坏。当一个文件是受保护文件时它依然可以被访问阅读,但是不能修改。例如host文件(c:\windows\system32\drivers\etc\hosts).这种系统重要文件就应该加入到受保护文件中。这样一来就可以只允许程序读取,但不能修改,一旦尝试修改就会被comodo挂起并报警。







受保护文件虽然可以阻止病毒修改文件,但是一些正常程序需要修改怎么办呢?可以通过添加"例外"Exceptions来保证它们拥有修改的权限。

比如假设一个WPS文件'安装.wps',我们需要wps程序可以修改它,而不希望其他肯潜在恶意程序去修改它。那我们就可以这么设置。








把'安装.wps"加入受保护文件后,现在我们来把wps程序排除,允许它修改“安装.wps”。














这样"安装.wps"就既可以被WPS修改而又不会被其他程序修改了。

My Quarantined Files 我的隔离文件


这个功能可以允许你锁定文件和文件夹,在隔离区域里的文件或目录任何其他程序和用户都不没有权限访问,如果隔离的是可执行文件将无法运行。和我的受保护的文件不同,隔离文件不允许设置例外程序来访问它。

我们再来举个例子,假设“概述.wps”添加为隔离文件。








添加完成后,我们来删除试试看。






My Pending Files我的等待认证文件


安装Comodo Firewall后,comodo会监控所有文件的动作。每个新的可执行文件都会被comodo扫描以检查是否在comodo的认证安全文件数据库中。如果不在其中,comodo就认为它不是安全的,会把它们添加进'My Pending Files' 我的等待认证文件中,等待用户的查阅并有可能的话上报给comodo。除了新的可执行文件,任何被修改的可执行文件都会被重新加入'My Pending Files' 中。

'My Pending Files' 我的等待认证文件这个功能对于'Clean PC Mode'清洁模式是非常有用的,在清洁模式中,等待认证文件被认为是不清洁的。

等待认证文件”允许用户:

访问等待认证文件,决定是否信任文件。如果文件是可以信任的,可以转移到'My Safe Files' (我的安全文件)区域 ,同样的如果不信任的话可以转移到'My Quarantined Files' (我的隔离文件)区域。







Lookup功能是允许你通过master Comodo safelist检查文件信息。会连接comodo服务器在master Comodo safelist安全列表数据库中检查是否有任何有关此文件的信息,如果没有信息,你可以把它上报给comodo进行分析。







My Own Safe Files我的安全文件

'My Own Safe Files'我的安全文件是个非常有用的功能。你可以把你信任的文件加入,这样这个文件就被comodo认为是安全的,如果是一个你认为安全的可执行文件但是comodo的数据库里暂时没有的话你可以把它加入'My Own Safe Files'区域。这样运行时就不会有提示框了,方便了用户。





View Active Process List查看活动进程



这个界面把你系统中所有活动的进程以及它们的父进程以进程树方式显示了出来。






My Trusted Software Vendors我信任的软件提供商

Comodo可以从信任软件提供商处获得程序的数字签名。可信任的提供商都会向第三方提供数字签名以保证它的真实和完整性。目前一般是在Trusted Certificate Authority机构进行第三方签名。D+默认会检测对比软件开发商和Trusted Certificate Authority提供的签名。同时也会把经过检测无问题的软件加入comodo的安全列表中。




My Protected Registry Keys我的受保护注册表键值

Comodo默认已经将一些系统重要注册表键值加入保护防止修改。如果这些重要键值被以任何方式修改可能会对你的系统造成无法挽回的损失和破坏。所以请一定确保这些键值是受保护的。








下面是国外一位高手的注册表保护的建议,大家看看如果comodo没有保护的话可以自己添加。

HKCR\Folder\shellex\ColumnHandlers\
HKCR\ftp\shell\open\command\
HKCR\*\shellex\ContextMenuHandlers\
HKCR\PROTOCOLS\Filter\
HKCU\Software\Microsoft\Command Processor\
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon\
HKLM\SOFTWARE\Classes\batfile\shell\open\command\
HKLM\SOFTWARE\Classes\cmdfile\shell\open\command\
HKLM\SOFTWARE\Classes\comfile\shell\open\command\
HKLM\SOFTWARE\Classes\exefile\shell\open\command\
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
HKLM\SOFTWARE\Classes\htafile\Shell\Open\Command\
HKLM\SOFTWARE\Classes\piffile\shell\open\command\
HKLM\SOFTWARE\Classes\ShellScrap\shell\open\command\
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
HKLM\SOFTWARE\Microsoft\Command Processor\
HKLM\SOFTWARE\Microsoft\Ole\
HKLM\SOFTWARE\Microsoft\Ras\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKLM\SOFTWARE\Mirabilis\ICQ\Agent\Apps\IcqWinCfg\
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Control\WOW\
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\
HKU\.DEFAULT\Software\Microsoft\MessengerService\
HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Devices\
HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\


HKCU\Control Panel\Desktop\ScreenSaveActive
HKCU\Software\Microsoft\Internet Explorer\Main\FormSuggest PW Ask
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\AUOptions
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute
HKLM\SYSTEM\ControlSet003\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path

My Protected COM Interfaces我的受保护的COM(组建对象模型)接口

Component Object Model (COM)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术。在COM构架下,人们可以开发出各种各样的功能专一的组件,然后将它们按照需要组合起来,构成复杂的应用系统。由此带来的好处是多方面的:可以将系统中的组件用新的替换掉,以便随时进行系统的升级和定制;可以在多个应用系统中重复利用同一个组件;可以方便的将应用系统扩展到网络环境下;COM与语言,平台无关的特性使所有的程序员均可充分发挥自己的才智与专长编写组件模块;等等。  

COM是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序,它们可以给应用程序,操作系统以及其他组件提供服务。开发自定义的COM组件就如同开发动态的,面向对象的API。多个COM对象可以连接起来形成应用程序或组件系统。并且组件可以在运行时刻,在不被重新链接或编译应用程序的情况下被卸下或替换掉。Microsoft的许多技术,如ActiveX, DirectX以及OLE等都是基于COM而建立起来的,而directX和OLE都是黑客和病毒对你的系统发起攻击的最喜爱的目标。限制进程访问COM,保护COM接口对于系统安全是非常重要的一部分。

Comodo默认已经将一些重要COM加入了保护,你也可以自己添加。这个COM不熟悉,所以我一直用的默认,具体的等以后U版来讲解吧^_^。建议是看到有关COM的报警就阻止,有什么问题再根据日志修改。反正我是这么做的^_^




高级功能讲解


界面







Computer Security Policy系统安全策略

这个是D+的重头戏了。就是平时大家所说的规则,没有好的规则再好的软件也没有用,所以规则的设置是非常关键的。下面就来介绍下规则的设置。






对已配置策略的程序进行策略修改









如果要为一个新程序设置规则怎么办呢?







对于程序的访问权限应该怎么设置见仁见智。这里我把自己对一般应用程序的AD设置的看法说一下,仅供大家参考。


1.运行应用程序
    这个很简单吧,没什么好说的,你双击一个程序,这个程序就运行了谁都知道,但是如果在上网时你没有运行突然弹出询问框报警程序运行你就要当心了,一定要仔细看程序路径名称,一般会自动运行的除了病毒就是一些软件的升级程序,但是如果该程序是在TEMP路径下的话一定记住要阻止,99.9%是病毒!

2.加载驱动程序
    一般只有比较BT的软件会要求加载驱动程序,比如杀软以及一些安全工具,所以这个也很简单,只有你完全信任的程序才可以允许,否则请阻止。特别是路径或程序名比较陌生的。

3.  访问物理内存
        我们知道,在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序,不能直接访问物理内存地址;而运行在核心态的驱动程序,能将虚拟地址空间映射为物理地址空间,从而访问物理内存地址,从而更快的收集数据。所以要求访问物理内存的程序一般都是比较BT的,除了你确信的其他一般可以阻止,即使是正常软件阻止了也不会影响使用。

4.  底层磁盘操作
        所谓底层磁盘操作本身并没有什么危害,某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层面上进行控制,那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两个门卫以为可以高枕无忧,哪知人家挖了个地道直接进了你家,门卫就成了摆设。因此HIPS应该要包括对底层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。

5.  创建远程线程
        远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。就好像把一个寄生体注入到了其他生物中一样。这个寄生体将会与他的宿主“同生共死”并且拥有宿主的所有权限。由于我们的程序代码寄生在其他进程内部,所以一般人使用任务管理器是看不见这个“寄生”进程的。
        创建远程线程是木马隐藏自己的一个非常高明的手段,就好象一个特务在通关时一般都会混进一些高官的车中,胁持高官谎程自己是高官的部下,从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建远程进程。

6.  修改其他进程内存
        一般正常软件不会有此动作,所以阻止吧。

7.  安装全局钩子
        英文叫hook,指利用api来提前拦截并处理windows消息的一种技术,能够使该程序对其他系统内有键盘响应事件的程序自己挂钩。说白了就是在你家安装窃听器,你能容忍吗?阻止!不过QQ是要允许的哦,要不然就登录不上去了。

8.  安装服务或驱动
        同加载驱动程序。

9.  键盘记录、修改系统时间、直接操作系统内核
        有些正常程序也会进行键盘输入监控,所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统内核一般建议阻止。


10.windows消息
        这个建议先阻止,看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。

11.结束进程
        这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。


Predefined Security Policies预置安全策略


Predefined Security Policies预置安全策略是个很好的功能,可以很大成度上简化用户使用的难度和复杂性。这个相当于策略组。你可以设置好相应的策略组,然后以后有什么程序运行就把它加入相应策略组就行了,免去了一个个去自定义的麻烦。












Image Execution Control Settings可执行文件镜像控制设定





引用U版的话“在每一个可执行文件被载入内存前给予验证、提示。

程序平时是以文件形式保存在硬盘,在运行时载入内存。我们一般把可执行文件叫做程序的映像(image) 。
一个进程是一个正运行的应用程序的实例;
进程是进程映像(Process Image)的执行过程,也就是正在执行的进程实体。

Image Execution 是对可执行文件载入内存进行控制,会影响Policy里的Run an executable”


什么意思呢?就是如果选了Aggressive,即使你的可执行文件在策略中已经允许运行了,但是comodo还是会报警提示。在可执行文件尝试加载入内存或缓存时会被comodo拦截。


normal就是在可执行文件尝试加载入内存会被comodo拦截,但加载入缓存是不会拦截的,这是comodo的默认设置,建议不要改动。


下面举个例子,大家就知道有什么区别了。我的yyy.exe已经设置好策略,原来运行是没有任何提示的。





选择Aggressive(积极状态?)时









Defense+ Settings行为监控设置





Paranoid Mode偏执狂模式

这是最高安全等级模式,意味着comodo会监控你系统中所有可执行文件除了你设置为安全的文件。Comodo不会对任何程序进行学习,即使这些程序在comodo的安全列表里。仅仅会使用你自己配置的策略来过滤危险的系统活动。同样comodo不会为任何可执行文件自动创建允许规则。使用这个模式会使D+产生大量报警提示,建议需要完全的活动提示的高级用户使用。


Train with Safe Mode安全文件学习模式

这个模式下comodo除了监控危险的系统活动,也会自动学习被comodo认证为安全的可执行文件的行为。会自动为他们的行为创建允许规则。对于没有认证的,未知的程序在运行时还是会有报警提示的。如果你的系统不是新装的或不知道有没有病毒,那么这个模式就是比较适合你的,既容易管理又有较高的安全性。


Clean PC Mode清洁系统模式

这个模式下comodo会学习系统内所有可执行程序的一切活动。但是学习完后新安装的可执行文件依然会报警提示。这个模式建议使用在新系统或者确定没有病毒的系统中。


Training Mode学习模式

Comodo会学习所有可执行文件的一切活动,不管是原有的还是新安装,除非你改变模式。你不会看到任何报警提示,这个模式只有在你确定系统中所有文件都是安全的时候使用。建议不使用。或者可以暂时使用,为一个程序自动创建规则,创建完成后调整回原来状态。


Disabled不可用


暂时关闭D+功能。



'Monitor Settings' 监控设置

这里是选择监控各种活动和对象的设置。如果你取消某一项的监控,那么所有程序策略中关于此的监控都会失效。




Interprocess Memory Access 访问其他进程内存

病毒常常利用内存空间修改来注入代码进行各种攻击。包括记录键盘输入,修改伪装入侵程序的行为,通过从一个进程发送信息给另一个进程来窃取机密数据等等。内存空间的破环最严危险的就是病毒可以伪装自己使得传统的反病毒软件和入侵检测系统无法察觉。


Windows/WinEvent Hooks 全局钩子

在MS操作系统中,钩子是用来在事件传达到程序前拦截事件(消息,鼠标动作,键盘输入)的设备。这通常来说可以让合法软件开发商开发更加强大有用的程序,但是也会被黑客所利用。比如用来监听记录键盘输入,鼠标动作,监听修改所有的系统消息,远程控制你的鼠标和键盘。


Device Driver Installations 安装驱动

驱动是一个允许程序或系统与硬件设备通讯的小程序。硬件设备包括你的硬盘,显卡,网卡,CPU,鼠标,USB设备,屏幕,光驱等等。即使安装一个正常的驱动也可能因为与其他驱动冲突而导致系统瘫痪,所以如果是一个病毒程序的驱动可想而知会导致对你的电脑的严重的破坏甚至使黑客控制你的电脑。


Loopback Networking 回送网络?

回送连接指的是你的系统的内部的通讯,是TCP/IP的一个一般性还回设备任何你电脑上的数据通过回送连接发送的都会立即通过它接受到回应。Lookback 渠道攻击可以大量对你的电脑进行TCP/UDP请求致使系统崩溃。


Process Terminations 进程终止

一个运行的进程对应一个程序。(比如comodo防火墙的对应进程就是cfp.exe)终止进程就会结束程序的运行工作。病毒经常利用这个来终止安全软件的进程来使安全软件无法工作。


Window Messages 系统消息

病毒程序会利用消息来发送特殊消息修改另一个程序的行为。


DNS Client Service DNS客户端服务

病毒程序有可能为了运行DNS(域名系统)递归攻击而访问windows DNS service。这是典型的DDOS洪水攻击,病毒程序向DNS server发送成千上万的欺骗请求。DNS洪水攻击是一种由恶意实体向DNS服务器发送成千上万的虚假请求而造成的分布式拒绝服务攻击。这些请求富于欺骗性,因为它们似乎是来自目标或“受害者”的服务器,但实际上来自不同的机源--通常是一个未经主人允许的网络上的“僵尸”电脑发出了这些请求。DNS服务器被欺骗后发送所有的回复到受害服务器,使受害服务器无法抵抗而崩溃。选择此项设置能阻止恶意程序使用域名系统为客户服务发起此类攻击。


Objects To Monitor Against Direct Access直接访问对象监控

通过直接访问方式可以使程序获得存储设备上的数据或者写入数据,感染其他可执行程序,还可以绕过主动防御或HIPS软件的监控。所以监控直接访问对象是非常重要的。

Physical Memory直接访问物理内存

如果允许病毒程序直接访问物理内存可以使系统执行病毒代码。


Computer Monitor直接访问屏幕

病毒程序可以通过此监控用户的网络浏览,秘密发送广告等。


Disks直接访问磁盘

病毒利用此来破坏文件和硬盘。


Keyboard直接访问键盘


特殊病毒(通常是木马和间谍软件等)能够捕获用户的键盘输入。这个意味着可以在用户没有察觉的情况下窃取用户的各种帐户密码。










[ 本帖最后由 baerzake 于 2007-12-15 23:13 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:32:46 | 显示全部楼层
Firewall 模块

The Firewall Task center防火墙任务中心可以方便快捷的设置所有有关防火墙的配置。也分为二个部分:Common Tasks常规功能和advanced高级功能。

Commom tasks常规功能

界面



View Firewall Events查看防火墙日志

这个是记录了所有的程序或进程尝试连接时触发了网络安全策略时的日志。



Application应用程序

表示哪个程序或进程触发了规则。


Action动作

表示防火墙做出的动作。

Protocol协议

表示程序尝试创建连接时使用的网络协议。通常是最常用的tcp/ip或者udp协议。

Source ip来源ip

表示准备创建连接到主机的IP地址。

Source port来源端口

表示尝试连接到本机的IP使用的端口。

Destination ip目标ip

表示来源IP准备连接到的IP地址,就是你自己电脑的IP。

Destination port目标端口

表示来源IP尝试通过你的某个端口连接你的电脑。

Date/time日期时间

日志触发时间。

Define a New Trusted Application定义一个新的信任程序

Comodo允许事先配置信任程序,使它们拥有访问网络的权限。这些程序以后接受和发出信息都不会被comodo拦截。






Define a New Blocked Application定义一个新的阻止(不信任)程序

comodo允许你事先配置阻止程序列表,在此列表上的程序都不能访问网络。所有进站和出站请求都会自动阻止并记录日志。




Stealth Ports Wizard隐藏端口设置

隐藏端口是表示通过某端口连接到网络的PC如何隐藏此端口,使网络上的随机端口扫描无法扫描到此端口。

我们的电脑通过一种称为“端口”的接口来向其它电脑和网络发送或接受数据。每台电脑上大概有65000个端口,其中有一些特定端口一直是为某些服务准备的,例如你的浏览器访问网络时会向主机的端口80和443发出请求连接网络。你的邮件程序会向主机的端口25发出请求连接邮件服务器。端口扫描攻击就是对你电脑的每一个端口发送消息。这种信息收集技术被黑客用来发现哪些端口是打开的哪些端口正在被系统中的服务所使用。有了这些信息,黑客就可以知道用哪种攻击对你的系统最有效并使用它来攻击你的电脑。

有效的隐藏端口可以使端口扫描无法扫描到此端口。这不同于简单的关闭一个端口,因为它不会对任何连接尝试做出回应(关闭的端口会向黑客回应此端口“关闭”如此一来就证实了这台电脑的存在。)隐藏端口可以使你的电脑达到一个非常高的安全等级。如果一个黑客或自动扫描器不能看见你的电脑端口那么它们会认为你的电脑没有联入网络然后去寻找下一个目标。而你依然和原来一样可以连接网络收发信息,但是对于外部世界来说的你的电脑是不存在的。



Define a new trusted network - stealth my ports to EVERYONE else
对所有人隐藏端口除了我定义的信任网络

选择这个是指你的电脑端口将对所有人隐藏,除了你特别指定信任的网络。



Alert me to incoming connections - stealth my ports on a per-case basis
当有联入请求时提示我,如果没有得到我的允许隐藏我的端口

当每一次有联入请求时你会看到报警提示,会询问你是否允许联入。这个对于P2P以及远程桌面程序这些需要可见的端口才能使用的程序很有用。

Block all incoming connections - stealth my ports to everyone
阻止所有联入请求,对所有人隐藏端口


选择这一项表示你的端口对所有网络都是不可见的,不管你是否信任它们。家庭用户(使用单台电脑没有组成家庭局域网)会发现这是最方便安全的。当有联入请求时自动阻止并没有提示。但是会记录日志。

View Active Connections查看活动连接

这个是查看当前正在联入网络的进程,很多软件工具都有这个功能,没什么好说的。


My Port Sets我的端口设置

这个功能是可以把端口设置组别,这样在设置安全策略时可以使用。

Comodo默认已经设置好了三个组别。分别是HTTP组别,POP3/SMTP组别和privileged组别。

HTTP ports:这个组别的端口是http通讯用的。主要是浏览器联网时会用到。当你在浏览器的地址框中输入一个URL或是单击一个超级链接时,URL就确定了要浏览的地址。浏览器通过超文本传输协议(HTTP),将Web服务器上站点的网页代码提取出来,并翻译成漂亮的网页

Pop3/smtp ports:  这个组别的端口是用于邮件客户端的,如outlook等。端口为110,25,143,995,465.

Privileged ports:特权端口组别。这个组别是防止用户用0-1024的端口运行服务。网络管理员通常会保留或禁止这些端口的使用。

下面举个例子看看怎么加一个新的组别












My Network Zones我的网络区域

电脑与电脑之间通过电缆或各种无线连接方式连接使得用户可以共享网络上的信息和设备。很明显有一些网络你必须授权允许访问,比如你的家庭和工作网络,而另一些可能需要限制通讯甚至完全屏蔽。

Comodo允许你自定义'Network Zones' 网络区并且给予访问特权。'Network Zones' 可以是一个单独的电脑(家庭用户)或者数千台电脑组成的网络。

这个网络区其实就相当于组,设置网络组的好处是可以方便的进行配置,允许还是拒绝访问。比如你可以把某一网络组在“隐藏端口配置”中设置为信任并允许访问本机。或者把网络组添加到“我的阻止网络区”禁止它访问本机。








My Blocked Network Zones我阻止的网络黑名单


网络可以使用户之间共享信息和设备,但是有些不信任的网络我们是需要限制与它的通讯甚至完全屏蔽的。

My Blocked Network Zones可以允许你拒绝一个已存在的网络区的访问。也可以允许你自己定义一个新的网络区,拒绝它的访问。
注意你有两种方法添加黑名单。一是可以将my network zones中的网区直接添加进来,也可以点击new blocked address自己定义一个新的网区。






Network Security Policy网络安全策略


网络安全策略是comodo防火墙的核心部分。允许高级用户配置和过滤应用程序策略和全局策略。

应用程序规则界面

应用程序规则界面允许用户查看,管理和定义应用程序访问网络的权限。




全局规则界面

全局规则界面允许用户查看,管理和定义独立于应用程序之外的全局性网络策略。




优先级:对于出站连接,应用程序规则优先于全局规则。
               对于入站连接,全局规则优先于应用程序规则。

无论什么时候当一个程序请求访问网络的时候,comodo可以通过特别为此程序定制的策略允许或拒绝相应请求。

程序的网络安全策略可以由一条或多条网络访问规则组合而成。每条规则由是否允许,应用协议,对应端口等组成。




在应用程序名上双击就可以调出对话框进行编辑修改








网络控制规则设置分解说明

每条网络控制规则可以被认为由一个简单的if then(如果--则)语句构成。如果条件匹配就会执行指定的行为。作为包过滤防火墙,comodo会分析每一个尝试进入或离开你电脑的数据包的属性。




数据包的属性包括发送和接受数据包的请求,使用的协议,数据包的流向,来源和目的IP地址和端口。comodo会在网络控制规则中查找是否有匹配的规则来决定是否允许放行或阻止。如果没有相应的规则,连接请求默认是自动阻止,直到你为它创建了规则。


规则以网络协议分类可以分为三种

如果是使用'TCP' , 'UDP' or 'TCP and 'UDP'协议,则规则为

如果是使用'ICMP'协议则规则为

如果是使用'IP'协议则规则为


Action : 动作。即当规则条件满足时防火墙执行的动作。分为allow允许,block阻止和ask询问。


Protocol: 协议。程序发送或接受数据时使用的网络协议。分为tcp,udp,tcp or udp,icmp,ip。

        TCPTransmission Control Protocol 传输控制协议。该协议主要用于在主机间建立一个虚拟连接,以实现高可靠性的数据包交换。IP协议可以进行IP数据包的分割和组装,但是通过IP协议并不能清楚地了解到数据包是否顺利地发送给目标计算机。而使用TCP协议就不同了,在该协议传输模式中在将数据包成功发送给目标计算机后,TCP会要求发送一个确认;如果在某个时限内没有收到确认,那么TCP将重新发送数据包。另外,在传输的过程中,如果接收到无序、丢失以及被破坏的数据包,TCP还可以负责恢复。


        UDP用户数据报协议(User Datagram Protocol)。用户数据报协议(UDP)是 ISO 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。 UDP 协议基本上是 IP 协议与上层协议的接口。 UDP 协议适用端口分辨运行在同一台设备上的多个应用程序。
由于大多数网络应用程序都在同一台机器上运行,计算机上必须能够确保目的地机器上的软件程序能从源地址机器处获得数据包,以及源计算机能收到正确的回复。这是通过使用 UDP 的“端口号”完成的。例如,如果一个工作站希望在工作站 128.1.123.1 上使用域名服务系统,它就会给数据包一个目的地址 128.1.123.1 ,并在 UDP 头插入目标端口号 53 。源端口号标识了请求域名服务的本地机的应用程序,同时需要将所有由目的站生成的响应包都指定到源主机的这个端口上。 UDP 端口的详细介绍可以参照相关文章。
与 TCP 不同, UDP 并不提供对 IP 协议的可靠机制、流控制以及错误恢复功能等。由于 UDP 比较简单, UDP 头包含很少的字节,比 TCP 负载消耗少。UDP 适用于不需要 TCP 可靠机制的情形,比如,当高层协议或应用程序提供错误和流控制功能的时候。 UDP 是传输层协议,服务于很多知名应用层协议,包括网络文件系统(NFS)、简单网络管理协议(SNMP)、域名系统(DNS)以及简单文件传输系统(TFTP)。


       ICMPInternet Control Message Protocol  Internet控制消息协议。该协议是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息,通过这些消息来对网络或主机的故障提供参考依据。

       IP网际协议或互联网协议(Internet ProtocolIP)是用于报文交换网络的一种面向数据的协议。 数据在IP互联网中传送时会被封装为报文或封包。

Direction数据包流向。分为in进站,out出站和in/out。

Source Address试图建立连接的源地址。规则为from来自IP , IP range , IP Mask , Network Zone , Host Name or Mac Address。

       Mac address MAC(Media Access Control, 介质访问控制)地址是识别LAN(局域网)节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。

Destination Address试图被建议连接的目的地址。规则为to到IP , IP range , IP Mask , Network Zone , Host Name or Mac Address。

Source Port:源端口。程序尝试发送数据包时使用的端口。

Destination Port目的端口。程序发送数据包的目标对象接受数据使用的端口。

ICMP Details 被侦测到用来触发行为动作的ICMP信息。

IP Details 被侦测到用来触发行为动作的IP协议。


如何设置网络控制规则呢?






规则设置以网络协议大概分为三种,就是协议设置不同,其他大同小异。


















Attack Detection Settings攻击检测设置

下面截图是由伯夷叔齐翻译解释,我觉得很贴切,就直接帖过来了,感谢伯夷叔齐。





Firewall Behavior Settings 防火墙动作设置











Pre-defined Firewall Policies 预置防火墙策略

预置规则就是为程序事先设置好的网络控制规则,可以使用于多个应用程序上。Comodo内置了几种规则,如"web browser"模式就是适用于浏览器的,你可以在浏览器运行时或事先将其加入web browser 模式就可以了。











[ 本帖最后由 baerzake 于 2007-11-25 22:06 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:32:53 | 显示全部楼层
如何巧妙使用预置策略来在确保安全的同时降低comodo和用户之间的交互性?

刚使用comodo的用户肯定会对它的不停的跳出询问框感到既厌烦又束手无措。其实comodo有一个非常好的功能Predefined  Policies(预置策略),使用得当的话可以减少90%的询问框,大大降低和用户之间的交互性,可以极大的方便用户使用。下面我就来谈谈我自己对如何使用预置策略的看法,仅供大家参考。(如果遇到程序运行有问题需要修改的可以根据日志进行修改,把阻止的添加进modify里的allow就行。这个只是个思路,你认为怎么样更好就怎样做,不要拘泥于我写的东西。)

程序大致可以做如下分类


如果我们为同一类型的程序预置一个统一的策略,就可以在以后出现这种程序运行时很简单的把它加入到相应类型策略中就行了,避免了应付一个个烦人的询问框。comodo默认已经预置了一些类型的策略,但是并不是很细,我们可以自己添加一些更细化的策略类型。按照上图可以在D+的预置策略中添加“network application”(联网程序)和“non-network application”(不联网程序)。

设置“联网程序”策略

可以看到询问项已经大大减少,设置为询问的只有安装钩子、受保护文件、loopback网络、DNS客户端服务和访问键盘,询问安装钩子是因为很多程序都需要钩子来实现一些必要的附加功能,但是这个同样会被病毒木马利用,所以设置为询问。受保护文件设置为询问是因为一般联网程序都有可能会升级,会修改一些受保护文件如exe等,所以选择询问。loopback网络和DNS客户端服务设置为询问是因为有些联网程序会用到,访问键盘设置为询问是因为很多正常程序也需要访问键盘。这些询问的只有靠大家的经验如百度狗狗,查看属性等来确定允许还是阻止。

发送消息和进入屏幕可以允许,其他都阻止。




设置“不联网程序”策略

可以看到不联网程序的策略交互性更小,除了安装钩子和联网程序一样需询问外,几乎是静默式的。由于是不联网程序所以可以允许访问键盘,因为它不会对外发送信息。由于不联网程序不会升级,所以受保护文件也可以阻止。




这样当你以后运行一个新的程序时就可以很简答的对号入座。不过有个前提是这个程序不需要加载驱动,因为设置了阻止驱动,因为如果允许了加载驱动程序就不受comodo控制甚至可以干掉comodo,所以需要加载驱动的程序请仔细确定安全后可以以信任运行。一般需要加载驱动的程序大都是杀软,冰刃一类安全软件,如果是其他程序报警提示加载驱动就要留意了,有可能是病毒。下面举个例子。

我运行一个新的程序wpp.exe。comodo报警提示wpp.exe要进入屏幕,因为这个时候还没有应用预置策略。下面我们来选择一个预置策略应用。由于wpp.exe是金山的wps演示程序,是一个需要联网升级的程序,所以我们选择“联网程序”。这样预置的策略就可以应用在wpp.exe上而不用我们再去一个个的点允许或阻止了。并且此程序受到预置策略的限制,对系统什么破坏都做不了,即使是病毒也不用怕。



应用了联网程序策略之后,comodo报警提示访问键盘,loopback网络、DNS客户端服务,这些都是联网策略设置为询问的,所以由于wpp.exe有这个动作comodo就会提示,这时如果你知道wpp.exe是正常程序就可以允许,如果不确定可以先阻止,如果没有影响下次就直接阻止并记住。










从上面可以看到,使用预置策略comodo只报警提示了3次,如果不使用预置策略会怎么样呢?

我们把策略删除,重新运行看看



















上面就是一步步点允许得到的,点到你手指抽筋不说,里面有很多动作是很危险的,如果是病毒的话点允许就被过了,你能把每一步都判断正确吗?即使可以,你愿意花那么多时间来打开仅仅一个程序吗?

[ 本帖最后由 baerzake 于 2007-12-14 14:09 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:32:58 | 显示全部楼层
Miscellaneous Overview其他相关设置



Settings 设置



Automatically start the application with Windows (Recommended)随即启动

这个是comodo随系统自动启动。建议选中。

Show the balloon messages 显示气泡提示信息

这个是出现在托盘处的提示信息。通常在comodo处于学习模式或对安全文件safelist进行学习时会出现comodo firewall pro is learning 或defense+ is learning这样的气泡提示。建议选中。

Show the traffic animation in tray 显示流量动画

就是托盘图标那个红箭头和绿箭头的流量显示。这个无所谓,喜欢就选中。

Automatically Detect New Private Networks 自动侦测新的私人网络

这个是comodo会自动对任何与本机连接的网络自动侦测。建议选中。

Parental Control 父母控制

这个功能可以给comodo的重要功能提供密码保护以防非法更改。如策略设置以及其他一些设置区域。







Suppress Firewall alerts when password protection is enabled 当启用密码保护时隐藏防火墙报警提示

选中这个功能,comodo将不会弹出任何防火墙报警提示。所有未设置策略的访问请求(就是规则为ask询问的)都将被阻止并不弹出提示。

Suppress Defense+ alerts when password protection is enabled 当启用密码保护时隐藏defense+报警提示

选中这个功能,comodo将不会弹出任何defense+报警提示。所有未设置策略的操作行为请求(就是规则为ask询问的)都将被阻止并不弹出提示。

Update 升级




Automatically check for program updates 自动升级

Automatically perform an online lookup for unrecognized files 自动对未认证文件执行在线检查

如果comodo发现一个可执行文件不在safelist安全列表中即未认证文件,comodo会连接comodo服务器在数据库中检查是否有此文件的相关信息,如果有将会自动下载到你的电脑里并更新你的安全列表。

Automatically submit the files in the submission queue to Comodo 自动将上报队列中文件上报comodo分析

未认证的可执行文件将自动排成队列上报Comodo Digital Trust 分析。

language 语言



themes 主题



Logging 日志



Manage My Configurations 管理我的配置


Diagnostics 诊断



Check for Updates 检查升级


Submit Suspicious Files 上报可疑文件


[ 本帖最后由 baerzake 于 2007-11-24 12:26 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:33:03 | 显示全部楼层
关于策略组的设置

COMODO可以允许你为程序分组,可以把同一类型的程序分为一组,然后直接为组程序设置一个通用规则模块,可以既清晰又简便的为各种程序设置规则。下面我们来看看如何为程序设置defens+策略组。

设置defense+程序组需要到my protected file(我的受保护文件)中添加组,而不能直接在规则设置界面设置组,这个是比较繁琐的地方,希望以后能改善。















[ 本帖最后由 baerzake 于 2007-11-26 23:54 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:33:07 | 显示全部楼层
关于comodo的defense+设置的一些个人看法

在我看来,defense+的FD不需要设置的太严厉,那样只会给自己的使用带来不必要的麻烦。我很喜欢一些沙盘类HIPS的理念,即控制"threat gateway"(威胁关口)。这种理念比较适合没有经验的用户,交互性较小,对用户的日常工作使用影响不大。一般来说病毒的入侵只有两个途径,一个是通过联网程序下载到本地,另一个是通过可移动设备如U盘,光盘上传到本机。如果控制好这两个通道,基本上病毒就没有办法进入你的系统了。下面我就这个思路说一说如何来设置defense+。

首先是控制联网程序

先把联网程序分为一个组,至于怎么分组上面已经说了,就不重复了。然后禁止联网程序对可执行文件和系统重要区域进行创建修改删除动作。COMODO的默认的保护文件有些欠缺,这里是我参考EQ的规则自己添加的,供大家参考。





添加完成后我们就可以把它们加入到联网程序的禁止操作列表中去。这样通过联网程序下载的病毒基本上就进不了你的系统了。当然升级时会无法升级,但是一般联网程序如浏览器,网络电视一类升级也并不是很频繁,所以只要升级时暂时关闭D+就可以了。





下面来举个例子看看我们的设置是否起作用,用the world浏览器下载一个exe文件



可以从日志上看到被comodo阻止了,证明我们的设置起作用了。



[ 本帖最后由 baerzake 于 2007-11-29 16:47 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
baerzake
 楼主| 发表于 2007-11-21 17:33:12 | 显示全部楼层
关于可移动设备的设置

可移动设备包括U盘和光盘,这里我以光盘举个例子。光盘盘符一般为E:/, 所以我们可以先创建一个组。如何添加组请查阅前面的内容。



然后为这个组配置策略





然后我们来测试一下,把仙剑的光盘放入光驱,然后运行。从日志上可以看到运行被comodo阻止了,证明我们的设置生效了。



这样所有可移动设备上的程序都无法自动运行包括病毒,但是不影响你复制粘贴一些文本文件。如果需要运行某程序可以把运行可执行文件改为提示或把需要运行的加入modify里的allow,这个大家觉得怎么适合自己就怎么设置好了。

[ 本帖最后由 baerzake 于 2007-12-14 14:14 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
PlayWill + 1 仔细看完了 受益良多 十分感谢

查看全部评分

baerzake
 楼主| 发表于 2007-11-21 17:33:24 | 显示全部楼层
沙发。我这块砖总算抛完了,看来还是引来了不少玉,最近comodo的优秀帖子多了起来,很多写的都非常好,比我强多了,所以也是我改收笔的时候了。这篇帖子耗了我不少时间,我尽了我最大努力去希望把comodo的各个功能用法和技巧清楚明白的告诉大家,希望对热爱comodov3的毛豆们有一点帮助。最后谢谢大家的支持 ,我们下次再见!

[ 本帖最后由 baerzake 于 2007-11-29 16:53 编辑 ]
eden_cao
发表于 2007-11-21 17:36:32 | 显示全部楼层

先来支持LZ

插一足

强烈支持
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 18:18 , Processed in 0.135514 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表