关于用HIPS保护红伞（2009.3.18最新补充）

闪电战

这几天一直在折腾红伞，
先是想要更低的资源占用，把P换成C
用了两天发现C版最近不好升级，又从C换回P
然后又照伯夷叔齐兄的用COMODO全面保护小红伞！
这篇帖子写的确实不错~比以前单纯保护一个红伞进程全面多了

另外我还学着COMODO的自我保护，加了一条对红伞注册表项的保护
即在My Protected Registry Keys里面添加了一个Avira Keys组，内容为*\SOFTWARE\Avira*

不过这样还是不能保护红伞自身的服务项不被修改
实际使用中要注意安装、卸载红伞的时候要把这个组剔除掉否则无法完成安装、卸载过程
毕竟COMODO还不能识别红伞的安装程序的操作
这也是使用HIPS保护与杀软自带自我保护相比最大的不足吧~总是灵活性上有所欠缺

趁着今天删C装P，测试了一下使用COMODO保护红伞
首先是各位最关心的进程保护，再次证明设置保护红伞进程后不需要为Update程序设置例外
安装好红伞后升级，下载了一大把exe文件
更新的时候我特意把主程序（avcenter.exe）打开，因为updater.exe也下载了这个文件
结果下载完成后开始更新时，主程序被正常结束，COMODO的日志里没有任何异常
（估计正常程序的结束友进程机制和一般HIPS所关注的不同
设置了对Qzone.exe的进程保护，但退出QQ后Qzone.exe照样退出了）

但只是这会没有异常，紧接着红伞的图标就不见了~再后来……没有什么再后来，升级失败，红伞也没有再启动
察看COMODO日志发现C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\UPDATE下有个update.exe要修改红伞主文件夹的文件被阻止
于是把C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\UPDATE\*.exe添加进Avira AntiVir组（这个组是根据伯夷叔齐的帖子建的）
再试还是不行，再检查日志
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\TEMP下面还有个update.exe的修改文件操作被阻止了~晕，红伞更新一下引擎要惊动几个位置啊
把C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\TEMP\*.exe也加进那个组，升级成功

所以说光把红伞主文件夹下的几个exe设置成允许修改红伞自身文件是不够的，看起来红伞大更新是件有点复杂的过程
所以还至少要增加上述两个文件夹下的exe
或者图省事直接加一个C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\*.exe


使用其它HIPS的网友也可以根据COMODO的方法举一反三


2008.11.22补：
仿照最新的COMODO Internet Security对自身保护的改进（增加了对system32\drivers\下几个驱动文件的保护）
对红伞的保护也作相应加强
也就是在My File Groups中的Avira Files/Folders中增加如下几个文件
%windir%\system32\drivers\avgntdd.sys
%windir%\system32\drivers\avgntflt.sys
%windir%\system32\drivers\avgntmgr.sys
%windir%\system32\drivers\avipbb.sys
%windir%\system32\drivers\ssmdrv.sys


2009.3.18补：
其实也没补充什么，修改一下配图以符合最新的V9情况，主要是路径的改变
另外drivers目录下不知是当初漏了还是后来新加进来，现在发现有5个红伞的文件，多的avgntflt.sys及路径已加在上面

[ 本帖最后由 闪电战 于 2009-3-18 01:16 编辑 ]

spaceplane

帖子写的很好。。。

伯夷叔齐

非常感谢“闪电战”的介绍，弥补了我设置的不足，也许我写那帖子后，还没有遇到升级引擎的情况，当然，也证明了我对红伞升级机制的不了解，很感谢你的讲解，我会把那个升级目录加入到我COMODO里。同样也以你的实践为准，红伞程序的D+规则里的中断保护里的例外，我也删除了。我想应该也好解释，因为UPDATE.EXE去中断界面，保护等，是在设置里允许了的，因为红伞程序能够相互调用彼此。所以中断保护里的例外排除是多此一举。再次感谢你的实证！！！

关于你介绍的红伞注册表的问题，单独设置那个KEY组后，而不采取其他措施，当有程序触及此项KEY，COMODO就会报警询问？？         个人认为，可能不会有任何询问，因为没有对这个组在AD里的RD去实施。当然，如果你有实践证明为准。。。如果要达到任何程序修改此KEY，COMODO能够不询问而直接阻止掉，那就必须还要在默认的四个组的任何一个组里去添加这个KEY项，而且还是要在AD项里的ALL APPLICATIONS里去进行实施，阻止任何程序去修改它。关于你说的安装卸载问题，我想应该不用去RD里剔除那个红伞注册表保护，只要红伞AD里的RD实施是全部允许，且红伞程序D+的优先级是在ALL APPLICATIONS之上。

最后，我那篇帖子里http://bbs.kafan.cn/viewthread.php?tid=208854&extra=page%3D2&page=4的37楼的回复，很值得我们研究，特此推荐，以便大家共同研究COMODO。

再次感谢！！！

[ 本帖最后由 伯夷叔齐 于 2008-3-29 03:41 编辑 ]

capsshift

看热闹，永不会用什么HIPS来保护红伞。

红伞自己保护就行了。

keature

闪电战 老兄总是对红伞的自我保护不放心，而且想方设法（记得还有从Windows安全策略中设置重复启动进程）的从不同角度来保护进程。用了一年多，仿佛没有什么病毒/黑客能在正常情况下结束红伞进程。可能性极小（目前遇到的情况就是人为，自己搞得结束avguard）。

不过这些想保护杀软进程的思路是对的。红伞自己也在考虑如何增强自己的“抵抗性”！希望红伞能不断提高－－－大家用着不用担心－－－更舒心！

booohr

不错不错。不过还是只用个C版就好了。

robin_xxrz

出现这种情况是咋回事啊

youthfire

和楼上一位朋友的理解一样，大家总是在自己尝试结束红伞进程，还没有看到红伞被病毒终结的例子。毕竟系统的资源是很宝贵的，玩毒的话不如多做做尝试，可普通应用就没有必要多弄一个来保护红伞了，我个人认为。

闪电战

我在My Protected Registry Keys里添加一个组Avira AntiVir，这个组里只有一个项*\SOFTWARE\Avira*
COMODO自身那个组里倒是有两项，但多出来的HKLM\System\Software\Comodo*这个是它自己独有的

这么添加一下已经足够了，AD里面有一项Protected Registry Keys就是监视应用程序修改My Protected Registry Keys指定的那些键
当然也可以在All Applications里指定禁止所有程序修改Avira AntiVir组
不过注意安装/卸载红伞时要把这个组从My Protected Registry Keys里删除，否则安装程序可能也无法修改红伞的注册表项了

闪电战

呵呵~对红伞的自我保护我倒不是太担心，但装了个HIPS就不要让它闲着吧~发挥最大作用
另外折腾电脑也是我一大爱好