自己DIY D+规则，没有不可能

huai168an

都说comodo的规则设置繁琐，无法逾越，是的一点不错，我也在痛苦的挣扎，可是不用comodo的D+功能，对机器的保护又会大打折扣。如果一直用Training Mode与Clean PC Mode，那D+又是个摆设，其危险性很高。如果看打磨达人的Predefined Security Policies的预设规则组，然后对程序进行套用，使用起来是方便的很多，可是我不太喜欢这样的套用，一来各个程序的差异很大，直接套用后如发现还有地方需要修改的话那是无法实现的，二来打磨的那个设置过程实在是复杂，设置好确实强大，可是让人看了以后无形之中增加了厌倦程度（我是这样），对D+设置感到繁琐和害怕。规则最好自己动手，丰衣足食，取经典中适合自己的规则，去不适合自己的规则，这样好点，跟着达人走还要很长的时间来磨合，特别是像我这样的小鸟。
简单的看下我对规则的一般设置过程，开始：
打磨的my protected flies、my protected COM components、my protected registry keys的设置是要添加的，这也是系统保护的基础，不要懒惰，如果这都不愿意手动输入的话，还是禁用D+功能吧。以上设置好后可以把它备份，可以用与其它机器的基本规则，也不需要下次在去输入了。
看看文件的组-my file groups（我的文件组），这里添加各个分类的组群，有你要保护的系统关键组、你自己的私有文件组、同类软件的组，这里的组和my protected flies（我的保护文件）貌似很像，我第一次用还不知所措，只知道对其中规则的设置会改变对my protected flies对应组的规则，有时还不知道自己要保护的文件还要添加到my protected flies中（想想自己都笑了）。注意groups中的组不是所有的都添加到保护中去，这里添加的可能是自己临时使用的组，方便其它程序的调用而已，如浏览器的组，你使用很多种浏览器，而且不希望某些程序调用它，可以单独的将所以浏览器添加到groups中，而不是将浏览器的组添加到my protected flies中去。将打磨的保护文件规则修改和添加后，记得将my protected flies中没有的保护内容添加进去，不要忘记哦。注册表和Com设置好后就不用管它们了，一定不要忘记注册表中gruops添加到保护中去。



这个关键地方设置好后第一步就完成了，下面是什么，开启clean pc mode尽情的运行程序吧

这是我喜欢的，什么都不用管了，呵呵。这里的程序我是指除系统自带的程序
什么Office、QQ、迅雷、IE、暴风等等，运行它们，对于一些软件的广告或讨厌的行为先忍耐下，以后收拾它们。在此期间，老实点好，访问些固定安全的网站是必要的，下载的东西最好是官方或信任的下载站，这里打个小广告（不是枪手，它没给我钱），我下载的软件很多都是www.xdowns.com（绿色软件联盟）中的，很好很绿色，对于部分有恶意行为的软件都会有提示（此类软件较少。最好不要去下载它，免的说我误人子弟啊）。就这样开着三天左右，把可能的软件行为都要运行下，让D+记录它的大部分规则。还有就是最好运行下控制面板的内容，都要运行一下，会有很多规则的哦。
三天后：
生成的规则差不多了，开始自己DIY了，不要告诉我你不想去动那些规则，害怕程序出问题，不要担心，而且这个担心也是没必要的，这个可以返回在操作，不是不可逆向设置的（建议不要动系统的关键程序，如svchost.exe）。
好，先看看explorer.exe的规则，这个程序，如何制定（从run an executable）：









这里要注意的是访问保护文件/文件夹，加入block中的文件要在my protected flies中要有对应的保护才生效。

一般程序的分类可以分为：系统程序（访问网络和本地）、单机程序（OFFICE、单机游戏、一些辅助性的小工具等）、访问internet程序。这个是大体分类，各个分类都有相应的特定的规则，如DNS Client Service、Coputer Monitor、Disk，单机程序block DNS Client Service，Disk，当然也不能一刀切，具体程序还是具体对待。
系统程序（本地）：
这个例子太多了，如文本编辑器-notepad.exe

因为它可以打开很多类型的文件如 ini dat，所以要注意，少让它去编辑系统的ini文件或直接阻止。我这里是设置为ask，这样好让我自由的选择，而不是一刀切。
系统程序（访问网络）：
很多访问网络的程序都是在cmd前提下进行的，如ping.exe、net.exe、ftp.exe、telnet.exe
先看下cmd.exe

cmd如果个人不用的话直接放入隔离区，免的麻烦。特别是一些危险的程序 如format telnet，一旦机器被别人控制，这个程序或者说命令就是他的帮凶了。个人用不到的话就禁止cmd调用吧或者直接拉入隔离区。
我个人常用到ping arp ipconfig等命令，可以放行，不过权限嘛，当然很低了，你不设置它也不要紧。

再来个例子，不过它不是系统自带的，可是它的功能单一，只扫描局域网的得到相应的MAC地址：

单机程序
单机程序的特定是不访问网络（废话），所以直接将DNS Client Service废掉，免的莫名其妙的连接网络，不安全。当然各个程序的功能决定它的权限。
看看flash播放软件-Flash Player Classic工具的权限设置

单机程序很多都是这样，是不是很简单啊。
访问internet程序
这就是与单机程序的区别了（不说废话了）。
不说浏览器了，累啊，看下迅雷的好了（这里的迅雷是C:\Program Files\Thunder\Program\Thunder5.exe）而C:\Program Files\Thunder\Thunder.exe这个程序只是调用Thunder5.exe的，所以给它权限最低。



再看下qq的吧



还有一类是安全软件，它们会有很多的动作，这里可以在Predefined Security Policies中添加也加个信任组，这个组是由自己控制的，权限可以很大，用到安软的时候可以直接用自己的信任组。对于一些特殊的软件，我以前说过，可以去看下（http://bbs.kafan.cn/viewthread.php?tid=259780&highlight=   对于一些特殊软件的设置方法。避免了Predefined Security Policies中设置组的教条式方法 ）。对于安装软件时要注意对其的可信度，不放心可以加个安装组来限制下它的动作。
对于软件设置后出现不良反应怎么办？
举个小例子
我用的截屏软件faststone capture，在设置中明明设置了文件名开始为1，可是每次使用都不是1呢？

排除软件自身的bug，是不是我的D+设置有问题，看看日志

所以对于绿色的使用要注意下，及时的设置自己程序可以调用自身的文件夹下的文件。
再简单的说下，my quarantined files-我的隔离文件。将不想运行的程序、自己的私人文件/文件夹（重要而且不经常使用的）、甚至是gho文件都放进去，这样神仙也无法对其有任何的动作（除非comodo挂了）
规则设置好后一定要记住保存备份，不要等到comodo出问题了，规则没了才想起没有保存规则


两种方法都可以，如果不保险都备份也可以哦
遇到莫名的提示（规则设置较好的情况下），特别是上网的时候一定要注意（99.9%都是恶意的）
上次访问的一个带毒网站，很毒。不要告诉你遇到是点allow


差不多了，当所有都设置好后将模式调为最高模式。以上的只是给出几个示范例子（不要模仿啊，自己可以动手设置起来），主要的还是靠自己来对程序规则的把握，个人的习惯也不同，所以规则的差异会有会大。其实简单的设置下comodo d+并不是想象中的复杂和艰难，最多设置为ask，也没什么不可以，打磨的保护组是基础，一定要添加上去，这个无法偷懒的。至于程序以后的运行问题完全可以看日志来解决问题。自己DIY程序的规则会有很多的乐趣，不要僵硬的套用使用别人规则，特别是达人的规则（严谨的规则可以说是适合自己本人的，不一定适合他人），不然问题不是一般的多，达人给的规则是作为参考的，指明了部分道路，关键还是自己来设置相关规则，最后让D+适应你的习惯。

以上是本人对D+规则的简单设置过程，去除了达人Predefined Security Policies中的组的设置和对相关程序的规则套用。以上程序只是举例，请不要看相关内容。如果照搬，后果自负。如果有什么不正确的地方可以指出，鄙人及时调整。达人可以不看此贴。

[ 本帖最后由 huai168an 于 2008-6-16 04:03 编辑 ]

huai168an

不要怕麻烦，clean pc 模式完成后调到最高模式后，自己DIY，以后对不同程序或者不同类型的规则设置已经水到渠成了。切忌不要有套用别人规则的思想（拿来主义也要分开该拿和不该拿的东西），打磨、局长等达人，已经为我们指明道路，千万不要搬弄他们的繁琐规则，对于我等小鸟那是折磨。DIY D+，你也可以

[ 本帖最后由 huai168an 于 2008-6-15 16:44 编辑 ]

loveyuwei

搬个板凳慢慢看，好文章。

心情一隅

好文章，要支持！

llxm920

不错的文章`支持下``

伯夷叔齐

很棒，我借鉴了explorer.exe一些权限的阻止。

最后网马在浏览器文件保护里修改分区属性的问题给我一个警告。个人在想，浏览器允许必要的文件建立后，禁止掉浏览器的保护文件夹/文件选项。但这样对长经验也有一个不好的方面，就是无法直观的去感受病毒的表演了。

[ 本帖最后由 伯夷叔齐 于 2008-6-15 17:18 编辑 ]

xbw228

不错，值得学习一下。自己打磨的规则才是最适合自己的。

huai168an

打磨教程的Predefined Security Policies中的设置切忌不要看（特别是第一次使用comodo，看了会很痛苦，还会在想：我是否还要comodo ），直接跳过，看其它的相关设置（又唠叨了下 ，望打磨不要 ），等自己有足够的信心在去研究 。当你有信心时就可以去试试毒枭了

伯夷叔齐

原帖由 huai168an 于 2008-6-15 20:04 发表
打磨教程的Predefined Security Policies中的设置切忌不要看（特别是第一次使用comodo，看了会很痛苦，还会在想：我是否还要comodo ），直接跳过，看其它的相关设置（又唠叨了下 ，望打磨不要 ...

把打磨COMODO和火鸟的那篇当成“辞典”看，我想效果要好很多。实践到一定程度，有不懂得再去看那两篇，否则会让学习的人疯掉。

huai168an

同意