查看: 45419|回复: 114
收起左侧

[讨论] 自己DIY D+规则,没有不可能

  [复制链接]
huai168an
发表于 2008-6-15 15:17:45 | 显示全部楼层 |阅读模式
都说comodo的规则设置繁琐,无法逾越,是的一点不错,我也在痛苦的挣扎,可是不用comodo的D+功能,对机器的保护又会大打折扣。如果一直用Training Mode与Clean PC Mode,那D+又是个摆设,其危险性很高。如果看打磨达人的Predefined Security Policies的预设规则组,然后对程序进行套用,使用起来是方便的很多,可是我不太喜欢这样的套用,一来各个程序的差异很大,直接套用后如发现还有地方需要修改的话那是无法实现的,二来打磨的那个设置过程实在是复杂,设置好确实强大,可是让人看了以后无形之中增加了厌倦程度(我是这样),对D+设置感到繁琐和害怕。规则最好自己动手,丰衣足食,取经典中适合自己的规则,去不适合自己的规则,这样好点,跟着达人走还要很长的时间来磨合,特别是像我这样的小鸟。
简单的看下我对规则的一般设置过程,开始:
打磨的my protected flies、my protected COM components、my protected registry keys的设置是要添加的,这也是系统保护的基础,不要懒惰,如果这都不愿意手动输入的话,还是禁用D+功能吧。以上设置好后可以把它备份,可以用与其它机器的基本规则,也不需要下次在去输入了。
看看文件的组-my file groups(我的文件组),这里添加各个分类的组群,有你要保护的系统关键组、你自己的私有文件组、同类软件的组,这里的组和my protected flies(我的保护文件)貌似很像,我第一次用还不知所措,只知道对其中规则的设置会改变对my protected flies对应组的规则,有时还不知道自己要保护的文件还要添加到my protected flies中(想想自己都笑了)。注意groups中的组不是所有的都添加到保护中去,这里添加的可能是自己临时使用的组,方便其它程序的调用而已,如浏览器的组,你使用很多种浏览器,而且不希望某些程序调用它,可以单独的将所以浏览器添加到groups中,而不是将浏览器的组添加到my protected flies中去。将打磨的保护文件规则修改和添加后,记得将my protected flies中没有的保护内容添加进去,不要忘记哦。注册表和Com设置好后就不用管它们了,一定不要忘记注册表中gruops添加到保护中去。



这个关键地方设置好后第一步就完成了,下面是什么,开启clean pc mode尽情的运行程序吧

这是我喜欢的,什么都不用管了,呵呵。这里的程序我是指除系统自带的程序
什么Office、QQ、迅雷、IE、暴风等等,运行它们,对于一些软件的广告或讨厌的行为先忍耐下,以后收拾它们。在此期间,老实点好,访问些固定安全的网站是必要的,下载的东西最好是官方或信任的下载站,这里打个小广告(不是枪手,它没给我钱),我下载的软件很多都是www.xdowns.com(绿色软件联盟)中的,很好很绿色,对于部分有恶意行为的软件都会有提示(此类软件较少。最好不要去下载它,免的说我误人子弟啊)。就这样开着三天左右,把可能的软件行为都要运行下,让D+记录它的大部分规则。还有就是最好运行下控制面板的内容,都要运行一下,会有很多规则的哦。
三天后:
生成的规则差不多了,开始自己DIY了,不要告诉我你不想去动那些规则,害怕程序出问题,不要担心,而且这个担心也是没必要的,这个可以返回在操作,不是不可逆向设置的(建议不要动系统的关键程序,如svchost.exe)。
好,先看看explorer.exe的规则,这个程序,如何制定(从run an executable):









这里要注意的是访问保护文件/文件夹,加入block中的文件要在my protected flies中要有对应的保护才生效。

一般程序的分类可以分为:系统程序(访问网络和本地)、单机程序(OFFICE、单机游戏、一些辅助性的小工具等)、访问internet程序。这个是大体分类,各个分类都有相应的特定的规则,如DNS Client Service、Coputer Monitor、Disk,单机程序block DNS Client Service,Disk,当然也不能一刀切,具体程序还是具体对待。
系统程序(本地):
这个例子太多了,如文本编辑器-notepad.exe

因为它可以打开很多类型的文件如 ini dat,所以要注意,少让它去编辑系统的ini文件或直接阻止。我这里是设置为ask,这样好让我自由的选择,而不是一刀切。
系统程序(访问网络):
很多访问网络的程序都是在cmd前提下进行的,如ping.exe、net.exe、ftp.exe、telnet.exe
先看下cmd.exe

cmd如果个人不用的话直接放入隔离区,免的麻烦。特别是一些危险的程序 如format telnet,一旦机器被别人控制,这个程序或者说命令就是他的帮凶了。个人用不到的话就禁止cmd调用吧或者直接拉入隔离区。
我个人常用到ping arp ipconfig等命令,可以放行,不过权限嘛,当然很低了,你不设置它也不要紧。

再来个例子,不过它不是系统自带的,可是它的功能单一,只扫描局域网的得到相应的MAC地址:

单机程序
单机程序的特定是不访问网络(废话),所以直接将DNS Client Service废掉,免的莫名其妙的连接网络,不安全。当然各个程序的功能决定它的权限。
看看flash播放软件-Flash Player Classic工具的权限设置

单机程序很多都是这样,是不是很简单啊。
访问internet程序
这就是与单机程序的区别了(不说废话了)。
不说浏览器了,累啊,看下迅雷的好了(这里的迅雷是C:\Program Files\Thunder\Program\Thunder5.exe)而C:\Program Files\Thunder\Thunder.exe这个程序只是调用Thunder5.exe的,所以给它权限最低。



再看下qq的吧



还有一类是安全软件,它们会有很多的动作,这里可以在Predefined Security Policies中添加也加个信任组,这个组是由自己控制的,权限可以很大,用到安软的时候可以直接用自己的信任组。对于一些特殊的软件,我以前说过,可以去看下(http://bbs.kafan.cn/viewthread.php?tid=259780&highlight=   对于一些特殊软件的设置方法。避免了Predefined Security Policies中设置组的教条式方法 )。对于安装软件时要注意对其的可信度,不放心可以加个安装组来限制下它的动作。
对于软件设置后出现不良反应怎么办?
举个小例子
我用的截屏软件faststone capture,在设置中明明设置了文件名开始为1,可是每次使用都不是1呢?

排除软件自身的bug,是不是我的D+设置有问题,看看日志

所以对于绿色的使用要注意下,及时的设置自己程序可以调用自身的文件夹下的文件。
再简单的说下,my quarantined files-我的隔离文件。将不想运行的程序、自己的私人文件/文件夹(重要而且不经常使用的)、甚至是gho文件都放进去,这样神仙也无法对其有任何的动作(除非comodo挂了)
规则设置好后一定要记住保存备份,不要等到comodo出问题了,规则没了才想起没有保存规则


两种方法都可以,如果不保险都备份也可以哦
遇到莫名的提示(规则设置较好的情况下),特别是上网的时候一定要注意(99.9%都是恶意的)
上次访问的一个带毒网站,很毒。不要告诉你遇到是点allow


差不多了,当所有都设置好后将模式调为最高模式。以上的只是给出几个示范例子(不要模仿啊,自己可以动手设置起来),主要的还是靠自己来对程序规则的把握,个人的习惯也不同,所以规则的差异会有会大。其实简单的设置下comodo d+并不是想象中的复杂和艰难,最多设置为ask,也没什么不可以,打磨的保护组是基础,一定要添加上去,这个无法偷懒的。至于程序以后的运行问题完全可以看日志来解决问题。自己DIY程序的规则会有很多的乐趣,不要僵硬的套用使用别人规则,特别是达人的规则(严谨的规则可以说是适合自己本人的,不一定适合他人),不然问题不是一般的多,达人给的规则是作为参考的,指明了部分道路,关键还是自己来设置相关规则,最后让D+适应你的习惯。

以上是本人对D+规则的简单设置过程,去除了达人Predefined Security Policies中的组的设置和对相关程序的规则套用。以上程序只是举例,请不要看相关内容。如果照搬,后果自负。如果有什么不正确的地方可以指出,鄙人及时调整。达人可以不看此贴。

[ 本帖最后由 huai168an 于 2008-6-16 04:03 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +30 人气 +1 收起 理由
我爱舒畅 + 1 偷偷送人妻
某某猫 + 30 感谢一直以来的支持:D

查看全部评分

huai168an
 楼主| 发表于 2008-6-15 16:30:50 | 显示全部楼层
不要怕麻烦,clean pc 模式完成后调到最高模式后,自己DIY,以后对不同程序或者不同类型的规则设置已经水到渠成了。切忌不要有套用别人规则的思想(拿来主义也要分开该拿和不该拿的东西),打磨、局长等达人,已经为我们指明道路,千万不要搬弄他们的繁琐规则,对于我等小鸟那是折磨。DIY D+,你也可以

[ 本帖最后由 huai168an 于 2008-6-15 16:44 编辑 ]

评分

参与人数 1人气 +1 收起 理由
neguyer + 1

查看全部评分

loveyuwei
发表于 2008-6-15 16:38:34 | 显示全部楼层
搬个板凳慢慢看,好文章。
心情一隅
发表于 2008-6-15 16:41:16 | 显示全部楼层
好文章,要支持!
llxm920
发表于 2008-6-15 16:54:53 | 显示全部楼层
不错的文章`支持下``
伯夷叔齐
发表于 2008-6-15 17:05:57 | 显示全部楼层
很棒,我借鉴了explorer.exe一些权限的阻止。

最后网马在浏览器文件保护里修改分区属性的问题给我一个警告。个人在想,浏览器允许必要的文件建立后,禁止掉浏览器的保护文件夹/文件选项。但这样对长经验也有一个不好的方面,就是无法直观的去感受病毒的表演了。

[ 本帖最后由 伯夷叔齐 于 2008-6-15 17:18 编辑 ]
xbw228
发表于 2008-6-15 19:37:26 | 显示全部楼层
不错,值得学习一下。自己打磨的规则才是最适合自己的。
huai168an
 楼主| 发表于 2008-6-15 20:04:01 | 显示全部楼层
打磨教程的Predefined Security Policies中的设置切忌不要看(特别是第一次使用comodo,看了会很痛苦,还会在想:我是否还要comodo ),直接跳过,看其它的相关设置(又唠叨了下 ,望打磨不要 ),等自己有足够的信心在去研究 。当你有信心时就可以去试试毒枭了
伯夷叔齐
发表于 2008-6-15 21:17:20 | 显示全部楼层
原帖由 huai168an 于 2008-6-15 20:04 发表
打磨教程的Predefined Security Policies中的设置切忌不要看(特别是第一次使用comodo,看了会很痛苦,还会在想:我是否还要comodo ),直接跳过,看其它的相关设置(又唠叨了下 ,望打磨不要 ...

把打磨COMODO和火鸟的那篇当成“辞典”看,我想效果要好很多。实践到一定程度,有不懂得再去看那两篇,否则会让学习的人疯掉。
huai168an
 楼主| 发表于 2008-6-15 21:18:18 | 显示全部楼层

回复 10楼 伯夷叔齐 的帖子

同意
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:52 , Processed in 0.136640 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表