保护comodo的Appinit_DLLS的方法讨论（修改）

huai168an

部分叙述有误，大家注意识别
大家知道comodo的D+功能的重要一点是Appinit_DLLS中有它的C:\windowns\guard32.dll这个键值。如果Appinit_DLLS的值被改或还原了（默认为空），那D+功能就形同虚设，无法保护机器了（这里叙述有误。D+功能没有完全被破坏，只是程序的运行没有相关提示，而程序的其它动作D+依然正常提示。下面出现类似叙述，同理）。在现在看来，导致D+功能失效的原因多为某些软件或游戏的冲突，有时的误操作也可能无意间将appinit值还原，如关闭D+，使用清理工具等修复系统，都会影响到D+的正常运行，不像PS的内核保护，即使有冲突或攻击，蓝屏了、自动重启了、死机了，下次开机依然正常保护（这里排除自身的BUG情况）。现在想，如果某些软件自身有恶意行为，而我又信任它了，导致冲突，Appinit_DLLS的被改了，中奖了，此时comodo的D+功能又无法恢复或提供保护了，这样一来面对尴尬局面无法收拾了。想到这里我就想到了如何保护它，防止被改，即使机器蓝屏死机也不要任何软件动这个值。SSM的破解方法或许给了我点提示，用RegWorkshop这个软件对其做权限设置，即使是admin下也无法对Appinit_DLLS进行修改
因为RegWorkshop无法对单个键值设置权限，头痛啊

所以只有对它的上级项进行设置权限了。如果给它拒绝“完全控制”的权限，势必是要影响到其它的值，windows下的键值可以不动它或默认可以吗?

试试给它只读权限

修改appinit dlls的值试试（这里是无comodo，也就是系统无保护状态，保护状态是没法实验的吧）


这里的windows权限也不需要设置了，设置后无需设置

如果不设置只读，应该可以对具体权限的设置，这样也可以的吧。

如果给windows的权限为：拒绝——设置数值、删除等，是否可以保护Appint_DLLS这个值呢?可以的。
系统自带的Regedit.exe也可以对windows权限改动，步骤还是个RW工具一样的，注意路径。（谢谢大家的支持）
需要注意的是，改权限是在本机器的安全软件都已经装好，这个既可以保护appinit的值，同时也保护了comodo的D+功能。如果卸载软件 如某些安软或comodo建议将权限改回，免去不必要的麻烦。这个过程还是要大家自己把握好。
软件冲突情况下，comodo的保护是无助的，而且也不知道该软件的可靠性，没准就是毒枭。所以额外的保护这个appinit是必要的.
大家有什么好的方法保护Appinit_DLLS呢？难道这个comodo的Appinit_DLLS是个软肋嘛？
我的目标是：机器爆炸也不要动我的comodo （我有点BT了 ）
感谢zoes兄的指点：“实事上Guard32.dll的作用很单一：监控程序运行的，只是监控运行而已。当一个进程运行时它检查规则表，如果有规则就放行或者拦截，如果没有规则就向CPF发送信息CPF则跳出是否允许运行的提示窗。
如果没有了Guard32.dll，则无论某个程序有没有规则/可以运行与否　，该程序都可以运行。
偶的做法是把All applications移动到最底下，然后将Appinit_dlls注册表放入它的Protected registry keys的Blocked　registry keys里，并且允许当CPF关闭（界面没有启动或者退出了）时阻拦一切操作。”

对于部分叙述误导了大家，在此说声抱歉，见笑了。

版主可以撤销我的相关经验值，必要时可以扣除部分经验值，以警告我犯的错误与误导FANS对comodo的理解

对于这个appinit dlls是否需要保护还是大家自己把握。

[ 本帖最后由 huai168an 于 2008-6-22 23:17 编辑 ]

fatelinegod

   comodo的Appinit_DLLS居然有人误会是中复合狗了   朋友刚用就电话来了      

huai168an

我第一次使用comodo的时候也有疑问的

夏春秋

可以让comodo自己保护的，某一个版本的默认规则就有
卡巴也有这个启动项

fatelinegod

。。。。看是COMODO CA的guard32.dll和cssdll32.dll开头的就不会误会吧
敢问 刚试验了下   不仅仅游戏的事情   金山清理专家  WIN清理助手等文件名判断都会报Appinit_DLLS高危  
假如一激动给去了 是不是可以搬凳凳等毒毒或者其他安软不小心恢复HOOK了  那样D+就会失效洗洗睡呢？
另外注册表清理真的会造成毛豆规则被清  偶是排除或者备份规则再导入   这个貌似也是失效的事情   

偶查看Appinit_DLLS和SSDT HOOK是正确的  但是朋友已经有几个不对了 。。。防护还有效不  貌似是人为软肋吧

huai168an

呵呵，单纯的comodo保护appinit是没有问题，问题在于如果冲突了，appinit会莫名的被改，即使comodo是内核保护也会出错的。所以要额外的对appinit进行权限的设置。

[ 本帖最后由 huai168an 于 2008-6-17 13:56 编辑 ]

huai168an

如果appinit 的值被改，那毛豆的D+功能就废了

某某猫

这个保护还是很有必要的，毕竟HOOK被恢复了，D+的保护也就挂了

fatelinegod

   非常有必要  默认规则为蓝本的同学要多看看哦  楼主辛苦

Imnopuo

最好的防护和自我保护还是完全内核化~