。。。。。。给病毒们一次机会吧II（comodo规则最后更新：更安静一点，更安全一点）

抓抓

各位朋友，大家新年好！!

由于到了年尾（农历），所以事情比较多。。对于早前要扩展这个简易规则的承诺也只能一脱再脱。。。。

好在夜晚还有点空闲时间可以利用，， 准确地说，在这之前的3个夜晚中一直沉浸在安装、设置、调试的无规律死循环中不能自拔，，
直到现在终于初步成形，，希望能对一些comodo的新朋友们有所帮助。。


由于新规则变动比较大，又是一个独立的整体，并非补充，，所以最好另开一个独立的贴子吧。。。。
（再说，之前的那个贴子里也没有更多的好位置可以存入更多地的内容）希望给予理解，如果有给你带来不便，这里当场向你say sorry。。。


其他的客套话就不说了。。。。

---------------第一部分：本贴的历史背景及目的----------------

    有必要说明一下，
本贴的真实身份其实就是继承了早前的那个“《给病毒一次机会吧》”贴子里一部分优良血统的一个变种。。。
（相关链接：http://bbs.kafan.cn/thread-407150-1-1.html）
由于之前的那贴中的设置起初仅仅只是为了一个简单的求证（……..），，，规则过于简陋。。
当然本贴也并没有什么复杂的高科技，，主要是为了新朋友们着想，，
各位高手大鸟們，是路过、飞过、还是漂移过，任由乃们选择。。。

本贴主要在HIPS规则上力求相对提高安全、减少弹窗等，能让comodo新手直接导入套用，无需再作太大的修改，安静又安全，，以达到方便新朋友们的目的。。。

---------------第二部分：规则简介---------------

这个规则主要的目的就是保护住系统重要文件、防止普通病毒利用系统程序达到目的，，
其它的地方在不影响系统重要文件安全的原则下，做了相对宽松的设置。。。
各应用软件也都有相应的规则限制。。


-------（程序部分）-------
先预览一下保护组设定（点击图片放大）：
（应用软件部分全部用通配符，尽量地适应各人不同的安装路径）



以上列表中的软件只是一少部分，，各人的使用环境不同，，列表中没有的软件，就自已添加。。


然后大致了解一下所有程序的摆放示意图（下面还有太多的系统程序列表，没截全部）：




（All Applications在最底）
，，在这个规则中，之所以按这个次序排列，是出于权限优先级对整体安全性影响方面的考虑。。。。
或许还有其它更好的方法，，目前这里只能算是一个参考。。。





现在简单介绍一下个别程序（组）的规则设定：

Explorer.exe
:





资源管理器设置的比较宽松。。
关键在于软件本身和system_and_Others及All applications的限制。。
























其它地方限于篇幅就不再详说，详细的可以在导入后查看。。




网络浏览器（IE、谷歌、Opera）:
IE：





















其它地方不截图了。。




谷歌、Opera:
（这两者设置相似，这里拿谷歌示例）














默认自带的几个重要部分：





System_and_Others :









好了，关键的部分就这样了。。。



部分可保护限制组：







杀毒软件组：



全部可以正常更新，正常查杀。。。



有选择的阻止组：






其它常用应用软件组：
这个因为太多，无法一个一个截图说明，，大致讲一下，，
大部分软件都设置了这个地方：



其它地方，每个软件都有不同的设置，，这里就不一一截图了。。



系统程序：





而且这还是不完全收集，，，
之所以把它们罗列起来，，就是要把们预设在System_and_Others组的下方，
这样第一次运行这些程序时，它们就不会默认出现在全局的最上方，，
从而迫使它们遵守System_and_Others组统一的关键限制。。。


All Applications:







-------------------------------------------------------------------------------------





-------（注册表部分）-------







-------------------------------------------------------------------------------------


-------（其它细节）-------







另外，（除了规则中已含有的程序）其它一般应用程序（软件）请放在"Program Files"目录下，，

这样能保证这些应用程序正常、安全、安静的运行。。。




注：

由于规则后来经过更新而少量改动，
以上图文可能与实际规则有少量偏差，，
请以下列规则包为准。。

---------------------------------------------------------------

版本：CIS3.5（不带AV，不带SafeSurf...）

( FW + D+ )规则下载 （仅适合winXP）:

本规则停止下载。

强烈推荐D+规则独立下载导入：

( 仅 D+ )规则下载 （仅适合winXP）:

此规则停止下载。。 推荐使用《COMODO·安静规则》，无弹窗，更方便

---------------------------------------------------------------
新手提示：
导入规则前先关闭D+ （Deffense+>Advanced>Defense+setting>把滑块拉到Disabled位置） ，
再退出comodo，，然后再双击导入。。。。。等待导入完毕后，重新启动comodo，再将D+调到最高模式（Paranoid Mode）。。

另外，规则体积较大，，如果第一次导入后发现问题，，可再导入一次。。
---------------------------------------------------------------
更新告示：

09-02-19 主要更新：
               
                纠正了小红伞路径上的一个低级错误。。



09-02-19 主要更新：
            
               关于流氓Q的一个调整。。
               .....



09-02-15 主要更新：
     
               调整个别注册表项保护
               调整“信任应用程序”优先级
               个别细节：（FW）word、excel、frontpage粘贴网页连接等
               .....


09-02-12 主要更新：恢复拔号.......



---------------------------------------------------------------

导入规则后需要注意的几点（看图）：













---------------------------------------------------------------

[ 本帖最后由 抓抓 于 2009-3-7 11:25 编辑 ]

抓抓

-----------------------第三部分：简单的效果实例测试---------------------

最基本的测试：









当然，这些行为也是由于对explorer的限制所起到的作用。。


那好，我们现在不用explorer，，，那就用一个批处理（del.bat）来看看有什么不同：






至于以前那个蝗虫，，已经试过了就不再说了，它在这套规则中更是无法达到目的。。

之前看过一个贴子中说到ppstream的”流氓行为”，下面来看看到底是什么，，

这个例子的情况是这样的：当pps启动后，会自动修改\Application Data\PPStream\adsys文件夹（广告）的权限（其实是重新添加everyone用户的“完全控制权”），
单纯地手动限制后，还是会被pps重新添加修改回去:






现在看看comodo在这个规则下能否在无需隔离的情况下同样也能阻止pps对adsys的权限修改。。
我们先把adsys的everyone权限改为完全禁止：












现在启用D+，再次运行pps,,看看效果：





规则中并没有直接针对这些文件夹的权限作限制。。。
以前pps是直接利用cacls为adsys文件夹重新添加控制权限的，，，
今天再次测了一下，发现它改变了方式，，当然最后还是要用到cacls。。。


另外，在无需隔离的情况下，这套规则仍然能够阻止ppstream向最大分区写入“ppsds.pgf”文件。。




增加：
--------------------注册表测试-------------------


这次用“注册表监控弱点演示程序 V0.2”程序进行测试。。



启动“注册表监控弱点演示程序 V0.2”程序，，
在一系列的弹窗下，我们一路放行，全部allow。。。
























（注：规则中没加入这条，需要保护这一项的话，就添加上，，路径为：“*\Windows\CurrentVersion\policies\Explorer\*”）

新手提示：添加方法：

依次打开D+ > My Protected Registry Keys >Groups下的“RUN_Blocked”组，
在这个组里增加一项“*\Windows\CurrentVersion\policies\Explorer\*”（没有双引号）。。确定，，确定。。。。


















本来还想再搞几个病毒“放行”一下的，，但是现在篇幅已经太长，也不利于浏览。。。
新朋友们如果需要的话，导入规则后可以自己拿个小病毒玩一下（注意，不要玩那些太厉害的哈。。）。。。

--------------------第四部分：导入规则后的补充说明------------------

建议：先将系统和你要用到的应用软件全部安装好，最好再扫描一遍，，然后再导入这个规则。。。

规则导入后，把D+调到Paranoid Mode模式（最高模式）。。
另外，也可以根据自己的情况，把“BlackList_Temp”和“有选择的阻止”这两组加入隔离区（my blocked files），，但不推荐，因为其中还有几个较为特别的程序。。，
我这里只把BlackList_Typical组加入了隔离区。。


然后，主要是防火墙部分要作一些修改。。
由于各人摆放应用程序的路径可能有很大的差异，
而防火墙部分无法使用带有通配符的组，，
所以无法对规则中的各组网络应用程序进行防火墙部分的配置，，
只能根据自己的绝对路径重新添加配置。。



另外，还要按下图自己修改一下：
（这里还有详细的说明：http://bbs.kafan.cn/thread-407150-1-1.html（3楼））

--------------------第五部分：给COMODO的少许建议--------------------

都说comodo可diy性很高，，但是在使用过程中发现仍有一些地方有点让人郁闷。。。

有些已经是老生长谈的的问题了，，比如，对文件/文件夹/注册表的读、写、修改、删除等权限的详细划分方面做得很粗糙，，，
生气的情况下，几乎可以说没有这种功能，，但是个人认为这在HIPS中非常重要（强烈建议comodo重视一下这个问题）

然后就是无法批量添加程序，，只能一个一个地添加，，如果需要添加很多程序那就很郁闷了。。

然后还有，最好能在AD中的直接修改程序的路径，，，，
（因为如果集中在groups中，若没有对它们明确的allow或block，那么就有可能另外产生弹窗并再次加载一个绝对路径在AD的最上方，给规则统一设置造成不便）

另外，Groups最好能具有二级目录，甚至三级目录的功能，，并让FW部分调用时完全支持（目前FW不支持相对路径的组），这样就更加灵活了。。。

还有，FW部分最好能增加一个像风云或金山那样的ARP防御模块（虽然我个人并不推崇，但真的有很多人需要），那两处ARP选项表现得太弱了。。
这对comodo技术小组来说应该是小菜一碟吧。。

当然可能还有一些，，但是如果上面的几条可以加强的话，，暂时也就别无它求了。。。。



最后说明一下，，整理这个规则的时候，由于时间抓得比较紧，，如果各位发现其中不足的地方还请提出指正，，
毕竟这个规则设置得还是比较宽松的，，还可以再严谨一点的。。





最后，祝大家新的一年里在卡饭里继续快乐地快乐地快乐地玩耍^^^^^happy new year!!!







[ 本帖最后由 抓抓 于 2009-2-10 22:09 编辑 ]

抓抓

为满足有需求的朋友，这张沙发就用来给以后可能的规则更新提供下载空间。。。

[ 本帖最后由 抓抓 于 2009-1-23 03:00 编辑 ]

抓抓

地板用来以后有空闲的时候测试病毒。。。
______________________________________________________________________

刚才到样本区找了几个比较厉害点的篡改IE主页的病毒，，

运行后一路放行，，也没发现主页被篡改掉，，完全防御成功！！


样本连接：
http://bbs.kafan.cn/thread-355236-1-1.html


http://bbs.kafan.cn/viewthread.php?tid=111431&highlight=%B8%C4%D6%F7%D2%B3




[ 本帖最后由 抓抓 于 2009-1-23 14:30 编辑 ]

lazycatbig

顶一下

弄月

先顶再看


楼主真用心，赞一个

[ 本帖最后由 弄月 于 2009-1-23 08:09 编辑 ]

jhlzh

永远都要用适合自己的东西

厨房菜刀

好 顶一下 收藏了 慢慢看

抓抓

今天早上又增加了一项“注册表”测试。。。。

秘书

支持抓抓

不过也提醒一下

其实组的概念是简化与易用的结合体

当大家有一定的基础的时候

见招拆招才是王道............................

新年快乐