对安静规则整体防御思路的安静简述

抓抓

刚刚吹水回来，，趁着酒意，就把之前对安静规则的发贴解说的承诺实现一下，，，，不要求高亮、加精、甚至魅力值之类的推荐与嘉奖（如果各位一定要给予嘉奖，这也是我无能为力去阻止的 ），，
仅仅是一个承诺的兑现，，，就当作给广大白菜级的兄弟姐妹们一个简单交待吧。。。各位高手如有经过，可以驻足指点，，也可以继续保持飞行状态。。。。。



《安静规则》连接：http://bbs.kafan.cn/thread-427809-1-1.html

（再次强调：其俺是很有文采滴 。。。）。为了通俗易懂些，，就直白一点表述吧，，，（）


首先熟悉一下AD各组优先位置概况（如下图，点击放大）：
（注：图中箭头表示组别分隔符，没有规则功能）




新手提示：以上各程序组的位置都是严格按照一定的优先级摆放的，，，如果改动了哪怕某一处的优先顺序，都有可能造成一些程序不能正常运行的现象。。
（因为是安静规则，，所以基本上无需去改动它。。。）

规则的一个主线索就是围绕着哪些区域可以被写、建、删，，哪些是禁止这类行为的区域，，，为了避开可写与不写之间可能的矛盾，，各组的优先级就显得非常重要，，按优先顺序穿插摆放各组位置。。。。。（其它保护，如注册表、驱动加载、com加载等等，可以在导入规则后详见）

------------------------------------------------------------------------------------------------------------------
各组简述（由上至下）：




在AD的第①栏中是一些例外程序：




为什么会有这些例外，这其实关联到下面的一些组的规则，一个优先级的问题。。


“例外列表1”是为了避免一些.com后缀类邮箱可能会与通配符“*.com*”“误撞”而设的（避开“首要保护”组的限制）。。
一些第三方邮件收发工具需要读取邮箱名称并写入列表显示在列表栏（已知foxmail就需要将邮箱名称写入它的.stg文件），当写入的邮箱格式为xxx@xxx.com时，
由于它的后缀为“.com”，就会被下面的一些阻止”.com”可执行程序写入的规则阻挡而无法显示，无法操作。。。

在“例外列表1”中仅仅放行本路径目录下的“*.*com*”写入（包括修、建、删，，因为comodo没把它们分开），用来放行邮箱名称显示。（直接WEB收发的方式无需这道规则）。。其它部分的全部行为设为询问（ASK），由下面的规则决定。。

“例外列表2”的设置与“列表1”相似（不过这个可不是可能会发生的“误撞”，而是刻意避免）。。。

“进程优先控制”这组是为了避开下面的“首要保护”组的限制，设为允许结束自身进程。。其它部分全部设为询问（ASK），由下面的规则决定。。

同样，“explorer”也是为了避开下面的“首要保护”组的限制，，事实上“explorer”也可以放在“首要保护”的下方，，放在上方仅仅是多了一个方便使用者本人（而不是病毒）自由修、建、删所有应用程序的功能，，在不失安全的前提下提供一个宽松的操作环境。。。（explorer的具体规则可以在导入后详见，，里面包括阻止对系统重要区域的误修、建、删、驱动加载、Com加载、注册表、物理内存、键盘记录等等动作，这里就不再罗列）。。




第②栏：





“首要保护”，，，这一条的作用非常大。。
这条规则是：
1：阻止一切程序（当然，包括已知和未知程序）结束所有程序的进程。。
2：保护所有程序自身进程不被结束（有点重复，这一设置可以省去），但不影响comodo结束进程操作。。
3：阻止一切程序对系统关键区域内的程序及所有应用程序进行“修、建、删”的动作。。
4：其它一切行为全部设为询问（ASK），由下面的规则决定。。

所有一切已知的、未知的程序，从开始到结束，每一步动作都必须首先经过这道过滤！！（在这里可以直接体现出真正的“主动”防御），，，有了这条保护，基本保证了所有系统关键程序、应用程序不被感染。。
（BTW：有了这道保护，你还需要专门为那些杀软设置被动保护规则么？？它们加起来能有这1条规则野蛮吗？？）


“阻止应用程序之间互相感染”，这条主要是阻止*\Program Files\*目录下的所有可执行/加载程序之间发生互相修、建、删的“自相残杀”的行为，，也可以看作是对“首要保护”组的一个补充。。。。其它部分全部行为设为询问（ASK），由下面的规则决定。。
（这一条是对应用程序的首次主动过滤）

“COMODO Internet Security”，，comodo自身，，这里给了它终极权限Installer or Updater。。。。方便自身的一些操作。。。。

“应用程序禁区”，，这是继上面的“第0道过滤”后的“第1道过滤”，，这一道关主要是给系统分区设置应用程序“禁区”，，也就是说，在系统分区的有些地方，应用程序是不能够触碰的。。。这里除了“系统分区可存档目录”及“临时文件目录”是个例外外，系统分区的其它区域一律禁止涉足。。。。

“IE”及“其它网络浏览器”，（这些也是应用程序，它们的行为都会经过上面规则的过滤），这些东西以前说得太多了，，这里就不再赘述了，，导入后详见。。。

“记事本++”，，这里包括了记事本、写字板、造字程序。。。除了系统分区的禁区和安软目录等敏感区域外，，几乎可以全局任意存档。。。（有自身规则，导入后详见）。。

注意各组顺序不能颠倒。。。





第③栏：




这一栏中是些关键系统程序（hh.exe不属于关键）。，，（可以看到系统自动更新这一组是被阻止状态，，，大家都习惯用360等第三方工具更新又好又快，又能避免发生“盗版验证”的情况）。。各程序详细规则导入后详见，这里不再赘述。。



第④栏：



“SystemRoot禁区”，，这个是针对系统程序的，，同应用程序“第1道过滤”一样，是在系统分区对所有系统程序设置一个禁区，，，以防可能的进一步感染。。。

“SystemRoot”这组内的规则稍稍复杂了些，，，除了SystemRoot该放行的地方及“活动区域”外，，其它行为基本都受到了严格的限制。。。详细规则导入后说详见。。。

注意各组顺序不能颠倒。。。



第⑤栏：




这一栏主要是杀毒软件，，基本信任，，不再赘述。。。




第⑥栏：




“活动区域”，，当前在其中操作的区域，，可以增加目录。。。

“活动区域”有一套相对完整、独立的的规则，，相比其它区域，“活动区域”宽松自由了很多。。。。详细规则导入后详见。。。。

“受限区域”、“临时文件目录”主要是临时目录、回收站、收藏夹、系统卷标信息，，，限制其一切主动行为，，只允许被读，，，，这些区域如果存有病毒，那么它们最多只能做一个“植物人”，无法动弹。。。

注意各组顺序不能颠倒。。。



第⑦栏：




这一栏也是比较关键的部分。。

“全局操作型应用程序”，，，这些程序相对稍稍特殊点，，比如压缩解压程序，，这类程序应该被允许在所有可操作到的地方释放可执行文件等，方便使用者操作使用。。

这里除了系统敏感地区、应用程序目录，，其它所有地方都为“全局操作型应用程序”放行“写、建、删”程序（当然，其它方面都有严格限制，，具体规则导入后详见）。。

“自由目录”组是一个相对独立的分组，主是用来给用户自已定义应用程序运行的位置，，比如你就是不想把应用程序目录放在*\ Program Files\*下（或者某些应用程序默认的安装路不在*\ Program Files\*下），，此时就只需要在“自由目录”下添加这类应用程序的总目录名即可（如：安信证券的默认安装路径是C:\AX，，这样就可以直接在“自由目录”组下添加“*\AX\*或C:\AX\*即可”），
当然它也有可能受到应用程序组的限制也有可能不受到它们的限制，主要看你的自由目录在哪个区域，，但无论怎样，它是一个相对独立的组，有自身独立的规则制约，，，具体规则导入后详见。。。


“文件最终保存区域”，，，继“第0道过滤“、”第1道过滤”之后，，到了这里，基本已经确定文件最终可存放的区域，，，有人可能要问，为什么要限制文件随意存放？

这就是个典型的安全上的问题，，，随意存放，意味着可能的病毒能够随意写入，，特别是comodo又不区分修、建、删动作，，能够随意写入，也就能随意修改、随意删除。。。
所以，想要更安全，就得放弃部分自由，事实上这部分自由是可以压缩的。。。。

文件最终可存入的主要区域是：“非系统分区可存档目录”、“下载存放目录”、“应用程序目录”、“临时文件目录”（需要临时暂存）、“光驱”、“系统分区可存档目录”，，，，这些目录组都可以自定义、也可以增加或减少。。。。

“应用程序目录”，，这一组是对所有应用程序一个总结性设置，，里面该放行的放行，该阻止的阻止，，没有询问。。。。。。。


“应用程序总目录”，，这个是各应用程序目录的父级目录，，，，在前面，该放行的都放行了，，那么到了这个地方也就可以关闭了，，设为高度限制。。。
这道规则的作用也不容忽视，，，有了这条规则，你会发现，在*\ Program Files\与*\ Program Files\*\之间的地带，，如果有病毒藏身，那么它们此时就会像“植物人”一样无法动弹。。。。。。
而“应用程序总目录”的父级目录，，也就是该分区的根目录，，，，在上面的规则中，已经对系统分区做了较详细的权限划分，，而未知程序能否在根目录写入文件，，这要看最后All Aplication的设置了。。。。

注意各组顺序不能颠倒。。。



第⑧栏：




“逻辑分区组”、“光驱”、“其它外部存储”，，，，在前面的规则中，对各分区该放行的地方都放行了，，，这里就可以来个最后的总结了，，，，各逻辑分区没被放行的地方只允许被读，，拒绝程序本身的“写、建、删”动作，，，，但不影响使用者“写、建、删”操作。。。。




第⑨栏：



  

这里涵盖了几乎所有系统关键程序/文件，，，，，这里统一给了他们终极权限（Installer or updater），，让它们享受充分的自由，，，，但是它们并非完全自由，，，，
在“systemroot”及“首要保护”那几组中其实已经给它们设置了禁区，，，敏感的行为都会在第一时间内被安静地拒绝。。。。



第⑩栏：




这一栏中主要是 All Aplications的设置，一个收尾。。。限于篇幅，这里就只讲FD部分关键的一处，，，就是在Blocked Files/Folders加入了“\Device\HarddiskVolume?\*”这一条，，
这一条的意思是“所有分区下的所有的文件”，，，，

如果说“首要保护”是虎头，，那么这条就算是豹尾了。。。。。

结合前面各组的设置，，这个就留给各位白菜兄弟姐妹们去想像吧。。。。


另外，，有关沙盘、虚拟机的规则问题，，，，这算是个问题吧？？在这套规则中还有必要用沙盘、虚拟机么？？嗯嗯真是多此一问 。。。。
---------------------------------------------------------------------------------------------------
最后嘱咐，注意各栏顺序不能颠倒。。。



Then,,End....










[ 本帖最后由 抓抓 于 2009-2-25 22:39 编辑 ]

chenwei54

抓抓的规则用的就是这么顺
BTW：喝的啥酒？看语气抓抓酒量不小啊

[ 本帖最后由 chenwei54 于 2009-2-25 22:28 编辑 ]

抓抓

就当作是对本规则的一个认识吧。。。。

抓抓

原帖由 chenwei54 于 2009-2-25 22:26 发表
抓抓的规则用的就是这么顺
BTW：喝的啥酒？看语气抓抓酒量不小啊

廉价啤酒。。。。。

一下子丫

支持一个。

my700m

楼主喝高了

jianmao

高了

Magis

优先级思路很严密，豹尾是亮点（点题”安静“），我是写不出这样的规则.....
没装Comodo，有些规则能不能请抓抓兄讲解下：
1.

“首要保护”，，，这一条的作用非常大。。
这条规则是：
1：阻止一切程序（当然，包括已知和未知程序）结束所有程序的进程

这条是如何做到的？
2.

“受限区域”、“临时文件目录”主要是临时目录、回收站、收藏夹、系统卷标信息，，，限制其一切主动行为，，只允许被读

这个"read only“如何实现的？
具体还在理解”找茬“中~不知这个规则比”给机会“何如？

[ 本帖最后由 magiscoldeye 于 2009-2-25 23:33 编辑 ]

sz5afc

拜读了，不过好长，先会了再详细阅读

抓抓

原帖由 magiscoldeye 于 2009-2-25 23:28 发表
优先级思路很严密，豹尾是亮点（点题”安静“），我是写不出这样的规则.....
没装Comodo，有些规则能不能请抓抓兄讲解下：
1.
这条是如何做到的？
2.
这个"read only“如何实现的？
具体还在理解” ...

1.很简单，，，前面已经有讲到，，“首要保护”其实就是对所有已知和未知程序某些行为的一个主动过滤、指定过滤，，，将“所有已知和未知程序”的可能的“结束进程”行为设为“block”即可。。。然后在FD的block区中加入那些关键的可执行文件，，用以阻止对它的修、建、删动作。。。
实事上，除了安装软件，，这些可执行文件在程序运行的过程中基本是不需要被写入的。。。除非病毒行为。。。。


至于“只允许被读”，，这个就更简单了，，在限制一切行为的情况下，comodo仍然不阻止读取（只要不做隔离）。。。

[ 本帖最后由 抓抓 于 2009-2-26 00:06 编辑 ]