本帖最后由 mxf147 于 2011-6-22 19:01 编辑
安全高效减少弹窗,方便快捷消除“误杀” ——使用Comodo常用排除方法简介
本文为本人在使用毛豆过程中的一点小感受,纯为初浅之谈,没有一点技术含量,主要给新人解惑,各位大大可直接飘过~由于本人能力有限,文中难免有错误或不妥之处,敬请各位批评指正,帮助豆友们共同进步!
——————————————————————————————————
下载PDF文件方便阅读: 本地下载:
——————————————————————————————————
磕毛豆是一件痛并快乐着的事,过程很艰辛,但结果很喜悦。通过打磨毛豆规则,不仅可以学到安全方面的知识,更重要的是,我们可以通过毛豆来达到掌控自己的电脑的目的,这是一件深有成就感的事! 在认识HIPS之前,我只知道杀毒软件和使用习惯可以给电脑带来安全感,于是便非常勤奋、不亦乐乎地升级病毒库,同时又提心吊胆的担心别人用我电脑干些××的事,用电脑用得很累人……自从认识了HIPS,学会了毛豆,这种小心翼翼的心理完全消失了。别人用我的电脑,随便用,你想使我的电脑中毒还嫩着呢~使用毛豆来,以前不懂的系统知识、软件知识、安全知识得到了很大的充实,这确实是一件很心旷神怡的事! 然而在一开始接触毛豆时,的确很○疼~不想用安全模式,疯狂模式下默认的规则总是有无止境的弹窗,每次用电脑点得手发酸(曾经有位童鞋用迅雷,点了15分钟的允许,300多个弹窗……这里没有任何贬低这位童鞋的意思,仅仅为了说明新手使用毛豆是一件多么痛苦的事。更头疼的是,这些弹窗TMD什么意思啊?!于是,套用论坛各位高人的规则。殊不知,高手的规则看不大懂不说,用高手的规则带来的更多的是烦恼:“误杀”很严重!运行一个规则中没有的程序,要么被扼杀在摇篮之中(无法运行),要么缺胳膊少腿的(使用不正常),找不到原因,看不懂日志……这里倒不是说各位高人的规则怎么怎么的了,现在我也知道要些一个完全通用的规则根本不可能,除非牺牲安全性! 这里,我仅以一个使用者的身份与大家交流一下使用毛豆时怎样消除毛豆的无穷无尽的弹窗以及“沉默的灭亡”,感兴趣的童鞋可以看一下。本文在Win7下成文,部分路径可能与XP不同,但是影响不大! 一、常识普及 1.Comodo规则设置 在一条程序规则中可以对该程序进行相关的权限限制和保护设置,下面分这两个部分来介绍。 (1)、访问权限 这里是对一个程序的限制设置,通过合理的设置以达到限制程序动作的目的。具体的每一条是什么含义,前人已经说了,在此直接“拿来主义”(感谢原作者柯林前辈)。 图 1访问权限设置
——————————————————————————————
运行一个可执行程序——谁都看得懂,无需废话解释,就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截,指的就是这东东——A程序运行B程序被阻止。 进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间,用来存放代码和数据。如果A程序修改了B程序的内存,就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程,为了通俗易懂,就说习惯上的程序吧】。鉴于毛豆的读写不分,谨慎允许该项吧。注意,访问权限里的内存访问,说的是允不允许它去访问别的进程内存;保护设置里的内存访问,说的是允不允许别的进程来访问它的内存。 窗口事件或者事件钩子——习惯上的说法是安装全局钩子,帮助文档里的说法是执行钩子。钩子的作用就是截取(指令、信息、数据),后果就是窃密、盗号,劫持等。钩子通常是dll文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意,访问权限里的钩子,说的是允不允许它执行钩子。至于是执行哪些钩子,当然是应该加以限制的。通常允许执行system32下的系统dll钩子是安全的。保护设置里的钩子,可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它;对于杀软、HIPS等安防软件来说,可以理解成允不允许在它们的钩子之上加装别的钩子,如果允许,那么新装的钩子将先于杀软和HIPS的钩子截取信息。 进程终止——通俗讲,就是允不允许它结束别的正在运行中的程序。专职运行结束进程的,有csrss.exe,任务管理器,comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下,一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是,挂起进程只是暂停,结束进程是停止并退出。注意:访问权限里的进程终止,说的是允不允许它结束别的进程;保护设置里面的进程终止,说的是允不允许别的程序来结束它的进程。 设备驱动程序安装——安装驱动,极端危险的事件之一。驱动程序是运行在内核态的,ring0级,一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件,其它的禁止吧。 窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃,玩测试工具时可以禁止该项操作。注意,访问权限里的设置,说的是允不允许它向别的进程发送窗口消息;保护设置里面的设置,说的是允不允许别的进程给它发送窗口消息。 受保护的COM接口——程序可以通过COM接口使用相关组件,可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载…… 受保护的注册表键——这个不需要解释了,危险事件。允许该项操作,程序可以任意访问注册表,修改设定保护的注册表内容将不再过问。阻止该项操作,程序不可以修改受保护的注册表内容。 受保护的文件目录——重要目录、路径,指定的exe等文件的保护。危险事件。如果允许该项操作,FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。 域名解析客户端服务——允不允许该程序使用域名解析功能。允许,则该程序执行域名解析的活动不受阻止。 内存——访问物理内存。关于该项的危害,帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。一个接口允许在特定的内存地址中存放一定量的数据,但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。”根据这些说明,主要是防止恶意程序的。一般情况下,能够限制的程序尽量限制吧,对于不明程序一定要严格限制,安全可信和必要的程序可以允许【例如系统进程,安防软件,内存整理工具等】。 屏幕监视器——访问屏幕,获取屏幕信息。截图软件,游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。 磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写?除了wmiprvse.exe和磁盘清理、碎片整理工具外,其它的阻止吧。按照帮助文档里的说法,阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。 键盘——键盘记录,获取你输入的内容。盗号木马最喜欢的事情,出于防盗考虑,不明程序、没必要的程序都禁止吧。记事本,文字处理文件,绘图工具,游戏等需要输入文字信息的软件,需要允许,浏览器登录某些站点输入帐号密码等可能也需要允许。
————————————————————————————————
(2)、保护设置 这里是对于一个程序的保护设置,当勾选“活动”时,对该程序的保护才生效。需要注意的是,保护设置里的优先级是相当高的,除了在“修改”里有了排除,否则在访问权限里的任何设置均无效!一般的只需对系统关键进程、杀软类程序和自己想进行保护的程序进行保护设置。 图 2保护设置 进程间内存访问——是否允许其他程序访问本程序内存; 窗口或事件钩子——是否允许其他程序安装钩子到本程序; 进程终止——是否允许其他程序终止本程序进程; 窗口消息——是否允许其他程序给本程序发送消息。
2.优先级简介 Comodo D+执行的流程是从上到下匹配规则,遇到能匹配的(明确的允许和阻止)就立即执行,执行即生效(这也就是很多程序运行过程中就被阻止了的原因),不能匹配的(询问),就交给下面的规则,若执行完了还没有匹配的,就弹窗交给用户决定,并生成一条规则在最上面,供大家自己进行进一步的打磨。 在“计算机安全”的Defense+规则中,优先级由上到下依次降低,在上面的规则先匹配规则。在单条规则中:例外允许>例外阻止>允许=阻止>询问。在一条规则中,即使外面有明确的匹配关系,仍受“修改”里面的例外限制。保护设置里的修改优先级最高。 3.日志的查看与识别 Comodo日志是除了主程序cfp.exe外用到最多的程序。通过日志可以查看D+阻止了什么,为修改规则提供依据和方便。一般的做法是将CIS文件夹下的cfplogvw.exe(comodo firewall log viewer)创建快捷方式到桌面或快速启动栏方便快速查看: 图 3给日志查看器创建快捷方式
在日志中的记录和访问权限、保护设置的相关对应关系如下表:
表 1 日志记录与D+规则中的相关设置的对应关系表 日志记录
| 访问权限
| 保护设置
| 创建进程/创建进程,拦截病毒
| 运行一个可执行程序
|
| 访问内存
| 进程间内存访问
| 进程间内存访问
| 拦截钩子/安装钩子
| 窗口或者钩子事件
| 窗口或者钩子事件
| 终止进程
| 终止进程
| 终止进程
| 安装驱动
| 设备驱动程序安装
|
| 发送消息
| 窗口消息
| 窗口消息
| 访问COM口
| 受保护的COM口
|
| 修改注册表项
| 受保护的注册表
|
| 修改文件
| 受保护的文件/目录
|
| DSN/RPC客户端访问
| 域名解析客户端服务
|
| 物理内存访问
| 内存
|
| 直接显示器访问
| 屏幕监视器
|
| 直接磁盘访问
| 磁盘
|
| 直接键盘访问
| 键盘
|
|
特别注意:访问权限里的进程间内存访问和内存含义不一样;阻止磁盘不影响文件的保存;阻止键盘能打字,但是调用输入法打字异常。 从表中我们可以发现进程间内存访问、窗口或者钩子事件、终止进程和窗口消息在访问权限和保护设置里都有。看到日志里有相关拦截时注意考虑到底是访问权限出了问题还是保护设置里出了问题。一般地,对于系统关键进程、杀软以及自己想保护的程序才进行保护设置。当这些程序有拦截记录时,先考虑在保护设置里排除;其余程序一般在本程序规则的访问权限里修改。 4.通配符简介 Comodo的通配符支持,官方没有清晰的说明,论坛上交流的经验大部分是个人摸索的结果。一下为毛豆支持的一些通配符: “?”:代表一个字符,如?:\代表所有的盘符; “*”:代表任意字符(包含0个、多个),如*.*代表任意包含“.”的文件/文件夹,那么?:\*就代表任意盘符下的任意文件/文件夹; ?:\Program Files\*.exe代表任意盘符根目录下Program Files文件夹下的.exe文件; ?:\Program Files\*\*.exe代表任意盘符根目录中Program Files文件夹下一级文件夹下的.exe文件; ?:\Program Files*\*\*.exe则包含了以Program Files开头的文件夹,如Program Files(x86)等。
二、快速减少弹窗的方法
一般的运行一个新程序弹窗最多的是注册表修改(RD)和文件修改(FD),AD和ND方面就比较少了。下面以枫树浏览器(ChromePlus)为例,讲解我是如何快速减少弹窗的问题的(本人接受不同的意见~),FD在默认监控基础上增加%SystemDrive%\*(系统盘下所有文件/文件夹)、 ?:\Program Files\*,其余不变: 双击运行ChromePlus,弹出一大堆窗口让我点。OK,老老实实点呗~这是运行一个ChromePlus所刷的日志! 图 4真是壮观啊,200多条日志!
看看规则规则里修改了什么~ 图 5 单单Chrome主程序FD就修改了75项! 再加上IEHost,Upgrade……那不是累死人了!! 分析日志发现修改较多的是下面三个文件夹: C:\Users\*\AppData\Local C:\Users\*\AppData\Roaming D:\Program Files\ChromePlus 那么就给它一个权限: 图 6 扩大FD范围 再重新运行ChromrPlus,来看看效果: 图 7 运行后FD部分只弹了一个窗 看看日志记录: 图 8Chrome只记录了一条日志~
由上面我们可发现,在程序运行过程中将修改比较多的目录进行相关的修改,放宽范围,可以减少90%以上的弹窗!也许有些同学想到了,如果我写一条?:\Program Files\*\*.exe,对常用程序经常修改的目录进行统一的放行,那么在运行其他程序时不时也可以减少很多的弹窗啊?!Ok,试一试~ 新建文件组?:\Program Files\*\*.exe,命名为“程序放行”,放于全局规则之上,FD权限设置为: 图 9对?:\Program Files\*\*.exe统一放行
图中%UserProfile%为环境变量的写法,Win7下 %UserProfile% =系统盘符:\Users\用户名,如C:\Users\Administrator。下面验证刚才的那条规则有没有效~运行另一个程序wps.exe: 图 10 发现FD方面的弹窗减少了99%~
从而印证了该条规则的巨大作用,一条规则减少90%以上的弹窗,是不是很惬意、很Sweet呢~呵呵…… 但是(但是后面的东西往往是重点),有些同学又怀疑了,你放行了那么多的东西,安全性怎么保证??万一我上网一部小心,很多马儿跑到了我的临时目录下,电脑变成“养马场”了我都不知道怎么办啊?!万一有个不正规的程序要修改我的重要目录怎么办?!这个怀疑很好,下面我们就来补漏~怎么补?且往下看: 新建一个文件组“*”,命名为“重要保护”,放于“程序放行”之上(不能位于下面),FD权限设置为: 图 11 重要保护FD优先阻止可执行程序和想要保护的文件
~~这部分内容有诱惑性“误导”嫌疑~~各位自己明辨是非了,呵呵
这一条规则的作用非常大,充分发挥了毛豆FD的威力!真正做到御敌于国门之外!为何?病毒运行首先得需要主体吧?而且这个主体必须是可执行的吧?有了这道过滤,直接封死了病毒的主体的生成,还谈什么运行?!呵呵~全盘都不能出现病毒文件,更别说临时文件夹下了。 同时,有了这条规则你可以放心地运行曾经风靡全国的熊猫烧香了,任何感染可执行程序型的病毒都不能危害你的电脑了。对于这类感染型的病毒,别说病毒、木马,就算是神马都是浮云~你会发现这类病毒是那么的脆弱!一条规则就直接秒杀了,呵呵~当然,其他类型的病毒另当别论。 同时,这条规则可以保护毛豆的文件不被未经允许的程序修改。以后还有什么需要保护的文件直接往这里放就行了。“程序放行”里的放行的文件夹要修改让他们随便修改,反正不能破坏我的电脑,懒得为每一个程序单独设置只允许修改本身的文件夹了。当然,有需要保护的配置文件等其他不想被修改的文件可以在本条规则中优先阻止之。 此外,由于毛豆的优先允许>优先阻止,这两条规则能做到一条规则做不到的。比如我们要阻止QQ修改 ?:\ProgramFiles\Tencent\QQ\Plugin\Com.Tencent.Advertisement下的文件,但又要放行它修改?:\Program Files\Tencent\QQ\下的文件,一条规则怎么写?!有了这两条,我们只需在“重要保护”中FD优先阻止?:\Program Files\Tencent\QQ\Plugin\Com.Tencent.Advertisement*就行了。 那么,问题又来了,这样我用浏览器不是下载不了.exe文件了,难道下次下载软件时还得退出毛豆吗??非也~你只需将浏览器的规则放于“重要保护”之上,并优先允许下载文件夹就行了,看图: 图 12浏览器FD优先允许下载文件夹,如E:\Download就可下载软件到该文件夹下了
除了FD外,再在“程序放行”中放行一些程序常用的钩子、内存访问、注册表等,再阻止一些危险的不常用的动作,这下又减少了不少的弹窗了,看图: 图 13常用进程间内存访问放行 图 14常用进安装钩子放行 图 15常用注册表放行 图 16再阻止一些不常用的危险动作(驱动安装、访问物理内存、底层磁盘访问) 这样设置后,运行你的?:\Program Files\*\*.exe下的软件,即使监控范围比较广,弹窗会变得很少了~ 图 17疯狂模式下进行合理放行,即使监控了C:\*和?:\Program Files\*, 运行一个新程序,弹窗也不会很多滴
| 
[复制链接]
发表于 2010-10-17 09:39:27
楼主
