本帖最后由 mxf147 于 2011-12-14 15:32 编辑
COMODO温馨规则,More than Security !
最新版规则在3楼,Updated @ 2011-10-03
本帖导读: 1楼:规则介绍&使用说明 2楼:规则特点&使用方法 3楼:规则下载&资料下载
=========================================
原帖已经让我编辑得不成样子了,而且,经过一定时间的“修炼”,本规则已经可谓“脱胎换骨”了(当然,核心的精髓部分还在,Firewall仍然是lorchid的安简规则,感谢原作者)!又恰逢不巧的很,最近文思汹涌,灵感泛滥,于是便饱含深情地写下此文,以飨阅者……把昨天都作废,现在New Sweet Policy在您眼前~ 虽然现在坛子里的规则已经是“雨后春笋”了,再出规则貌似有故意“开闸放水”、“洪灾泛滥”之嫌,但是抵挡不住卡饭伟大的“互助分享,大气谦和”精神的“怂恿”(偶的意志力就是这么滴“脆弱”),我且在此“冒天下之大不韪”地“互助分享”一下,也烦请各位“大气谦和”一点,让我们的社会更和谐一点~
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
很多年前,病毒还是一个稀有物,电脑中毒的概率甚至远小于买彩票中奖的概率;很就以前,杀软还是很CJ的,该干嘛干嘛去,从来不给您带来烦恼。而现如今,病毒泛滥了,杀软也跟着泛滥了,我们可亲可爱的、可怜的电脑也“被”泛滥了。杀软与病毒和谐相处、其乐融融的多了,杀软间不和谐的、成天打架的却多了,自己的本职工作不好好做,成天勾心斗角去了,是谁在保卫您的那一亩三分地呢?是谁让您的电脑变成了“战场”?在利益驱动前进的当今社会,相信别人还不如相信自己!我的电脑我做主,我的家园我守卫,您们爱打架跑别处打去~俗话说得好:信自己,没错的!(囧,这是哪来的俗话,我怎么不知道~?!~) 先引用月光版主的一句话承前——HIPS就是阻止一切,例外放行~ 再化用抓抓前辈的一句话启后——温馨,不只是一点点;安全,也不只是一点点~ 最后,以敝人的一句话正式启航——温馨规则,全面提升您使用COMODO的幸福感! 好了,“废话”不多说,下面就是见证奇迹的时刻!
一、规则概要 规则名称:COMODO – 温馨规则; 适用环境:Windows XP/Vista&Win7,COMODO V5.X; 适合人群:和我一样“懒”或比我还“懒”的人;非常勤奋的疯狂折腾者;什么都无所谓的人。一言概括之:适合所有使用COMODO的人(高手无视之!)。
二、“无耻”但是必需的重要说明 不要烦,这个真的很重要……
1、所有程序装在?:\Program Files\*\、?:\Program Files(x86)\*\下,个人游戏可放入?:\Game\*\下。如果还有其他的程序位置,请自行添加。如?:\Softwares\*\(建议使用注册表编辑后再导入的方法)。如果您的程序“居无定所”,那我也只能望U兴叹了……奉劝您给他们安个家!自己养的小猫小狗都有个窝,怎么能让和您亲密接触的“难兄难弟”“游离失所,露宿街头”呢?!您也忒不厚道了…… 2、任何保证安全且4D健全的规则都必然会造成或多或少的误杀。虽然我已经将误杀降低到最小了(再降低就要牺牲安全性了),但是min(误杀)>0。所以简单的排除还是有的,虽然很少。(如果还想温习或者学习一下排除方法,点击这里); 3、导入规则后建议您到文件组中去看看说明,根据您的系统删除非本系统的路径。主要是开始菜单、用户文件夹、系统相关的程序组。否则万一您的系统中有一个病毒和分组中的路径和名字一模一样,那就中奖了!虽然这种概率极端之小,远小于1/n(n→无穷大),但是毕竟1/n>0…… 4、所有生成的规则默认位置即可,除了保护设置(重要的系统程序以及安全防护软件有保护设置)排除无效外,其余排除均有效。规则中各组位置有严格的优先级,如果不是很确定,建议不要轻易改变位置,否则可能出现规则无效! 5、千万别修改文件组名,否则可能会造成规则丢失! 6、预设规则几乎不需再动,遇到拦截请直接找程序规则单独排除。
三、规则使用方法 扰外必先安内,除暴还得先安良。所以,导入规则后的第一步就是……激活!规则激活后,建议立即重启一次,看开机后是否有程序启动出错的现象。为什么?下面灰常激动地向大家介绍本规则的一个“意外收获”——开机自启动项检查! 前面的规则部分童鞋反映开机时会弹窗提示重新启动失败,错误代码是0xc0000142。
图 1
程序开机启动失败
上百度Google了一下-.-,无果……OK,毛主席说过,“自己动手,丰衣足食”,经过一定时间的探索发现,终于找到症结所在。既然是开机启动失败,那么肯定是与自启动有关了。OK,Win+R运行输入msconfig,看看自启动项,果然是那些启动失败的程序。为什么会启动失败呢?原来这些程序想抢在毛豆之前启动,毛豆能放过它吗??不可能!由于本规则前提是勾选上了“如果本程序结束,阻止所有未知请求”,而本人偏偏又增加了秒杀COM端口*\Windows\ApiPort,那么在毛豆启动之前,这些程序均视为未知请求,既然未知了,自然无法访问秒杀COM端口*\Windows\ApiPort咯,然后就是很自然的启动失败了……神者,毛豆也! 本规则中,除了信任和常用的程序默认允许了*\Windows\ApiPort,其余均未允许,那么这些程序如果有自启动行为的,在重启后就暴露无遗了(这也就是为什么要导入后就直接重启的原因,因为一旦您一个一个程序的运行后,那个秒杀端口已经放行了,这个极品自启动项查看功能就失效了)。那么怎么解决呢? 按Win+R运行msconfig,定位到自启动项,看看都有哪些程序有自启动行为。一般地杀软,关键系统程序以及显卡、声卡等自启动是正常的,但是像那些暴风影音、酷狗、QQ、MSN、阿里旺旺等自启动就直接干掉了。一旦您取消了自启动,那么下次它在运行的时候检查并添加自启动项时,那它已经没有机会了!自启动项保护向来就是本规则中的一项基本功能!叫您牛氓!在毛豆大神面前,莫要有非分之想,还是老老实实地干自己该干的事吧!
图 2
删除不想要的自启动项
如果那个是您想要的启动的程序,那么只要运行一次这个程序,开机就不会再有提示了。 自启动问题解决后,再到文件组中检查并修改路径,然后就一个程序一个程序的双击运行,千万看清楚了,不是每一个弹窗都得点允许,还要防止牛氓!如Strom.exe要运行Stromtray.exe常驻右下角您也允许吗?遇到问题单个程序排除一下,工作量很少的,I swear ~ 自己的程序规则调整好后,下面有两种做法。 1、如果您和我一样或者比我还懒,直接将“全局规则”套用“完全阻止”,秒杀一切未知(注意,这个真的是一切!包括程序文件夹下的正常和非正常程序!%windir%\下也没用!)。 2、如果您还想念弹窗的滋味,或者想继续折腾,可以把规则放着不管了,以后出现问题再一个一个看弹窗吧。
四、防御思路 这部分是本人的个人见解,可能会有点片面,不对之处请指正,但请不要过于激动~虽然都是些陈芝麻烂谷子,但是我感觉还是有必要说一下。
防御思路依然是系统程序单独列出分别归类处理,虽然工作量有点大,但是我也已经认了,您也认了吧,一个个看确实很累眼的……系统程序的权限较大,但是都无所谓了,掀不起什么大浪的(如果您折腾到连每一个系统程序都单独设置权限,那位只能说您“寂寞”了,无敌是寂寞~膜拜……)。应用程序可控放行。最核心的思想在于防止病毒主体的生成,做到御敌于国门之外。 1、系统程序单独列出并分类处理:这是因为Windows系统在不同的电脑上其实都是差不多的,单独列出来是为了防止%windir%\下的一些其他程序浑水摸鱼,而%windir%\下又是大部分病毒喜欢的藏身之所,这样做了以后,即使%windir%\下有病毒,那么他不在分组中,只是一个普通的程序而已,由全局规则来限制之。 2、应用程序可控放行:这是因为应用程序相对系统程序来说更加庞大,没人能够完全收录每个程序并一一制定规则,我相信也没有人会对这个感兴趣的~而且大部分应用程序的行为又极为相似——修改临时目录、数据目录、程序文件以及访问常用内存、安装常用钩子,键盘(大部分程序都会用到打字吧?)等。但是这种放行不是肆意地放行,必须有所限制。此外,这种放行必须是可控的。即:程序能否运行以及它能否调用其他程序必须是能够被控制的,否则这个放行还不如不要。万一恶意程序被安装进了程序文件夹可以不经过您的同意就可肆意妄为,确实是一件很恐怖的事。 3、御敌于国门之外:与其让病毒进来了再采取办法不如将其挡在您的电脑之外!我的电脑不允许肆意侵占,我的家园禁止随意践踏!就像战争一样,永远不要让战火燃烧在自己的国土之上!美国从来不会在本土上发动战争,他只会将战争的沿线推到其他的国家,破坏的是别国的家园,伤亡的是别国的子民!否则,病毒一旦进来,虽然我们可以通过规则限制它。但是即便是胜利了,也会付出一定的代价。万一您的规则有漏洞,您被攻击了都不知道!这恰似抗日战争,虽然最后我们取得了胜利,但是战争带来的危害是有目共睹的,后果更是不能承受之重!而且,进来的病毒始终是一颗定时炸弹。当有一天您不得不禁用D+时(比如安装软件),而病毒在此时被触发运行,想后悔都来不及!
五、规则精髓
规则的精髓部分是在垫底的四条通配过滤规则,有严格的优先级,不能改变位置,否则可能造成规则无效!下面逐一介绍之,有吹niu的成分,但是基本属实!
图 3
规则精髓预览
①中流砥柱①:“*”全局过滤。顾名思义,这条规则起着举足轻重、举重若轻的作用。为什么举足轻重呢?请看RD和FD权限:
图 4
RD优先阻止权限
图 5
FD优先阻止权限
这条规则,非信任程序不可能修改自启动项、IE首页以及重要的注册表项; 这条规则,全局都不可能产生可执行文件,从源头堵死病毒主体以及危险文件(如*.reg)的生成,真正做到御敌于国门之外; 这条规则,让所有东东都不能碰重要的东西,像开始菜单、系统根目录文件、杀软、应用程序以及加密软件等; 这条规则,任何外来(不管是舶来、飞来还是海归派)的病毒、木马甚至神马都是浮云! 这条规则,只要完善了黑名单,让所有的牛氓都牛氓不起来! …… 总结:这条规则灰常给力! 为什么是举重若轻呢?因为一个字符“*”解决了80%以上的病毒入侵您的电脑,您的地盘不允许别人非法侵占,这般威力,不亚于一颗氢弹,一切浮云扫光光!比起当年Japan的那两颗原子弹,有过之而无不及!
②程序规则②:程序文件夹下的第二层目录下的.exe程序。依然是顾名思义,给程序的通用放行规则。为什么是.exe文件?因为大部分应用程序都是.exe文件,遵循“最小范围的允许”的原则,就不写成*.*了。其他的程序交给全局规则处理得了。在前一道中流砥柱的“扫荡”效应之下,本条规则即使放行了很多,都不会有多大问题的!单独给每个程序设置权限太累人,并不适合我等“懒人”。“懒人”自有“懒人”的方法,直接放行了大部分程序都会修改的临时、数据文件以及注册表、管道、设备信息以及键盘(大部分程序都会用到打字的功能吧?)。 这种懒不是无所谓,而是一种无所畏惧,是一种释然,是一种淡定……乾坤尽在帷幄,管他云卷云舒;方寸自在心中,何惧风雨俱来!
图 6
程序放行规则
③存档区域③:程序文件夹下的第二层目录下的.exe程序。依然是顾名思义,常用的存档目录,减少保存文件时的弹窗提示。FD优先允许桌面、我的文档以及其他常用存档目录(自行添加)。这里依然是懒的一种境界。虽然放行了存档目录,但是前一道“程序规则”已经优先阻止了一些东西,因此,这些这存档目录中的重要文件(如Office文档、图片等Precious)是不会被动的。这也就是不能直接把这条规则并到前面一道程序规则中去的原因。
图 7
存档区域
④全局规则④:“*”全局过滤。依旧不变的顾名思义。作为压轴,必然强势!您发现没有任何允许,只有运行程序、COM口和FD有询问,而且里面有一大堆的优先阻止,重要的东东已经全部给您保护好了,即使病毒运行起来了,也是没有什么权限的。
图 8
全局规则概况
图 9
COM口优先阻止
COM口里没有优先阻止秒杀COM口,这个正是您运行程序是弹窗的来源。同时通过弹窗来建立一条规则让您自己慢慢打磨去~
图 10
FD优先阻止
所有重要的文件/文件夹已经被统统保护起来了,当运行一个病毒时,您的系统、您的程序、您的资料等都毫发无损时,您一定很想看到当时病毒的表情是多么的难堪,肯定很有创意,超乎您我的想象!病毒:唉,干不了您,我,我,我刷您日志总可以吧……
| 
[复制链接]
发表于 2010-10-30 17:43:23
楼主
!
