新手学习comodo经验总结

zj_lqy

对于刚用comodo的人来说，刚看到的时候，是一脸茫然。
下面我用我的亲身经历来说说，抛砖引玉。
刚开始的时候，肯定是用前辈的规则，没说的的，我以秘书的规则举例。

1墙下载
http://us4.download.comodo.com/cis/download/installs/1000/standalone/cfw_installer_x86.exe
然后安装，重启机器
2秘书规则下载：
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=791880
然后导入规则：导入方法：
点 界面-更多-管理我的配置导入。然后选择你下载的规则，然后右键你导入的规则激活。

3，防火墙设置：在刚学习的时候，防火墙不用做学习，一般论坛高手的都做的很好了，同时只要你能上网，它就在你的运用中不会影响到你的。对墙也就只需要一点点修改就可以了。以秘书规则举例，防火墙-网络安全规则-网络区域，修改成你的DNS地址即可。

4.，d+设置。这个最难，因为设置不好，东西打不开，用不了。

a，刚学习的时候，你可能对里面的是什么看都看不明白，没关系。
直接点defense+-计算机安全规则-受保护的文件和文件夹，然后点右边的  组，在这里把你自己的程序放入里面即可.你会发现有很多组，看得眼都花了。其实对我们新手来说要用的就是两三个。G4 G6 G7 G9 G12,G4加入你的杀毒软件，g7加入你的浏览器，如果是IE，掠过，g12加游戏，g9加入你聊天的，如果是QQ ，msn，掠过。g6加入除去上面加入的其他的程序。加入方法，在你要加入的组下面点右键，添加。加入成功后，点应用，确定。

b，现在现在打开你刚才加入的程序，一个一个打开，看有什么问题，没有OK,有的话，点 查看defense+事件，看日志。然后点下面的  更多，看出了什么事情。

有三个地方值得注意，这就是  “应用程序”，“标志” ，“目标”，

这里面说的意思就是   " 应用程序" 通过 " 标志"   修改了 " 目标",我们现在要做的就是排除被comodo不正常阻挡的文件。你首先要做的是找出应用程序在哪个组里面，方法在a，然后 点defense+-计算机安全规则-defense+规则，看你刚才找到的组，后面信任为什么规则，

然后到预定义规则，就是defense+规则旁边的那个，选中你刚才找的哪个信任规则双击，点自定义。



下面介绍下这些是什么意思

    运行一个可执行程序——谁都看得懂，无需废话解释，就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截，指的就是这东东——A程序运行B程序被阻止。
    进程间内存访问——访问权限里的内存访问，说的是允不允许它去访问别的进程内存；保护设置里的内存访问，说的是允不允许别的进程来访问它的内存。
    窗口事件或者事件钩子——访问权限里的钩子，说的是允不允许它执行钩子。保护设置里的钩子，可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它；
    进程终止——通俗讲，就是允不允许它结束别的正在运行中的程序,访问权限里的进程终止，说的是允不允许它结束别的进程；保护设置里面的进程终止，说的是允不允许别的程序来结束它的进程。
    设备驱动程序安装——安装驱动，
    窗口消息钩子——访问权限里的设置，说的是允不允许它向别的进程发送窗口消息；保护设置里面的设置，说的是允不允许别的进程给它发送窗口消息。
    受保护的COM接口——程序可以通过COM接口使用相关组件，可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载……
    受保护的注册表键——这个不需要解释了，危险事件。允许该项操作，程序可以任意访问注册表，修改设定保护的注册表内容将不再过问。阻止该项操作，程序不可以修改受保护的注册表内容。
    受保护的文件目录——重要目录、路径，指定的exe等文件的保护。危险事件。如果允许该项操作，FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。
    域名解析客户端服务——允不允许该程序使用域名解析功能。允许，则该程序执行域名解析的活动不受阻止。
    内存——访问物理内存。关于该项的危害，帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。
    屏幕监视器——访问屏幕，获取屏幕信息。截图软件，游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。
    磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写？除了wmiprvse.exe和磁盘清理、碎片整理工具外，其它的阻止吧。按照帮助文档里的说法，阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。
    键盘——键盘记录，获取你输入的内容。盗号木马最喜欢的事情，出于防盗考虑，不明程序、没必要的程序都禁止吧。记事本，文字处理文件，绘图工具，游戏等需要输入文字信息的软件，需要允许，浏览器登录某些站点输入帐号密码等可能也需要允许。

（2）、保护设置
    这里是对于一个程序的保护设置，当勾选“活动”时，对该程序的保护才生效。需要注意的是，保护设置里的优先级是相当高的，除了在“修改”里有了排除，否则在访问权限里的任何设置均无效！一般的只需对系统关键进程、杀软类程序和自己想进行保护的程序进行保护设置。

    进程间内存访问——是否允许其他程序访问本程序内存；
    窗口或事件钩子——是否允许其他程序安装钩子到本程序；
    进程终止——是否允许其他程序终止本程序进程；
    窗口消息——是否允许其他程序给本程序发送消息。

一定要记住访问权限里面的设置是控制的是本组里面的程序对其他的程序的操作的权限，而保护设置里面的是控制的是其他程序对本组里面的程序操作的权限

表 1   日志记录与D+规则中的相关设置的对应关系表

日志记录	访问权限	保护设置
创建进程/创建进程，拦截病毒	运行一个可执行程序
访问内存	进程间内存访问	进程间内存访问
拦截钩子/安装钩子	窗口或者钩子事件	窗口或者钩子事件
终止进程	终止进程	终止进程
安装驱动	设备驱动程序安装
发送消息	窗口消息	窗口消息
访问COM口	受保护的COM口
修改注册表项	受保护的注册表
修改文件	受保护的文件/目录
DSN/RPC客户端访问	域名解析客户端服务
物理内存访问	内存
直接显示器访问	屏幕监视器
直接磁盘访问	磁盘
直接键盘访问	键盘

上面的东西要仔细看，然后阻止了哪个，就双击日志，复制后面的目标，点后面的排除，加入到 允许的文件和文件夹 ，即可。
比如D:\Program Files\Tencent\QQ\Bin\QQ.exe   访问COM接口  D:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
那么你就找到QQ的组，这里是G09聊天程序组，信任的规则是06 聊天规则，然后到预定义规则中找到此规则，双击，自定义，找到受保护的COM接口，然后点击排除，在允许的文件和文件夹中添加D:\Program Files\Tencent\QQ\Bin\TXPlatform.exe，即可。

下面我要做的事就是反复做上面的事情，直到你觉得所有软件运行正常，就基本上可以了。当你完全熟悉后，再编规则。


上面的东西用了了论坛的其他的高手东西，版权归原作者。

美白煤油

新人学习了。
还是沙发呢。

qhz136

支持下，不过看版面跟昨天的差别比较大

zj_lqy

回复 3楼 qhz136 的帖子

纯新手学comodo，见笑

mxf147

很基础的文章，适合新手，把版面再美化一下，现在看起来有点费眼

拓跋云龙

给新手真的不错

wni

对于我这种新手是很有用的

wtzqbx569

嗯，很有用，刚学的话比我强多了，我搞了两三个月还是一抹黑，回去马上试一下。

梦中明月

呵呵，支持一下
我刚开始时用了一个月熟悉，最后发现默认没问题

VB炸弹

刚刚才感觉能用顺了，赶时髦换了64位WIN7，我又蒙了