很好很强大，秀一下 Comodo V3 [基于Alpha2 图多杀猫]

ubuntu

Comodo V3 很好，很强大。

作者：ubuntu
转帖请保留作者和出处，祝贺 GPL 3 发布。

Comodo V3 和 Comodo V2 是两个不同的世界。Comodo V2 是一款单纯的个人防火墙，而 Comodo V3 是重新设计的，从一开始就不是一款防火墙了，V3 实际上是一款 HIPS 软件，附带了防火墙，也可以说 V3 是一款带 HIPS 的防火墙。不过，从未来走向看， Comodo V3 将会是一款全面的个人主机防御软件，更广泛意义上的“Firewall”。

说简单具体点，Comodo V3 主要由两部分组成：Firewall 和 Defense+ 。
网络防火墙 Firewall 主要工作在网络层，对应用程序访问网络进行控制，对进出的数据包进行过滤，并且防御来自网络的攻击 （比如端口扫描、DOS攻击）。
系统防火墙 Defense+ 工作在系统底层，保护内核，监控具有高危等级的系统操作 (安装全局钩子、安装驱动、直接访问物理内存 等等)

先从 Comodo 的警告窗口 (Alert) 开始，为什么？ 安装好，重启以后，我们最先接触到的就是 Comodo 的警告窗口，通过 Alert 可以管窥 Comodo 所提供的防护功能。

这是一张典型的 V3 风格的 Comodo | Defense+ ,两键方式



不喜欢上面的，可以换成怀旧的 V2 风格，一键方式。


上面的图是 Defense+ 监控运行新程序。

Defense+ Alert 的标题颜色越深，说明安全等级越高，这个操作越危险。
比如下面的修改 被保护的文件夹，是红色标题。



选择 Remember my answer 可以生成特定的例外规则。

ubuntu

虽然只是Alpha 2 ，不过 Defense+ 的提示已经很完整和清晰了。
我用 IE 做个说明 (我是用 Opera 的，用 IE 做例子只是因为用的人多。)

access loopback network interface
访问 loopback 网络接口

访问回环地址(127.0.0.1-127.255.255.255),在Windows，一般回环地址是 127.0.0.1 (loopback)，127.0.0.1 就是代表你，代表本机。本机的程序要通讯的话，可以通过 127.0.0.1，数据是在本机发送和接收，不会连接外部网络。
不过，当本机有一个本地代理服务器，并且具有访问外部网络的权限的话，允许访问 127.0.0.1 代理服务器监听端口，也就可以访问外部网络。Sygate Firewall 是一个典型的例子，不监控 loopback。

In computing, in the context of a TCP/IP network such as the Internet, localhost is a reserved name meaning this computer. It is used where one would otherwise specify the name or address of a computer in the network. For example, directing a web browser to http://localhost will display the home page of the web site (if any) being served from the computer running the browser.

connect to the Internet
连接互联网

Comodo | Firewall Alert 目前没有详细的说明。
目前，只有简单的程序、远程端口、IP和协议


install global hook
安装全局钩子

英文叫hook,指利用api来提前拦截并处理windows消息的一种技术。
如键盘勾子，许多木马都有这东西，监视你的键盘操作

modify a protected registry key
修改被保护的注册表键值
选择 Remember my answer 可以生成特定的例外规则。

ubuntu

access the keyboard directly
直接访问键盘
可以用作键盘记录或者键盘模拟。



access the screen directly
直接访问屏幕

比如，一个有名的 KeyLogger （键盘记录）测试，http://www.firewallleaktester.com/aklt.htm
AKLT 就采用 access the keyboard directly 的方式监视并记录键盘操作，没有hook，没有code inject。
另外，AKLT 还采用了 access the screen directly 来截取屏幕。盗号还可以用截图的方式。
直接屏幕访问，很多图形软件、媒体播放软件都会用到。允许的话，AKLT 就有了屏幕截图的能力。
AKLT 的截图，有两个测试，screenshot1 不禁止的话，Comodo 也可以轻松通过，screenshot2 必须禁止才能通过。



[ 本帖最后由 ubuntu 于 2007-7-3 00:45 编辑 ]

ubuntu

access the disk directly
直接硬盘访问 (底层硬盘操作防护)

一般程序用不到，某些杀毒软件、硬盘整理和管理工具会用到。比如：蜘蛛升级
国内就比较BT了，比如QQ、PPStream、PPLive，甚至搜狗拼音升级也要用到，搞不明白。



硬盘终结者，直接在Windows 环境下，从主引导区开始向硬盘写入垃圾数据。

ubuntu

Defense+ 下可以为每个程序设定安全策略，也可以对程序分组，对一个程序组设定策略。

Process Access Rights
这是一个预设的 isolated Browser(隔离的浏览器)策略，基本上和在Sandbox里运行浏览器没太大的区别。


有 Modify... 的，还可以进一步设置。下面用 IceSword 做说明：

复制驱动到 C:\Windows\System32



加载驱动
设备驱动是一个特殊的执行文件，具有很高的权限，加载这个驱动的程序将获得和此驱动相同的很高的权限。malware 利用加载驱动，可以解除系统安全。



看一下自动生成的规则，文件保护


注册表保护


允许安装的驱动

规则文件可以使用通配符 * ? 和 环境变量。

taisanh

嗷 版主动作真快 不过sreng2显示的红色注册表真不爽 不知正式版会不会这样

ubuntu

下面，看一下比较少见的保护，对 COM 接口的保护。
access a protected COM interface
访问被保护的 COM 接口

OLE Automation, DDE

Windows operating system also provides inter process communication mechanism through COM interfaces. By using a COM interface hosted by a server application, a Trojan can hijack the application to connect to the Internet. Another similar mechanism for inter process communication is Direct Data Exchange (DDE).

Trojans that use this technique: Unknown
Leak Tests that emulate this technique: PCFlank, OSfwbypass, Breakout2, Surfer, ZAbypass

屈指可数，基本上所有防火墙和HIPS，都不能监控使用 OLE Automation, DDE 穿透防火墙，向外发送信息。
一般的防火墙和HIPS，不能监控 进程之间通过COM 接口 进行 进程间通信 inter process communication (IPC)，比如 ： PCFlank 这种使用 OLE Automation 方式的测试，在满足测试条件许可的情况下，是不会提示，拦不住的。

什么叫满足测试条件？
直接禁止 IE 联网，直接禁止PCFlank运行？ 对个人来说不是不可以，心理上满足了。可惜，这样的通过对于此类测试来说，完全失败。这和把PCFlank加入特征码，当木马杀掉，或者将 PCFlank.com 加入禁止访问的网址一样。因为，这样的结果，没有证明 安全软件有阻止PCFlank所使用的技术的能力。

其实很简单，运行 IE，正常联网。然后运行测试程序，按照提示做，输入文字、点击Next 之前，不要中断和阻止测试。
于是，没有新进程生成、没有访问物理内存、没有安装全局钩子、没有创建远程线程，于是 OOXX 的败了。

Comodo V3 提供了对 COM interface 的保护。
在对要保护的 IE COM interface 进行设置后，在满足测试条件下，有如下警告：



最后的测试结果


最近用 TVKoo，发现关闭程序会弹出广告 (IE窗口)，用 Comodo V3 得到和上面相同的警告，阻止就清净了。



[ 本帖最后由 ubuntu 于 2007-7-3 00:23 编辑 ]

ubuntu

网络防火墙，我主要留意一下，防御 ARP Spoofing (ARP欺骗、ARP攻击)
Comodo V3 提供了 MAC Address filtering，使像 LnS 一样防御 ARP攻击 成为可能。在正式版未发布前，我不敢肯定。

下面是一张阻止一切来自非网关MAC地址传入数据包的规则。(只允许网关MAC传入)

ubuntu

原帖由 taisanh 于 2007-7-3 00:04 发表
嗷 版主动作真快 不过sreng2显示的红色注册表真不爽 不知正式版会不会这样

没什么不爽的，那是 Comodo 的一个组件。每个程序启动的时候，guard32.dll 都会注入程序，被执行。
修改 AppInit_DLLs 多了，卡巴、SSM，还有病毒。争夺系统优先权，Comodo 抢先占据而已。仔细检查一下就可以了。

[ 本帖最后由 ubuntu 于 2007-7-3 00:20 编辑 ]

taisanh

原帖由 ubuntu 于 2007-7-3 00:10 发表

没什么不爽的，那是 Comodo 的一个组件。
修改 AppInit_DLLs 多了，卡巴、SSM，还有病毒。争夺系统优先权，Comodo 抢先占据而已。

版主发完了嘛？把我插队的删了好了

主要是 我的习惯是经常用sreng2有事没事自动修复一下注册表 貌似这么一修 也许会出现问题？