comodo里面计算机安全规则里自定义规则选项是什么意思？

导演AZ

行为防护里面
1窗口和事件钩子
2窗口消息
3内存
4屏幕监视器
5磁盘
6键盘
7域名解析客户端服务
程序是如何作用于这些项的，这些1-7项都是代表什么，，尤其是1和2，甚不解

保护设置里
1进程终止 活动 禁用
2窗口消息 活动 禁用  表示什么？？
我看过一个帖子，，上面说对于杀软的保护设置进程终止  选择活动，感觉和我想的相反

请各位高手解释下，，，如果可以举个例子就更好了，，[:13:][:13:][:13:]谢谢

fovfinal

先回答简单的，比如MSE，在保护设置中激活保护设置→进程终止，意思就是此时别的程序/文件无法终止MSE的进程。

鉴于LZ不懂1到7的定义，建议到HIPS总区找一下置顶，里面有的

细细的票根

论坛里有很多贴子,还有致顶的贴子,楼主先看看吧.

詩、未詺

运行一个可执行程序——谁都看得懂，无需废话解释，就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截，指的就是这东东——A程序运行B程序被阻止。

进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间，用来存放代码和数据。如果A程序修改了B程序的内存，就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程，为了通俗易懂，就说习惯上的程序吧】。鉴于毛豆的读写不分，谨慎允许该项吧。注意，访问权限里的内存访问，说的是允不允许它去访问别的进程内存；保护设置里的内存访问，说的是允不允许别的进程来访问它的内存。

窗口事件或者事件钩子——习惯上的说法是安装全局钩子，帮助文档里的说法是执行钩子。钩子的作用就是截取（指令、信息、数据），后果就是窃密、盗号，劫持等。钩子通常是dll文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意，访问权限里的钩子，说的是允不允许它执行钩子。至于是执行哪些钩子，当然是应该加以限制的。通常允许执行system32下的系统dll钩子是安全的。保护设置里的钩子，可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它；对于杀软、HIPS等安防软件来说，可以理解成允不允许在它们的钩子之上加装别的钩子，如果允许，那么新装的钩子将先于杀软和HIPS的钩子截取信息。

进程终止——通俗讲，就是允不允许它结束别的正在运行中的程序。专职运行结束进程的，有csrss.exe，任务管理器，comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下，一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是，挂起进程只是暂停，结束进程是停止并退出。注意：访问权限里的进程终止，说的是允不允许它结束别的进程；保护设置里面的进程终止，说的是允不允许别的程序来结束它的进程。

设备驱动程序安装——安装驱动，极端危险的事件之一。驱动程序是运行在内核态的，ring0级，一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件，其它的禁止吧。

窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃，玩测试工具时可以禁止该项操作。注意，访问权限里的设置，说的是允不允许它向别的进程发送窗口消息；保护设置里面的设置，说的是允不允许别的进程给它发送窗口消息。

受保护的COM接口——程序可以通过COM接口使用相关组件，可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载……

受保护的注册表键——这个不需要解释了，危险事件。允许该项操作，程序可以任意访问注册表，修改设定保护的注册表内容将不再过问。阻止该项操作，程序不可以修改受保护的注册表内容。

受保护的文件目录——重要目录、路径，指定的exe等文件的保护。危险事件。如果允许该项操作，FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。

域名解析客户端服务——允不允许该程序使用域名解析功能。允许，则该程序执行域名解析的活动不受阻止。

内存——访问物理内存。关于该项的危害，帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。一个接口允许在特定的内存地址中存放一定量的数据，但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。”根据这些说明，主要是防止恶意程序的。一般情况下，能够限制的程序尽量限制吧，对于不明程序一定要严格限制，安全可信和必要的程序可以允许【例如系统进程，安防软件，内存整理工具等】。

屏幕监视器——访问屏幕，获取屏幕信息。截图软件，游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。

磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写？除了wmiprvse.exe和磁盘清理、碎片整理工具外，其它的阻止吧。按照帮助文档里的说法，阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。

键盘——键盘记录，获取你输入的内容。盗号木马最喜欢的事情，出于防盗考虑，不明程序、没必要的程序都禁止吧。记事本，文字处理文件，绘图工具，游戏等需要输入文字信息的软件，需要允许，浏览器登录某些站点输入帐号密码等可能也需要允许

以上内容均来自卡饭，建议LZ自己搜搜
http://edu.kafan.cn/html/Comodo/11302.html
连接扔到这里

导演AZ

詩、未詺 发表于 2012-5-27 20:59
以上内容均来自卡饭，建议LZ自己搜搜
http://edu.kafan.cn/html/Comodo/11302.html
连接扔到这里

十分十分十分十分感谢

詩、未詺

导演AZ 发表于 2012-5-27 23:54
十分十分十分十分感谢

不用客气