毛豆终于慢慢上手了 - 从实战为 Comodo 建立规则 （补充）

adair

CLT测试，选不限制



全部拦下来



新手要充分了解 Comodo 的 HIPS 的各种规则的作用，最好的做法就是在实战中了解，而且必须试错。可以先从 IE 或其它浏览器开始，因为浏览器是经常用的并且要联网，很有必要专门为它制定规则，并且浏览器不会影响到系统，所以可以做最彻底的规则测试。

下面以 IE 为例，首先把 IE 的 hips 规则全部设为阻止，然后逐步的修改规则，目标是让 IE 在最小的许可下刚好可以运行，并且不影响使用。这需要通过查看日志来排除，记住，并不是日志中记录了哪项被阻止就放行哪项，而是如果不允许哪项，IE会无法运行，那才对这一项放行。当然，如果访问的是IE 自己的资源，这是要添加允许的。

基本上各项规则的修改都是很明确的，我这里就只讲怎样修改 COM。IE的日志中会记录如下一条：

C:\Program Files\Internet Explorer\IEXPLORE.EXE    Access COM Interface   C:\Program Files\Internet Explorer\IEXPLORE.EXE

这条如果不允许，IE貌似无法启动。由于要只给最小的许可，所以 COM 这一项不能改为允许，而是要在例外中添加允许。



在 COM 组中，有一条和 IE 有关，OK，添加这一条。但是添加后 IE 还是无法启动，那就继续添加。



把 IE 开头的都添加进去，现在行了吧？但是 IE 依然无法启动，再添加，可是在COM列表中似乎找不到和IE有关的COM了。
那么好吧，它要什么就给它什么。



IE还是无法启动，日志项中还是那一条。它还需要更多的？



这一次，终于试出来了。IE成功启动。

得到的一个 COM 的规则就是 COM 可以直接用文件名来对应！ 支持路径后面加 *。这样就可以很方便精准的制定 COM 的规则了。经测试，不支持用文件组来定义 COM，貌似不支持通配符 “？”。

继续为 IE 排除后就可以为 IE 建立起一个非常严格的规则，在这样的规则下IE 会有很多被阻止的日志记录，但是只要可以正常使用就可以不管它。然后还要在实际应用中看看有哪些必要的允许需要添加。

在找几个应用程序来建立最小规则后，应该可以大致了解一个正常的软件会用到那些资源。然后可以制定预设规则（Rulesets）。有一点需要注意，如果要修改全局规则（All Applications），一定要排除好Windows 和 Comodo，并且要对规则架构有非常透彻的理解，可以参考经典贴子 http://bbs.kafan.cn/thread-174493-1-2.html，如果误伤到Windows 或毛豆或者其它的沙软，可能导致无法启动或者无法进入桌面，我已经试过好几次了。

一般可以进入安全模式来修改注册表解决，但是安全模式很不方便，而且我试过无法进入安全模式！ 可能是注册表文件损坏了。我的建议是最好装有双系统，这样一个出了问题可以从另一个系统来解决。建议登陆到另一个系统，备份 Windows\system32\config 下的文件，这些文件包含全部注册表信息。这样出了无法解决的问题可以还原备份。当然还原备份是最后一招，是注册表文件损坏之后才用的。一般解决毛豆规则导致的无法启动可以在另一个系统中修改毛豆的文件名，由于多次出状况，我做了个批处理：

echo off
if EXIST C:\windows\system32\drivers\cmdguard.sys (
rename C:\windows\system32\drivers\cmdguard.sys cis_cmdguard.sys
rename C:\windows\system32\drivers\cmdhlp.sys cis_cmdhlp.sys
rename C:\windows\system32\drivers\inspect.sys cis_inspect.sys
rename C:\windows\system32\drivers\cmderd.sys cis_cmderd.sys
rename C:\WINDOWS\system32\cmdcsr.dll cis_cmdcsr.dll
rename C:\WINDOWS\system32\guard32.dll cis_guard32.dll
rename C:\WINDOWS\system32\cmdvrt32.dll cis_cmdvrt32.dll
rename C:\WINDOWS\system32\cmdkbd32.dll cis_cmdkbd32.dll
rename "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" cis_cmdagent.exe
echo.
echo ================== COMODO is disabled from Startup @_@ =================
echo.
pause
goto END
)

if EXIST C:\windows\system32\drivers\cis_cmdguard.sys (
rename C:\windows\system32\drivers\cis_cmdguard.sys cmdguard.sys
rename C:\windows\system32\drivers\cis_cmdhlp.sys cmdhlp.sys
rename C:\windows\system32\drivers\cis_inspect.sys inspect.sys
rename C:\windows\system32\drivers\cis_cmderd.sys cmderd.sys
rename C:\WINDOWS\system32\cis_cmdcsr.dll cmdcsr.dll
rename C:\WINDOWS\system32\cis_guard32.dll guard32.dll
rename C:\WINDOWS\system32\cis_cmdvrt32.dll cmdvrt32.dll
rename C:\WINDOWS\system32\cis_cmdkbd32.dll cmdkbd32.dll
rename "C:\Program Files\COMODO\COMODO Internet Security\cis_cmdagent.exe" cmdagent.exe
echo.
echo ================== COMODO is Ready for Startup ^_^ =================
echo.
echo ================== Open regedit to edit config -_- =================
echo.
pause
goto END
)

echo.
echo ================== COMODO files NOT found @_@ =================
echo.
pause

:END

重启进入系统后再次运行 这个批处理把文件名该回来，还要修改注册表，可以修改激活哪一套规则，理论上也可以修改hips 的开关设置（理论上的，我没试过，我都是用第一个方法）。



前面的CLT 测试我用的是在不断试错中打磨出来的全局规则，这个全局规则可以正常运行很多接近于绿色的软件比如通达信，而且也可以正常运行QQ。

最后再说说我的最高规则。在防火墙中，我的最高规则是阻止所有入站连接。在 HIPS 中，我的最高规则是“进程间内存访问”全部阻止，从预定义规则(rulesets)到全部的非系统程序的自定义规则，除了系统程序 Explorer.exe 和 Windows system Applications 和 Comodo Internet Security，Explorer.exe 目前还是允许，并在例外中允许了对 Ctfmon.exe 和  Explorer.exe 的内存访问，阻止对 Windows\* 的内存访问，这几个还可以继续试错。然后是所有的规则中都设置了对内存访问的保护，从预定义规则(rulesets)到全部的自定义规则，在例外中允许了Windows\* 和 Comodo Internet Security， 这里还可以继续试错。“直接内存访问” 这个就更明确了，我只对 Windows system Applications 和 Comodo Internet Security 还不确定，接下来也会试。

Good luck.

===============> 补充：

注册表防护是非常重要的，我参考了windows普通用户权限的设置，并根据实际中碰到的情况，添加了3个RD项。



第一项 Administrative Privileges，windows给普通用户的权限只允许编辑和用户有关3个注册表项，HKCU\*、HKUS下的2个分别是 S-1-5-21-*、S-1-5-21-*_Classes\*，大多数的应用类软件都能在普通用户下运行，因此也应该只需要这3项就 可以了。在我测试的几个应用类软件中，还没碰到有需要 HKCU\* 和 HKUS\S-1-5-21-*_Classes\* 的，因此可以只开放HKUS\S-1-5-21-* 给应用类软件，另外为了方便DIY，把HKLM\SOFTWARE\* 分了出来，因此如下图，除了2个红圈中项，注册表中其余项我都添加到右边。



添加后如下


第二项 HKLM\SOFTWARE\*，上图的第一个红圈，有些windows的程序会用到，基本上只开放给windows的程序。

第三项 HKUS\S-1-5-21-*\Software\Microsoft\*，这个是从第二个红圈中分出来的，这个我认为是windows的资源，可以收回来不让非系统的软件访问。

于是在整个注册表中，应用类软件只能访问 HKUS\S-1-5-21-*（第二个红圈）中排除了windows的独占项再加上毛豆默认的保护项之后剩下来的，虽然日志中会有很多阻止记录，但不影响使用。

工具类软件像 XueTr、虚拟光驱之类的应该会用到 HKLM 下的项，在我的测试中，XueTr、SREng2、ProcMon这些需要加驱的都需要用到HKLM\SYSTEM\ControlSet002\Services\*，这些可以单独排除。

注册表作这样的防护后应该比较全面了吧。

我的对于全局规则（All Applications *）的思路，全局规则主要的是为应用类软件设置，如果对这类软件做一下前面所说的最小规则的测试，就会发现，除了必要的几个windows资源外，这类软件正常来说是不需要绝大多数的windows资源的，我测的几个软件必须的是只需要 挂钩（hook） windows的msctf.dll 和几个用户界面的 dll文件，而且hook 貌似是相互的，阻止软件hook 它要挂钩的 dll文件，结果这些dll文件会反过来hook 这个软件，至于谁hook谁这两者在安全风险上是否一样我就不清楚了。

也即大多数的应用类软件应该可以只依靠自身的资源来实现自己的功能，除了用户界面和输入法之外它 不需要依赖windows的资源。那么全局规则（All Applications *）的思路就是除了必要的那几个，全面地阻止对windows\*的访问，然后添加阻止对其它重要资源的访问。

如果是需要加驱的工具类软件，以及系统类软件如杀软，这些是需要单独设置组或规则。如果是安装应用类软件，我估计是需要开放注册表项 HKUS\S-1-5-21-*_Classes\*，HKLM\SOFTWARE\*，可能还有HKCR\* 和HKCU\* , 然后我觉得应该也不需要windows的资源，当然对这个我目前还未试。

UDady

在等官方的改进，折腾之路还很漫长

qq5150

又开始折腾了

fwj123

安软的任务是防御恶意的程序与行为，保证安全正常的使用环境。希望折腾别过火了

adair

UDady 发表于 2013-2-6 07:20
在等官方的改进，折腾之路还很漫长

V6 好像每次修改规则后cpu 占用都会飙升，这时会卡3、4秒，然后可以正常了，可能每次修改规则后都会更新Cache，每次更新病毒库后也是这样。所以我现在会打开任务管理器，等cup为0 时才操作毛豆。
我觉得这个还可以接受吧。

adair

qq5150 发表于 2013-2-6 11:53
又开始折腾了

折腾了一个星期了，现在差不多可以安逸了

adair

fwj123 发表于 2013-2-6 15:00
安软的任务是防御恶意的程序与行为，保证安全正常的使用环境。希望折腾别过火了

当折腾出一个很严格又能让大多数软件运行的全局规则时 ，那是相当的适意

ssahrk

只要没签名的一律沙箱运行

duan8989

厉害。

fwj123

adair 发表于 2013-2-6 17:52
当折腾出一个很严格又能让大多数软件运行的全局规则时 ，那是相当的适意

从V2用到Ｖ6，从严规则过渡到现在适度规则+软件智能处理+好习惯，估计将来是好习惯+软件智能处理+少量必要限制