COMODO V3下explorer.exe在D+里怎么设置？

30794

我发现只有把系统外壳程序（就是explorer.exe，用bblean的是blackbox.exe）设置为windows系统程序或安装程序，COMODO V3才不会频繁跳出询问窗口
设置为Trusted Application照样有询问窗口跳出
设置为自定义，然后Allow所有，不能正常关机
设置为windows系统程序或安装程序，总算太平了，但是这样FD对blackbox.exe（我用bblean）就不起作用了，“我的电脑”可以随便删除被保护的文件

COMODO V3的组规则与程序自身的规则不能共存，是造成这个问题的原因，把blackbox.exe归为某个组，其自身的规则就无效了
这点Tiny做的就比较好，程序的自身规则和组规则同时有效，自身规则优先于组规则

a256886572008

COMODO V3 默認 Run an executable  (運行應用程序)沒有allow的選項，

所以，請自行在裡面設置*

也就是，允許Explorer.EXE運行所有的應用程序！

--------------------------------
對了，他的FD少了autorun.inf，也要自行添加！

30794

原帖由 a256886572008 于 2007-11-22 06:17 发表
COMODO V3 默認 Run an executable  (運行應用程序)沒有allow的選項，

所以，請自行在裡面設置*

也就是，允許Explorer.EXE運行所有的應用程序！

--------------------------------
對了，他的FD少了autoru ...

谢谢，已经这样设置了，允许blackbox.exe Run *（老鸟不是白叫的），没用

我觉得V3 D+模块的规则设置有重大bug，比如系统外壳程序不设置在预置组里面，设为自定义，那个COM规则可以把人搞疯掉，打开“我的电脑”会连续弹出6个一模一样的询问窗口，每个窗口都选Allow并记住，没用，规则里面有6条一样的允许规则

把blackbox.exe进程终止，先设置好COM规则，再运行blackbox.exe，还是6个询问窗口
把blackbox.exe进程终止，把blackbox.exe设置为信任程序，再运行blackbox.exe，仍然有询问窗口，再看D+，blackbox.exe又变成自定义程序

这个V3正式版其实是beta版，要不怎么这么快又升级，这个问题好象是老问题了，到现在都没解决，V3的架构有问题，为什么不学习Tiny的规则设置？

还有，P2P软件，设置了Incoming Port，没用，总是Low ID，把V3的防火墙模块关掉，马上变成High ID

注：我两个HIPS都开着，COMODO V3+Tiny Firewall，有个小bug，COMODO V3不能右击系统托盘，右键点击系统托盘，cfp.exe就出错退出，除此之外没有其他兼容问题

即使卸载了Tiny，上面讲的问题依然存在

[ 本帖最后由 30794 于 2007-11-22 06:40 编辑 ]

30794

还有，sb的服务进程sbiesvc.exe，随系统启动自动运行，V3不会建立任何对应的规则

a256886572008

1.COM有些是"預防規則"，也就是，就算允許，後續動作還可攔截！

2.你用blackbox.exe取代Explorer.EXE吧，

那直接設為Windows System Application 就可以了！

3.在global rule 要加四條，

1.  ACTION：ALLOW
     PROTOCOL：TCP
     DIRECTION：In/Out
     SOURCE IP：ANY
     DESTINATION IP：ANY
     SOURCE PORT：ANY
     DESTINATION PORT：A SINGLE PORT：4662

2.  ACTION：ALLOW
     PROTOCOL：UDP
     DIRECTION：In/Out
     SOURCE IP：ANY
     DESTINATION IP：ANY
     SOURCE PORT：ANY
     DESTINATION PORT：A SINGLE PORT：4672

3.  ACTION：ALLOW
     PROTOCOL：TCP
     DIRECTION：Out
     SOURCE IP：ANY
     DESTINATION IP：ANY
     SOURCE PORT：ANY
     DESTINATION PORT：A SINGLE PORT：4661

4.  ACTION：ALLOW
     PROTOCOL：UDP
     DIRECTION：Out
     SOURCE IP：ANY
     DESTINATION IP：ANY
     SOURCE PORT：ANY
     DESTINATION PORT：A SINGLE PORT：4665

4.連進先看global rules

連出先看application rules

a256886572008

sbiesvc.exe的父進程是services.exe，

可是，COMODO給了services.exe很大的權限，

也就是Windows System Application，

所以，你當然看不到comodo建立該規則！

Oceanzd

services.exe和svchost.exe都不要给太大的权限，通过管道添加和执行服务的话就不好了

a256886572008

services.exe預設在Windows System Application這組，

svchost.exe預設在Windows Updater Application這組，

對於目前的病毒來說，只要阻止他們被Interprocess memory(修改進程內存) ，

就安全了！

----------------------
對於"安裝服務或驅動"，RD會先攔截！

[ 本帖最后由 a256886572008 于 2007-11-22 07:57 编辑 ]

Oceanzd

Windows System Application
Windows Updater Application

这2组的权限都很大，不拦截RD

Interprocess Memory不是唯一信息通信（IPC）的方式，包括了OLE\COM，Windows Messages，Pipe，Ports等，这部分Comodo无法做到很多，但是我不要求Comodo做到，太复杂了

Oceanzd

如我用“服务终结者”安装服务时，是Services.exe执行的添加任务，而不是“服务终结者”