查看: 19196|回复: 25
收起左侧

[讨论] 关于V3 DEFENSE+的规则优先级方面的一点心得

[复制链接]
心の语
发表于 2007-11-23 16:10:36 | 显示全部楼层 |阅读模式
大概研究了下,一些心得供大家参考、讨论,也算是给新人入门吧,有错误之处还请指正[:26:]

在安全策略里,所有的规则(独立程序规则和文件组规则)优先级是从上至下排列,但有两种情况比较特殊

第一种:参数是ASK的情况

如图所示:其中有All Applications组规则(第一)和notepad、explorer两条独立程序规则(分别在第二和第三)
All Applications组规则参数若设定的是ASK,nopetad程序的所有行为,都是根据第二和第三条规则去匹配,不会根据All Applications组规则设定的ASK参数跳出询问框,也就是说此时All Applications组规则无论处于什么位置,优先级都是最低的;


如图所示:此时运行notepad,或者notepad访问ctfmon.exe的内存,都不会跳出询问框

All Applications组规则参数若设定的是allow或者是block,nopetad程序的所有行为,将严格根据由上至下的优先级匹配规则。

第二种:规则的Protection Settings

如果此设置是YES,与此规则相关的程序,自我保护的优先级最高,不受规则排列的顺序影响


例如上图的ctfmon.exe规则现在处于第三,若将此规则的Interprocess Memory Accesses设为YES
即使nopetad规则Interprocess Memory Accesses参数设置的是ALLOW,nopetad也不能够访问ctfmon.exe的内存


总的来说,V3的HIPS规则优先级有的时候会让人有点头晕,不如EQ那么直观

PS:抱怨下V3的日志为什么只能显示被BLOCK时的记录,被哪条规则BLOCK的却不记录,排除问题太不方便

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +28 收起 理由
ubuntu + 28 经过昨晚的讨论和楼主亲自测试,加深了我对

查看全部评分

aval
发表于 2007-11-23 16:14:11 | 显示全部楼层
正在学习,也是刚从2.4换成V3正式,谢谢楼主的心得,顶
sxingbai
发表于 2007-11-23 16:56:07 | 显示全部楼层
xue xi le
30794
发表于 2007-11-23 21:28:49 | 显示全部楼层
我觉得V3的规则还是有规律可循的,大概是这样:
确定的规则优先于不确定的规则,ask属于不确定的规则,allow和block是确定的规则
安全谨慎的规则优先,Protection Settings就是保护进程的谨慎性规则,既然被保护就不允许访问,否则就会导致规则的逻辑混乱

评分

参与人数 1经验 +16 收起 理由
ubuntu + 16 言简意赅

查看全部评分

yxy0708
发表于 2007-11-24 02:01:01 | 显示全部楼层
学习了6
remcn
发表于 2007-12-8 02:31:58 | 显示全部楼层
原帖由 30794 于 2007-11-23 21:28 发表
我觉得V3的规则还是有规律可循的,大概是这样:
确定的规则优先于不确定的规则,ask属于不确定的规则,allow和block是确定的规则
安全谨慎的规则优先,Protection Settings就是保护进程的谨慎性规则,既然被保护就 ...


很有意思,也是一个合理的假设,能匹配目前COMODO的行为。
238888
发表于 2008-1-14 19:24:41 | 显示全部楼层
v3真的很难用,因为我不会英文。
zqp520
发表于 2008-3-10 17:05:00 | 显示全部楼层
最难入门的一个防火墙!!!
夏春秋
发表于 2008-3-10 17:09:06 | 显示全部楼层

回复 8楼 zqp520 的帖子

防火墙部分在规则防火墙中算比较容易使用的
HIPS部分和其他规则型HIPS并无不同。
如果用过规则型防火墙和HIPS的,很快就可以入门
如果对防火墙和HIPS没有任何了解的,建议看看HIPS的置顶贴和本区的置顶贴、“打磨贴”再安装使用。

[ 本帖最后由 rushmore 于 2008-3-10 17:13 编辑 ]
vc2136
发表于 2008-3-11 03:09:17 | 显示全部楼层
All Applications组规则无论处于什么位置,优先级都是最低的;
----------------------
受教了,以前我总是都把它拖到最底部,呵呵
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 15:09 , Processed in 0.145438 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表