与心の语及U版讨论规则优先级的问题

心の语

原帖由 baerzake 于 2007/12/8 15:13 发表
晕了，也就是说当all app是询问时可以看做忽略，然后向下搜索，找到匹配即执行，如果没有匹配的就回头ask，但是当all app是明确规则即all 或block时此为最优先，当然在modify里的更优先,好像是这样

在modify里的就可以理解是单独为某个子进程设定的allow或者block了
可以当作比外面的allow或者block参数更确定的规则

remcn

刚进行完一个测试——简单的测试——仅针对run an executable权限

例：

规则A1：　全局规则all apps中，run an executable设为ask
规则A2：　全局规则all apps中，run an executable设为block
规则B1：　explorer.exe规则中，run an executable设为ask，例外中allowed applications中包括notepad.exe
规则B2：　explorer.exe规则中，run an executable设为ask，例外中allowed applications中不包括notepad.exe
规则B3：　explorer.exe规则中，run an executable设为block，例外中allowed applications中包括notepad.exe
规则B4：explorer.exe规则中，run an executable设为block，例外中allowed applications中不包括notepad.exe

程序行为：从资源管理器explorer.exe中双击运行notepad.exe，运行模式：train with safe

结果：

1，当规则A1位于规则B1之上时，测试正常，无弹窗；
2，当规则A1位于规则B1之下时，测试正常，无弹窗；
3，当规则A1位于规则B2之上时，有弹窗无询问，自动学习；
4，当规则A1位于规则B2之下时，有弹窗无询问，自动学习；
5，当规则A1位于规则B3之上时，测试正常，无弹窗；
6，当规则A1位于规则B3之下时，测试正常，无弹窗；
7，当规则A1位于规则B4之上时，程序行为被阻止，无弹窗；
8，当规则A1位于规则B4之下时，程序行为被阻止，无弹窗；
－－以上为全局ASK的情况－－

结果：

1，当规则A2位于规则B1之上时，程序行为被阻止，无弹窗；
2，当规则A2位于规则B1之下时，程序行为被阻止，无弹窗；
3，当规则A2位于规则B2之上时，程序行为被阻止，无弹窗；
4，当规则A2位于规则B2之下时，程序行为被阻止，无弹窗；
5，当规则A2位于规则B3之上时，程序行为被阻止，无弹窗；
6，当规则A2位于规则B3之下时，程序行为被阻止，无弹窗；
7，当规则A2位于规则B4之上时，程序行为被阻止，无弹窗；
8，当规则A2位于规则B4之下时，程序行为被阻止，无弹窗；
－－以上为全局BLOCK的情况－－

从这个小例子来看，单就ASK和BLOCK来说，完全符合心语所言。

只要全局规则为BLOCK，不管在哪里，优先级都最高。

remcn

baerzake所说，加上心语的补充，我已经基本确定是怎么回事了，两位高手，你们谁有空做一下Defense+的作用流程图？

remcn

晕头转向，这还只是AD方面的考虑

ND也够受的，还得分入站和出站的流程，也不一样

出站简单，AD模块负责程序运行的安全，然后交给ND负责；
入站，ND接获连接请求，数据交给AD判断要连接的程序，完成之后再交回给ND。

心の语

你的全局BLOCK是不是有点问题，再看下
不应当是优先级最高，应该是从上至下匹配啊

1，当规则A2位于规则B1之上时，程序行为被阻止，无弹窗；
2，当规则A2位于规则B1之下时，程序行为被阻止，无弹窗；========>应该是不会被阻止的啊
3，当规则A2位于规则B2之上时，程序行为被阻止，无弹窗；
4，当规则A2位于规则B2之下时，程序行为被阻止，无弹窗；
5，当规则A2位于规则B3之上时，程序行为被阻止，无弹窗；
6，当规则A2位于规则B3之下时，程序行为被阻止，无弹窗；========>同样也应该是不会被阻止的啊
7，当规则A2位于规则B4之上时，程序行为被阻止，无弹窗；
8，当规则A2位于规则B4之下时，程序行为被阻止，无弹窗；

PS:我可是新手中的新手，和火鸟大大比起来差太远了，把我和火鸟大大放一起，有点受宠若惊啊

[ 本帖最后由 心の语 于 2007-12-8 15:42 编辑 ]

baerzake

当规则A2位于规则B1之下时，程序行为被阻止，无弹窗

这条确实不对，试验过了，应该是从上到下匹配，b1在上时应该优先b1

baerzake

太谦虚了 ，我对comodo的规则也不熟啊，主要是懒，以前从来不去研究这些，都是默认呵呵，看你们讨论才来学习的^_^

remcn

原帖由 心の语 于 2007-12-8 15:39 发表
你的全局BLOCK是不是有点问题，再看下
不应当是优先级最高，应该是从上至下匹配啊

1，当规则A2位于规则B1之上时，程序行为被阻止，无弹窗；
2，当规则A2位于规则B1之下时，程序行为被阻止，无弹窗；========>应 ...

汗一下，把复制下来的草稿发上去了。

晕，不认真。

我闭嘴两小时先！

心の语

真的不是谦虚啊，的确有很多地方还需要学习，目前我也只能在工具的使用上有点心得
真正在安全方面或许连门都没入，呵呵

remcn

2，当规则A2位于规则B1之下时，程序行为被阻止，无弹窗；

－－－－－－－－－－
请继续查看该条，即

ALL APPS规则中，BLOCK；
EXPLORER.EXE规则中，ASK，且例外中有NOTEPAD.EXE
且ALL APPS规则置于EXPLORER.EXE规则之下；

从资源管理器中运行NOTEPAD.EXE，

我这边确实是被阻止。