关于Defense+ Settings里的常规设置

显示全部楼层 · 发表于 2008-1-9 09:36:29

第二个选项，block all the unknown requests if the application is dosed
之前使用时，我都没有打勾的。昨晚勾上了，当时没什么，关机。今早再开机，comodo与NOD32（不过手动扫描还能开）都没有启动。开别的杀软，同样无法启动，还有一些应用程序（包括SREng、冰刃这些辅助安全工具以及一些普通程序）也无法使用。

试着进安全模式，把comodo的那个设置改了回来，然后启动正常了。进D+日志，看不到昨晚关机时有异常记录。这个是哪里冲突了呢？

[ 本帖最后由 elysion 于 2008-1-9 10:05 编辑 ]

显示全部楼层 · 发表于 2008-1-9 11:18:27

这个选项应该不会造成程序无法使用，
如果规则没设好这个选项会阻止一些程序开机的时候自动启动。
设好规则就没问题了。

显示全部楼层 · 发表于 2008-1-9 12:15:57

这个就是我郁闷的地方，不知道是哪个程序的规则有问题，自己也判断不到。规则太多，要全贴上来似乎也不现实。有没有朋友知道可能是哪些地方设置有误呢？我对着检查下看看

[ 本帖最后由 elysion 于 2008-1-9 12:17 编辑 ]

显示全部楼层 · 发表于 2008-1-9 12:34:14

如果comodo的任务栏图标没有出来，可以试试给comodo这一组程序(见U版打磨规则)完全的权限。

[ 本帖最后由 rushmore 于 2008-1-9 12:36 编辑 ]

显示全部楼层 · 发表于 2008-1-9 14:38:11

我原本就设置为windows system application了，用的是comodo自建的那个分组。以下三个不在其中。会是这个原因吗？
%programfiles%\COMODO\Firewall\cfpconfg.exe
%programfiles%\COMODO\Firewall\crashrep.exe
%programfiles%\COMODO\Firewall\cfplogvw.exe
如果勾上那项的话，启动时comodo会没有图标，连带着出现顶楼说的一些现象。不过隔离文件夹仍然是不能访问的，似乎保护还在

[ 本帖最后由 elysion 于 2008-1-9 14:44 编辑 ]

显示全部楼层 · 发表于 2008-1-9 14:45:26

最好将comodo的程序全部加入组，因为不是很清楚具体和那几个程序有关。
驱动早就生效了，这个是comodo把自己block了，建议先让它提示，规则完整了，再用这个选项，拦截未知的请求。

[ 本帖最后由 rushmore 于 2008-1-9 14:46 编辑 ]

显示全部楼层 · 发表于 2008-1-9 15:26:54

那三个文件也加入后，勾上这个选项，重启，COMODO还是会拦截自己。不过NOD32能够随系统启动
原本规则允许的软件运行似乎没有问题。试了一些先前规则里未允许过的exe文件，全部禁止运行。尝试从RAR文件里解压几个exe文件，基本是被阻止，但HiJackThis例外。安装毛豆以来，我没用过这个，或许是毛豆内置了白名单吧。
创建或打开通常文件是允许的。
卡机有点厉害，任务管理器能看到毛豆进程，可以手工结束，不过保护仍然存在。红伞扫描不到隐藏进程

[ 本帖最后由 elysion 于 2008-1-9 15:48 编辑 ]

显示全部楼层 · 发表于 2008-1-9 16:00:33

运行comodo程序那么久都没反应，刚刚居然启动了
还是可以手工启动的……

显示全部楼层 · 发表于 2008-1-9 18:28:23

第二个选项，block all the unknown requests if the application is closed

去掉，用Clean PC 学习一遍重启、注销操作，再选上
允许 exploer 运行cfp.exe
cfp.exe, cmdagent.exe 必须完全信任，保护不被修改内存和终止，你的explorer或者cfp规则可能有问题。

Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：
1. block all the unknown requests if the application is closed 或者
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

当使用 All Applications Limited 后，可以用IceSword 结束cfp.exe、cmdagent.exe
然后，为了保险，测试一个Leaktest，比如PCFlank
通过以后，可以随便去样本区，下载任何样本测试。保证没问题。
不过，最好加一个影子或使用虚拟机。

[ 本帖最后由 ubuntu 于 2008-1-9 18:29 编辑 ]

显示全部楼层 · 发表于 2008-1-9 23:08:13

学习了！

[求助] 关于Defense+ Settings里的常规设置

回复 5楼 elysion 的帖子

Comodo 的无进程保护[内核保护]