旧的规则还在起作用，怎么办？

paink

       配置：win10 1703最新，Comodo10.0.1.6258

一、问题描述

       之前把某些文件加入了hips的“受保护文件”里，后来又从受保护列表里剔除掉了。保存后，结果还是弹窗提示有程序访问了之前添加和剔除掉的受保护文件，重启机器好几次问题依旧。不知有没有遇到过类似情形的坛友，推广下问题处理经验。

       我的毛豆自定义的配置还不能导出，导出时老是提示“不能导出配置。请确信您对这个路径有足够权限”。但其他配置是自由导入导出无问题的。记得几年前（2014年）就遇到过这个问题，翻了下以前的求助帖，最后还是重装了毛豆。
      
—————————————————————————>>—————————————————————>>
二、估计没人有这种经验了。我把我的想法和处理方式写到下面吧。

    1. 旧的规则还在起作用：
        comodo的规则，即自带的cis、cfs、cps、你的自定义的配置，以及预定义规则（predefined）、策略（policy）……这些配置保存在注册表的位置为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs
        它们可以被comodo程序导出为cfgx（xml）配置文件。在注册表中这些配置按照0、1、2、3……的顺序命名，在注册表右侧的“name”数值显示了配置名，如COMODO - Internet Security、COMODO - Proactive Security等。你可以手动导出CisConfigs下的某个配置。个人认为comodo起实时作用的规则并不在此处而是在：
        HKEY_USERS\*\Software\ComodoGroup\CIS* 等类似的位置。而且，对于正在起作用的配置，配置数据传递、保护、导出等过程，有别于未生效配置。正在起作用的配置在高复杂度、高负荷工作中很容易出现错漏，许多网友说毛豆的监控、日志等有残漏、迟钝bug，这有程序本身的问题，同时还有注册表数据传递等方面的问题，如果再考虑配置传递机制等可能的潜在问题，正在起作用的规则注册表崩溃可以说是很正常了。   

      

     一个简单的猜测：
     从配置面板修改配置保存后，配置数据被传递到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs键，但从此键传递配置数据到工作键需要考虑工作键的处理状态。不可能删除当前工作状态重建工作键，因为许多日志数据、事件、告警、窗口等要保持正常工作状态。即使配置已经修改，这些处理工作不能丢弃，即使重启计算机，一些数据也不能删除。当配置传递过程遇到工作键高负荷、错乱时，可能发生传递超时而不再传递配置或无法传递配置。

    2. 紧接着，不能导出配置问题也会发生
导出配置也要考虑工作键数据，由于导出未生效配置与生效配置无关联，或者说不是同一个配置，所以顺利导入导出。但是，导出生效配置则需要考虑工作键数据，特别是当你频繁对弹窗程序钩选了“记住我的选择”等选项，以及其他操作。这些工作状态规则不是直接修改CisConfigs键，而是首先传递到工作键然后按照程序和计划，这样你在导出配置时就出现了问题。

   3. 有人可能会问：当打开设置面板时，policy项也会显示实时创建的规则，那怎么不会报错？
        我认为，用户从设置面板修改配置对comodo来说是低频、简单、低负荷的工作，此时读取的规则是CmdAgent\CisConfigs键下的配置，也有临时创建的规则项，但仅此一部分，不会包含更多的东西了，所以你修改的配置可以正常保存，不出错。

注：文中用HKEY_USERS\*\Software\ComodoGroup\CIS* 指代了comodo的工作区注册表或称为工作键，事实是该处键未必就是comodo工作时用于保存工作数据的注册表。所以，欢迎更了解这里面机制的大神来科普一下。

—————————————————————————>>—————————————————————>>
三、Comodo配置交互细节
       最近我特别留意了一下毛豆设置方面的东西，关于毛豆设置规则和交互细节现在记录下来，供有这方面问题的坛友参考。
1. 设置面板细节
  1.1 配置“更改”与“当前配置”

“你是否想在导出前将更改保存到当前配置？”
“你是否愿意在切换配置前，将更改保存到当前配置？”
不知有多少豆油明白所谓的“更改”是什么玩意儿？

                      规则上的变动？
                                 Settings项目？（参考配置文件中的“Settings”如自动更新是否打开等普通设置项目）
                                            究竟哪一个是 “当前配置”？所谓的“更改”是要保存到哪个配置？
                                                       是不是配置间的的“Settings”继承？
      
我是有点糊涂的，真的明白这里面细节的有几个人？
  个人测试结果：
①所谓的“更改”并不是“一般设置”等“Settings”项目，而是用户对设置面板内所有项目作出的修改，或毛豆运行时新增的规则细节变更；
②根据①，“当前配置”是什么就很容易理解了。它是当前正在起作用的配置，如果你要导出此配置，弹窗是要问你要不要把“运行时新增的规则细节的更改”增加到当前运行的配置和要保存的配置文件中。至于“激活”时的弹窗也是这个意思，如果不保存，这部分数据就会被丢弃。
③切换配置之后，不论你是否选择了保存更改到配置，新激活的配置的一般设置项目未产生任何变化，除非你特别的去设置了这些项目然后点击了确定，这些才会发生改变……总之，所谓的改变是毛豆程序运行时临时产生的变更，而不是配置中的规则、设置变更。

  1.2

2. 疯狂模式
“疯狂模式”与“安全模式”的区别。这个大多数人都懂，安全模式依赖于签名证书和云扫描，对于具有安全签名证书的程序、文件，即使没有相关规则，或者规则是询问，毛豆HIPS也不会弹窗。“疯狂模式”当然是区别这一点的，即使是超安全的进程，即使毛豆自身，只要不存在确切规则（允许或阻止），都会弹窗。
  2.1 毛豆弹窗特点
    ①一次只弹一个窗；
    ②弹窗有时间限制（毛豆可以设置“设置新的屏幕上的警报超时为'*s' ”）；
    ③不会显示是哪个文件组对象的弹窗，也不会显示是对象访问了哪条受保护目标（指添加的受保护的HIPS组、文件组等）导致了弹窗，只能显示某一个程序、文件、注册表键、com接口等特别精确的对象或目标，日志记录也是这样（但个别项目除外，如网站过滤会显示目标所属组）；
    ④

我没试过设置警报超时时间，当弹窗特别多时，会出现弹窗“撸死”现象。我自己起的这个名字，具体表现是：
    ①弹窗一闪而逝，
    ②只留下残影（只有弹窗边框）
    ③按钮锁定（点击无反应）
……

   如果出现以上情况，就应该趁早备份规则，并处理异常问题。具体过程是：
    ①激活其他配置，建议不保存更改到当前配置；
    ②导出需要备份的配置；
    ③在comodo面板中移除备份过的配置；
    ④重启计算机
    ⑤导入备份配置并激活，建议不保存更改到当前配置。
导入、导出、激活、移除配置不用按确定按钮（即使操作后按了“取消”，之前的操作也会生效）。亲测有效。
  2.2


3.  弹窗中的“信任为…”选项
  选择信任为XXX，即表示让某个应用对象“临时”套用某项规则。生效时间我清楚后再更新。

4.“记住我的选择”
  弹窗时的“记住我的选择”会在规则栏目创建一条十分精细的规则，创建过程是怎样的？是毛豆主程序直接在配置注册表添加/修改？还是其他的什么？也许这正是导致贴中规则无法导出的原因。

5. “HIPS规则”（Policy）与“规则”（预定义规则/Predefine）
  4.1 毛豆本身有一个老BUG，即文件组、HIPS组、网络区域组、端口组……条目很多时，进行引用时超出屏幕部分无法翻页/滚动。
不知是不是这个原因，很多豆油编辑规则是在“HIPS规则”或者“应用程序规则”栏目直接开工编辑“自定义规则”，当规则对象不存在时这些辛辛苦苦编辑的规则也化为乌有。特别是，当你在弹窗中选择了“记住我的选择”，程序可能会直接操作相关配置的注册表，一旦疯狂模式下毛豆负荷过大，出现一点错误，这些规则可能就……不知豆油们丢的规则是不是这个原因造成的。
  我个人还是很喜欢编辑预定义规则栏目的，并不一定非要修改程序自带的预定义规则，你自己创建一些预定义的规则，这会使你的规则更富有继承性，不容易损坏。
  例如，你偶然开了一次（即使是误点击）学习模式，结果一段时间你反应过来后就会发现自定义的规则都变成了允许，特别是一些注册表、com、受保护文件等，学习模式会帮你删掉这些设置然后只剩一条允许，具体的，大神、老白们都清楚，小白可以试试。
      
  4.2 “清理”按钮
  清理按钮作用于文件和目录对象，不建议你在文件组、被保护的对象中使用清理按钮，因为有些规则是为了特殊环境，面向一些临时产生的对象的。你在HIPS的“HIPS规则”和防火墙的“应用程序规则”栏目（这两个与自动Containment栏目是一类的，直接对外输出作用栏目，其他的像“文件组”、“端口”等栏目是用作便捷性支持作用的栏目）使用清理按钮，“清理”功能作用于其中的应用程序或文件组对象，而不是规则，皮之不存，毛将焉附？程序被清理掉了，你辛辛苦苦编辑的自定义规则也会被注销。从4.1，对于喜欢直接在这些栏目编辑“自定义规则”的豆油，你们应该转变一下对“HIPS规则”栏目的看法，这里不是用来编辑的，而是用来应用、实践和测试的，而且这个栏目并不稳定会有多方来操纵修改，这里的项目更容易丢失。
  不用顾忌在这类栏目使用了文件组、预定义规则而担心规则的灵活性。即使你在文件组中使用了精确的程序路径，当需要弹窗询问时，你点击“记住我的选择”，毛豆仍会在最上层为你新建一条精确规则，你打开这一条，可以清楚看到新增的细节。（我同时十分建议在这类栏目使用文件组对象，而不是单个程序对象，不然点击“记住我的选择”后，毛豆会直接修改你的规则，具体修改了什么呢？你并不容易识别哪些是你自定义的，哪些是毛豆为你增加的。）
  4.3 修改与删除规则
  想要说的特别是文件组等栏目，当你要删除某个条目时，一定要好好检查一下，毛豆不会提醒你选中了几条，选中了谁。像文件组、端口、网络区域这些基础栏目，当在规则中有引用/使用时，毛豆会提醒你这些条目正在使用，如果你任性不看忽略掉，恭喜你，你的规则又丢了一些。
      

—————————————————————————>>—————————————————————>>
四、我的处理：
       由于平常习惯较好，经常保存设置，不同时期，不同状态的设置文件保存了几十个，所以，我导入了以前最近的设置，添加现有设置的修改内容后，就删除了无法导出的设置，这样连带临时工作注册键的设置内容应该也会被删除，结果回复了正常。（所以猜测，激活操作和删除配置后激活是有区别的，且生效配置的注册表和工作区的注册表之间有关联）

五、建议尝试的方法：
       将自定义配置从注册表导出（导出前从comodo设置面板检查各项规则与配置为正常，若异常就没有拯救的必要了，直接在设置面板移除问题配置即可），在comodo设置界面移除该配置。建议重启系统后，再从注册表导入注册表备份。
注：此方法根据以上推理得出，本人并未测试，以后有谁遇到同样问题可以试试。

六、一些建议：
1. 及时、高频、多版本、多时间段保存设置文件；
2. 不要让comodo处于高负荷状态。例如，对正常程序过多限制、打开的不老实软件过多，尤其是，在未配置完整规则的情况下把一些东西（如*，\*……等高频目录、高频文件）拉入受保护目录，然后就是疯狂的弹窗，日志记录…… 这应该是我血的教训！我可是只打开疯狂模式不到2h的啊！
3. 不要编写一些变态的规则，comodo是个工具，有它适当的用法，但不要超出适当的范围，正常、高效、优雅的使用姿态应如庖丁解牛般，“依乎天理，批大郤，导大窾，因其固然”，然后“合于桑林之舞，乃中经首之会”。
4. 要积极使用防火墙和沙盒，而不是hips。comodo早已不是当年的尖刀，而是如今的高墙固垒。积极迎合沙盒，专心对待未知、恶意软件即可，不要为了发烧、骨灰乱开疯狂模式。没有金刚钻，莫揽瓷器活儿。否则，在枪林弹雨中，你会真的被虐到只剩下骨灰。

HEMM

............你这两个问题我都没遇到过，没这方面的经验。
关于第二个问题，导出前，毛豆的日志是怎么描述权限问题的？
关闭D+和沙盒看看能不能导出，能的话，看日志阻止了那些内容，给予足够的权限。

paink

HEMM 发表于 2017-8-4 00:41
............你这两个问题我都没遇到过，没这方面的经验。
关于第二个问题，导出前，毛豆的日志是怎么描述 ...

谢谢，这么晚还来回复。

    把毛豆所有组件全关我都试过了，我压根就没限制毛豆权限，hips全部允许。


软件自带的几个其他的默认规则都可以正常导入导出，就自定义的配置规则不行。

HEMM

paink 发表于 2017-8-4 00:52
谢谢，这么晚还来回复。

    把毛豆所有组件全关我都试过了，我压根就没限制毛豆权限，hips全部允许。 ...

这两样并存......
可以说下是什么系统环境吗？描述一下当前使用的系统版本，可否有搭配。

paink

HEMM 发表于 2017-8-4 00:54
这两样并存......
可以说下是什么系统环境吗？描述一下当前使用的系统版本，可否有搭配。

win10+cis10 .6258

没有搭配，自带的系统firewall和defender是关闭的。

我去试试关闭uac……

HEMM

paink 发表于 2017-8-4 00:58
win10+cis10 .6258

没有搭配，自带的系统firewall和defender是关闭的。

这个应该和UAC没有任何的关系，因为我的UAC从来没有关闭过一次...

paink

HEMM 发表于 2017-8-4 01:01
这个应该和UAC没有任何的关系，因为我的UAC从来没有关闭过一次...

关闭UAC，重启归来

网上不少人出现过导出规则要求确认权限的情况，我这是第二次了。bug豆，

我导入了之前备份的规则，把当前修改过的部分迁移到新导入的规则上。这点问题不算太大。

旧的规则仍然起作用这样的问题，估计是规则注册表出现了问题。等我把旧规则移除应该也会恢复。

HEMM

paink 发表于 2017-8-4 01:12
关闭UAC，重启归来

网上不少人出现过导出规则要求确认权限的情况，我这是第二次了。bug豆，

= =这个就不清楚了，我这边也有关闭所有防护，WD和其安全中心服务无法自动开启，哪怕是自动的。
非要手动开启，系统日志里记录的是服务超时。
但其他人都没我这种情况.....还有个WD清除威胁必定会出问题，被隔离的样本无法还原，无法清空隔离区......

paink

HEMM 发表于 2017-8-4 01:33
= =这个就不清楚了，我这边也有关闭所有防护，WD和其安全中心服务无法自动开启，哪怕是自动的。
非要手 ...

你好，今天有空回复一下。
       WD能手动打开吗？我用的cis，打开wd后，wd界面提示：“由于你使用了其他AV程序，wd实时防护已关闭。请卸载……，以便启用wd。”你是只用的cf么？
（不清楚cav与wd杀毒谁更菜）

HEMM

paink 发表于 2017-8-5 16:56
你好，今天有空回复一下。
       WD能手动打开吗？我用的cis，打开wd后，wd界面提示：“由于你使用了其 ...

好像可以强行打开只保留扫描但无监控功能......没必要打开。
是！只用了防火墙，因为毛豆的杀毒....我选择COMODO就不是为了它的杀毒来的。