关于comodo3.0 D 规则里的disk, keyboard,monitor的一点疑问

chendless

原先的理解是，D+规则里，对disk访问的控制，可以有效控制陌生程序在硬盘上随意读写文件。而已知安全的软件，比如媒体播放器，则在disk规则上allow。

看了不少帖子，似乎大大强烈建议规则里的disk设为block。

我也拿TTPlayer试验了下，要打开文件时，提示访问disk，我block之后，仍然可以打开Open Files Dialog，然后一切正常的选歌，播放等。

疑问来了，D+规则里的Disk控制设了block，不是意味着禁止对硬盘上的文件进行读写吗？怎么还能读取mp3进行播放呢?如果Disk规则控制的不是指这个，是什么动作触发了Comodo的这个提示呢？D+的disk规则有啥特别的地方呀？对于安全的程序，感觉设成allow和block都没有区别```

keyboard和monitor的情况类似

[ 本帖最后由 chendless 于 2008-4-17 02:40 编辑 ]

某某猫

disk是底层磁盘吧
文件保护是protect files这项里的

baerzake

所谓底层磁盘操作本身并没有什么危害，某种程度上还提高了操作效率。一般来说有些程序会通过底层磁盘读取来加快读取数据，直接写磁盘一般程序很少出现。但对于HIPS而言如果仅仅是在Windows层面上进行控制，那么有些有害程序就可以通过直接对磁盘进行操作的方法来绕过HIPS的控制，可以任意在系统中创建修改删除文件。因此HIPS应该要包括对底层磁盘操作的防护。一般来说阻止底层操作不会影响软件的使用。

至于键盘访问，如果是非联网的程序可以直接允许，如果是联网的程序要谨慎一些，因为有些木马正是通过键盘访问纪录你的各种账号密码然后联网发送出去的，所以我建议你先阻止，如果不影响软件使用就行，如果非要允许的话请确认这个程序是正常程序。

iszeds

原帖由 baerzake 于 2008-4-17 09:49 发表
所谓底层磁盘操作本身并没有什么危害，某种程度上还提高了操作效率。一般来说有些程序会通过底层磁盘读取来加快读取数据，直接写磁盘一般程序很少出现。但对于HIPS而言如果仅仅是在Windows层面上进行控制，那么有些有 ...

应该是comodo在这方面做的不够细致吧
比如应该是区分底层磁盘读取和底层磁盘写入
底层磁盘读取怎么说也没问题吧,这也是很多合法软件的动作
而恶意软件才会进行底层磁盘写入了
这点EQ做的不错

FD和RD一样,.没有区分开 读取/新建/修改/删除

zonggoj

呵呵，需要改进的还很多，慢慢努力吧

baerzake

区分读写当然好，但是也无所谓，因为一般程序不会写，而读取阻止并无影响

kachiko

大大们的理解真是透彻，学习了！！

chendless

还有一点不明。

发现平时使用的很多正常的软件都会触发disk规则的判断，难道它们的代码里都是直接绕过系统对disk直接读写么？

所谓的disk的直接访问，难道不是建立在OS的文件系统一级吗？难道是直接按块读写？按扇区读写？或者别的什么~

比如一个程序代码里头，调用fopen()，这算不算对disk直接访问吧？怎样的代码才算对disk直接访问呢？我想一般的程序，不置于为了那点效率都绕过OS，直接按扇区操作吧。。。

----------------------

重新想了下，简单点问就是：
程序代码怎么写会触发D+的disk规则？为啥这么多流行软件都有触发disk规则的行为？暂时就这些想不明白。。。

[ 本帖最后由 chendless 于 2008-4-17 16:24 编辑 ]

a256886572008

不要想那麼多！

原因只有一個
-----------------------
COMODO 的攔截，太粗了！

8600569

恩，毕竟comodo是一个基础的hips么，规则没有那么细致。
但是话说回来了，现在的comodo已经很麻烦了，再细致岂不是搞的头都大了！