搜索
查看: 20235|回复: 83
收起左侧

[讨论] 保护comodo的Appinit_DLLS的方法讨论(修改)

[复制链接]
huai168an
发表于 2008-6-17 12:47:25 | 显示全部楼层 |阅读模式
部分叙述有误,大家注意识别
大家知道comodo的D+功能的重要一点是Appinit_DLLS中有它的C:\windowns\guard32.dll这个键值。如果Appinit_DLLS的值被改或还原了(默认为空),那D+功能就形同虚设,无法保护机器了这里叙述有误。D+功能没有完全被破坏,只是程序的运行没有相关提示,而程序的其它动作D+依然正常提示。下面出现类似叙述,同理)。在现在看来,导致D+功能失效的原因多为某些软件或游戏的冲突,有时的误操作也可能无意间将appinit值还原,如关闭D+,使用清理工具等修复系统,都会影响到D+的正常运行,不像PS的内核保护,即使有冲突或攻击,蓝屏了、自动重启了、死机了,下次开机依然正常保护(这里排除自身的BUG情况)。现在想,如果某些软件自身有恶意行为,而我又信任它了,导致冲突,Appinit_DLLS的被改了,中奖了,此时comodo的D+功能又无法恢复或提供保护了,这样一来面对尴尬局面无法收拾了。想到这里我就想到了如何保护它,防止被改,即使机器蓝屏死机也不要任何软件动这个值。SSM的破解方法或许给了我点提示,用RegWorkshop这个软件对其做权限设置,即使是admin下也无法对Appinit_DLLS进行修改
因为RegWorkshop无法对单个键值设置权限,头痛啊
25.jpg
所以只有对它的上级项进行设置权限了。如果给它拒绝“完全控制”的权限,势必是要影响到其它的值,windows下的键值可以不动它或默认可以吗?
27.jpg
试试给它只读权限
16.jpg
修改appinit dlls的值试试(这里是无comodo,也就是系统无保护状态,保护状态是没法实验的吧
17.jpg
18.jpg
这里的windows权限也不需要设置了,设置后无需设置
19.jpg
如果不设置只读,应该可以对具体权限的设置,这样也可以的吧。
28.jpg
如果给windows的权限为:拒绝——设置数值、删除等,是否可以保护Appint_DLLS这个值呢?可以的。
系统自带的Regedit.exe也可以对windows权限改动,步骤还是个RW工具一样的,注意路径。(谢谢大家的支持)
需要注意的是,改权限是在本机器的安全软件都已经装好,这个既可以保护appinit的值,同时也保护了comodo的D+功能。如果卸载软件 如某些安软或comodo建议将权限改回,免去不必要的麻烦。这个过程还是要大家自己把握好。
软件冲突情况下,comodo的保护是无助的,而且也不知道该软件的可靠性,没准就是毒枭。所以额外的保护这个appinit是必要的.
大家有什么好的方法保护Appinit_DLLS呢?难道这个comodo的Appinit_DLLS是个软肋嘛?
我的目标是:机器爆炸也不要动我的comodo (我有点BT了
感谢zoes兄的指点:“实事上Guard32.dll的作用很单一:监控程序运行的,只是监控运行而已。当一个进程运行时它检查规则表,如果有规则就放行或者拦截,如果没有规则就向CPF发送信息CPF则跳出是否允许运行的提示窗。
如果没有了Guard32.dll,则无论某个程序有没有规则/可以运行与否 ,该程序都可以运行。
偶的做法是把All applications移动到最底下,然后将Appinit_dlls注册表放入它的Protected registry keys的Blocked registry keys里,并且允许当CPF关闭(界面没有启动或者退出了)时阻拦一切操作。”


对于部分叙述误导了大家,在此说声抱歉,见笑了。

版主可以撤销我的相关经验值,必要时可以扣除部分经验值,以警告我犯的错误与误导FANS对comodo的理解

对于这个appinit dlls是否需要保护还是大家自己把握。

[ 本帖最后由 huai168an 于 2008-6-22 23:17 编辑 ]

评分

参与人数 1经验 +20 收起 理由
某某猫 + 20 版区有你更精彩

查看全部评分

fatelinegod
发表于 2008-6-17 13:06:48 | 显示全部楼层
   comodo的Appinit_DLLS居然有人误会是中复合狗了   朋友刚用就电话来了      
huai168an
 楼主| 发表于 2008-6-17 13:07:45 | 显示全部楼层

回复 2楼 fatelinegod 的帖子

我第一次使用comodo的时候也有疑问的
夏春秋
发表于 2008-6-17 13:46:44 | 显示全部楼层
可以让comodo自己保护的,某一个版本的默认规则就有
卡巴也有这个启动项
fatelinegod
发表于 2008-6-17 13:47:52 | 显示全部楼层
。。。。看是COMODO CA的guard32.dll和cssdll32.dll开头的就不会误会吧
敢问 刚试验了下   不仅仅游戏的事情   金山清理专家  WIN清理助手等文件名判断都会报Appinit_DLLS高危  
假如一激动给去了 是不是可以搬凳凳等毒毒或者其他安软不小心恢复HOOK了  那样D+就会失效洗洗睡呢?
另外注册表清理真的会造成毛豆规则被清  偶是排除或者备份规则再导入   这个貌似也是失效的事情   

偶查看Appinit_DLLS和SSDT HOOK是正确的  但是朋友已经有几个不对了 。。。防护还有效不  貌似是人为软肋吧
huai168an
 楼主| 发表于 2008-6-17 13:52:04 | 显示全部楼层

回复 4楼 rushmore 的帖子

呵呵,单纯的comodo保护appinit是没有问题,问题在于如果冲突了,appinit会莫名的被改,即使comodo是内核保护也会出错的。所以要额外的对appinit进行权限的设置。

[ 本帖最后由 huai168an 于 2008-6-17 13:56 编辑 ]
huai168an
 楼主| 发表于 2008-6-17 13:53:10 | 显示全部楼层

回复 5楼 fatelinegod 的帖子

如果appinit 的值被改,那毛豆的D+功能就废了
某某猫
发表于 2008-6-17 15:33:33 | 显示全部楼层
这个保护还是很有必要的,毕竟HOOK被恢复了,D+的保护也就挂了
fatelinegod
发表于 2008-6-17 15:36:30 | 显示全部楼层
   非常有必要  默认规则为蓝本的同学要多看看哦  楼主辛苦
Imnopuo
发表于 2008-6-17 16:05:57 | 显示全部楼层
最好的防护和自我保护还是完全内核化~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-20 15:35 , Processed in 0.098020 second(s), 22 queries .

快速回复 返回顶部 返回列表