查看: 4887|回复: 24
收起左侧

关于All Applications组规则及优先级是从上至下的探讨

[复制链接]
huai168an
发表于 2008-6-20 03:12:15 | 显示全部楼层 |阅读模式
看了“关于V3 DEFENSE+的规则优先级方面的一点心得”一文有感。对All Applications的优先级感兴趣了,并对整个安全策略中的优先级是从上至下排列做了一小实验,看看这个“优先级是从上至下”是如何理解的。
All Applications设置为ask而且其中无内容
先做个迅雷的例子:
迅雷中的thunder.exe的职责就是调用thunder5.exe
运行explorer.exe调用thunder.exe,允许thunder.exe调用thunder5.exe,这里的run an executable都为ask
运行迅雷,注意桌面上的迅雷标志是thunder.exe


下面的all applications顺序可以随便放


结果是什么?迅雷运行中无相关提示,有对文件读取的提示,这里暂时不讨论这个。
这个例子与“关于V3 DEFENSE+的规则优先级方面的一点心得”的第一个例子是不是很相似啊,无论All Applications放哪都不会有提示。可是这就可以说明All Applications的优先级最低?也有人说跟帖说了:“确定的规则优先于不确定的规则,ask属于不确定的规则,allow和block是确定的规则。”不错的总结。
继续做个小实验
explorer.exe中的protected files/folders设置为ask,不过这个加入允许*.txt
同样All Applications相关设置为ask,这里阻止新建*.txt




现将All Applications放在explorer.exe的上面,结果是无法新建(相关盘符在保护中)
两个颠倒一下,结果是可以新建。
好了,这里可以明显的看出优先级是从上至下排列,但是如何理解“优先级是从上至下排列”。个人理解为:优先级就是All Applications与其它程序规则的优先级,优先级并不等于优先执行权,从上至下排列就是All Applications与其它程序规则的排列顺序。至于在上面的规则谁的权限大,就忽略了在下的权限,也就是All Applications的优先级还要看它自身的权限大小。这样看来“关于V3 DEFENSE+的规则优先级方面的一点心得”中的第一个例子与迅雷的例子也很好解释:因为All Applications的ask权限本来就比其它程序的allow或block的权限小(其它程序都已经有相关的allow或block,例如explorer.exe允许了notepad.exe运行。我们假设All Applications在最上,双击notepad.exe,此时explorer.exe要调用notepad.exe了,它要去和All Applications的权限做对比,发现All Applications为ask,而自己allow notepad.exe,此时,可以说All Applications的优先级没有吗?应该说它没有优先执行权。继续,notepad.exe启动后要访问ctfmon.exe的内存,这时又要与All Applications权限做对比,发现All Applications对应权限为ask,而自己的权限是allow,呵呵,直接访问ctfmon.exe的内存无提示。因为All Applications在上,它有优先级,可是它的权限告诉它,它没有执行权),所以无论All Applications放在哪里都是可以被忽略的。
所以优先级不等于优先执行,这里的优先级是程序与All Applications规则的对比,在上为优先,下为辅助。而且两个单独程序之间的联系也不需要上下排列。
说的有点乱了,总结下:优先级是具体程序与All Applications的位置,谁在上谁优先,而优先执行权是具体程序与All Applications的各自权限谁大执行谁,自上而下就是具体程序与All Applications的上下。所以程序与程序之间是没有上下的,它们之间更注重自左向右的规则与自身保护规则,主要是看All Applications的权限和位置。我们可以就迅雷那个例子删除All Applications试试,依然可以运行thunder5.exe,如果之前不考虑All Applications,不考虑它的allow、block权限,就是把它删除,那“优先级是从上至下排列”还成立么?
一个完全没权限的all applications你可以删除它,不设置它,它的用处为零
优先级为上(其实优先级就是all applications与程序的优先级),不论all applications是否有权限(只要all applications与程序的位置有差异,就有优先级),而执行权不一定在上(all applications没权限,在上也没用,但它有优先级)。

这个也是我对notepad.exe与迅雷例子的所谓“优先级自上而下,这个特殊”的回答。不特殊。特殊的是优先执行权。

假设从一开始就没有all applications组规则,“优先级自上而下”根本不成立,上面的例子就推翻了。所以说:优先级
就是all applications与程序的优先级,谁在上谁优先。


优先级是优先对比级,优先执行级是优先自己的规则级。

如何理解“优先级”“优先执行级”大家自己把握吧。

那为啥要有All Applications这个组规则呢?它可以帮助我们制定较为严格的规则,即使允许了某些病毒的运行,而All Applications制定了非常严格的规则,那么该病毒的行为将被限制。对于All Applications要放在最下面的原因可能是为了程序与系统的运行流畅,还有其它的原因就不知道了(这个是个人猜想,可能有误)。
好了,就说这么多了,以上是对“All Applications组规则及优先级是从上至下”观点的个人愚见,有些可能是猜想或错误,如果有不正确大家可以指出来,谢谢。

[ 本帖最后由 huai168an 于 2008-6-22 10:32 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huai168an
 楼主| 发表于 2008-6-20 03:19:07 | 显示全部楼层
头又大了 睡觉先
伯夷叔齐
发表于 2008-6-20 05:23:30 | 显示全部楼层
个人的一点看法:all applications真正的作用就是代表“所有”程序必须遵循的全局规则。

比如我们要保护小红伞不被任何程序删除————COMMON TASKS里的MY PROTECTED FILES里进行添加红伞文件夹组————再在all applications的protected files/folders里去添加规则,让“所有”程序都阻止————除了如EXPLORER.EXE这样protected files/folders为“允许”的清晰规则的程序 以及 例外添加了允许修改红伞保护组的的程序,其他protected files/folders为ASK规则 且 例外允许里没有添加红伞组的程序 都不可能在红伞被保护组里添加,修改和删除文件,清晰规则优先于模糊规则的作用就在这个时候体现出来,这就是all applications存在的必要性。否则,为了一个小红伞的“全局”保护,我们将在每个D+程序规则里添加相关阻止项。这里就体现了它最大的优势。

那么为什么我们要把all applications放在所有程序之下呢?————如果放在任何地方,比如放在了红伞程序的D+之上,那么就好玩了————因为允许操作红伞文件夹保护组的红伞D+程序的正常命令得不到执行,针对红伞被保护文件夹组,都是清晰规则的前提下,all applications根本不可能让红伞程序D+正常工作。当然,还有更多用户自己设置的保护组以及程序D+规则,为了避免这些困扰,all applications放在D+最下面,是必须的。

当然,除了对文件夹/文件的保护,比如还有“直接访问底层磁盘”、“安装驱动”、“直接访问物理内存”等,我们都可以让非例外的“所有”程序遵循全局规则这一原则。其实D+的全局规则和防火墙部分全局规则道理都一样。有时候我甚至在想,等把电脑所有程序和功能都执行完后,直接在全局规则里来一个大关门(除了添加修改删除文件夹项),就让那些例外允许和特权阶级的清晰规则去蹦达。。呵呵。。只不过程序和系统功能项里要运行的东西的量 远比网络要大得多。

[ 本帖最后由 伯夷叔齐 于 2008-6-20 06:11 编辑 ]
夏春秋
发表于 2008-6-20 07:45:12 | 显示全部楼层
all applciations放在最下面,视设置的不同,可以用来出提示,也可以直接阻止
某某猫
发表于 2008-6-20 10:16:07 | 显示全部楼层
看来SunX兄理解得很透彻了
优先级是具体程序与All Applications的位置,谁在上谁优先,而优先执行权是具体程序与All Applications的各自权限谁大执行谁,自上而下就是具体程序与All Applications的上下。所以程序与程序之间是没有上下的,它们之间更注重自左向右的规则与自身保护规则,主要是看All Applications的权限和位置。


具体的程序规则的确是部分上下顺序的,如此有一个优点,不必再考虑规则的顺序,编写规则也就不会被排序搞得很头大,我以前用LNS就为规则的上下匹配研究了很长时间。all applications是全部程序都必须遵循的规则,就如帖子里所说的,all applications权限最低,COMODO优先匹配程序规则。
huai168an
 楼主| 发表于 2008-6-20 10:27:16 | 显示全部楼层
呵呵,在那个帖子中all applications权限最低是最低,可是不可以说明优先级是从上至下排列的特殊情况。“all applications权限最低,COMODO优先匹配程序规则。”all applications在上依然遵守all applications的优先级,只是没有执行权而COMODO优先匹配程序规则。
491866227
发表于 2008-6-20 10:46:03 | 显示全部楼层
All application应该和一般的程序规则一样平等吧。
楼主想说明什么呢?
huai168an
 楼主| 发表于 2008-6-20 11:06:17 | 显示全部楼层

回复 7楼 491866227 的帖子

呵呵,不平等。当All application权限都为ask,无内容,All application就是个摆设。All application设置好规则后,各个程序的优先级是从上至下排列就是All application与个体程序规则的优先级和各个程序之间的规则优先级,单个程序的规则总是要与All application规则做对比的,这就说明了All application与其它程序规则的不平等了。

伯夷叔齐兄这个具体例子的理解是对的,当All application的规则形成后,必定要看All application的位置与其它程序规则的ask无内容的情况,来很好的限制个体程序的权限,放在最下是为了执行D+规则的逻辑性,当然这个All application规则必须是有了具体的allow或block

[ 本帖最后由 huai168an 于 2008-6-20 11:31 编辑 ]
491866227
发表于 2008-6-20 11:24:31 | 显示全部楼层

回复 8楼 huai168an 的帖子

好像是这样。
有点“智能hips” 的味道,个人不喜欢这样。
感觉反而给使用者带来了不便。(当然仅仅是指规则)

就总体来说,All application应该是comodo设计实现的重要支点。
作为使用者。规则执行顺序真的应该好好想想。
不知道官方有没有提供更详细的东西。

楼主说的很有道理。
我再去看看打磨吧。

[ 本帖最后由 491866227 于 2008-6-20 11:49 编辑 ]
hidalgo_hxq
发表于 2008-6-20 12:04:01 | 显示全部楼层
楼主说的很有道理
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 06:41 , Processed in 0.123310 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表