关于All Applications组规则及优先级是从上至下的探讨

huai168an

看了“关于V3 DEFENSE+的规则优先级方面的一点心得”一文有感。对All Applications的优先级感兴趣了，并对整个安全策略中的优先级是从上至下排列做了一小实验，看看这个“优先级是从上至下”是如何理解的。
All Applications设置为ask而且其中无内容
先做个迅雷的例子：
迅雷中的thunder.exe的职责就是调用thunder5.exe
运行explorer.exe调用thunder.exe，允许thunder.exe调用thunder5.exe，这里的run an executable都为ask
运行迅雷，注意桌面上的迅雷标志是thunder.exe


下面的all applications顺序可以随便放


结果是什么？迅雷运行中无相关提示，有对文件读取的提示，这里暂时不讨论这个。
这个例子与“关于V3 DEFENSE+的规则优先级方面的一点心得”的第一个例子是不是很相似啊，无论All Applications放哪都不会有提示。可是这就可以说明All Applications的优先级最低？也有人说跟帖说了：“确定的规则优先于不确定的规则，ask属于不确定的规则，allow和block是确定的规则。”不错的总结。
继续做个小实验
explorer.exe中的protected files/folders设置为ask，不过这个加入允许*.txt
同样All Applications相关设置为ask，这里阻止新建*.txt




现将All Applications放在explorer.exe的上面，结果是无法新建（相关盘符在保护中）
两个颠倒一下，结果是可以新建。
好了，这里可以明显的看出优先级是从上至下排列，但是如何理解“优先级是从上至下排列”。个人理解为：优先级就是All Applications与其它程序规则的优先级，优先级并不等于优先执行权，从上至下排列就是All Applications与其它程序规则的排列顺序。至于在上面的规则谁的权限大，就忽略了在下的权限，也就是All Applications的优先级还要看它自身的权限大小。这样看来“关于V3 DEFENSE+的规则优先级方面的一点心得”中的第一个例子与迅雷的例子也很好解释：因为All Applications的ask权限本来就比其它程序的allow或block的权限小（其它程序都已经有相关的allow或block，例如explorer.exe允许了notepad.exe运行。我们假设All Applications在最上，双击notepad.exe，此时explorer.exe要调用notepad.exe了，它要去和All Applications的权限做对比，发现All Applications为ask，而自己allow notepad.exe，此时，可以说All Applications的优先级没有吗？应该说它没有优先执行权。继续，notepad.exe启动后要访问ctfmon.exe的内存，这时又要与All Applications权限做对比，发现All Applications对应权限为ask，而自己的权限是allow，呵呵，直接访问ctfmon.exe的内存无提示。因为All Applications在上，它有优先级，可是它的权限告诉它，它没有执行权），所以无论All Applications放在哪里都是可以被忽略的。
所以优先级不等于优先执行，这里的优先级是程序与All Applications规则的对比，在上为优先，下为辅助。而且两个单独程序之间的联系也不需要上下排列。
说的有点乱了，总结下：优先级是具体程序与All Applications的位置，谁在上谁优先，而优先执行权是具体程序与All Applications的各自权限谁大执行谁，自上而下就是具体程序与All Applications的上下。所以程序与程序之间是没有上下的，它们之间更注重自左向右的规则与自身保护规则，主要是看All Applications的权限和位置。我们可以就迅雷那个例子删除All Applications试试，依然可以运行thunder5.exe，如果之前不考虑All Applications，不考虑它的allow、block权限，就是把它删除，那“优先级是从上至下排列”还成立么？
一个完全没权限的all applications你可以删除它，不设置它，它的用处为零
优先级为上（其实优先级就是all applications与程序的优先级），不论all applications是否有权限（只要all applications与程序的位置有差异，就有优先级），而执行权不一定在上（all applications没权限，在上也没用，但它有优先级）。

这个也是我对notepad.exe与迅雷例子的所谓“优先级自上而下，这个特殊”的回答。不特殊。特殊的是优先执行权。

假设从一开始就没有all applications组规则，“优先级自上而下”根本不成立，上面的例子就推翻了。所以说：优先级
就是all applications与程序的优先级，谁在上谁优先。

优先级是优先对比级，优先执行级是优先自己的规则级。

如何理解“优先级”“优先执行级”大家自己把握吧。

那为啥要有All Applications这个组规则呢？它可以帮助我们制定较为严格的规则，即使允许了某些病毒的运行，而All Applications制定了非常严格的规则，那么该病毒的行为将被限制。对于All Applications要放在最下面的原因可能是为了程序与系统的运行流畅，还有其它的原因就不知道了（这个是个人猜想，可能有误）。
好了，就说这么多了，以上是对“All Applications组规则及优先级是从上至下”观点的个人愚见，有些可能是猜想或错误，如果有不正确大家可以指出来，谢谢。

[ 本帖最后由 huai168an 于 2008-6-22 10:32 编辑 ]

huai168an

头又大了 睡觉先

伯夷叔齐

个人的一点看法：all applications真正的作用就是代表“所有”程序必须遵循的全局规则。

比如我们要保护小红伞不被任何程序删除————COMMON TASKS里的MY PROTECTED FILES里进行添加红伞文件夹组————再在all applications的protected files/folders里去添加规则，让“所有”程序都阻止————除了如EXPLORER.EXE这样protected files/folders为“允许”的清晰规则的程序 以及 例外添加了允许修改红伞保护组的的程序，其他protected files/folders为ASK规则 且 例外允许里没有添加红伞组的程序 都不可能在红伞被保护组里添加，修改和删除文件，清晰规则优先于模糊规则的作用就在这个时候体现出来，这就是all applications存在的必要性。否则，为了一个小红伞的“全局”保护，我们将在每个D+程序规则里添加相关阻止项。这里就体现了它最大的优势。

那么为什么我们要把all applications放在所有程序之下呢？————如果放在任何地方，比如放在了红伞程序的D+之上，那么就好玩了————因为允许操作红伞文件夹保护组的红伞D+程序的正常命令得不到执行，针对红伞被保护文件夹组，都是清晰规则的前提下，all applications根本不可能让红伞程序D+正常工作。当然，还有更多用户自己设置的保护组以及程序D+规则，为了避免这些困扰，all applications放在D+最下面，是必须的。

当然，除了对文件夹/文件的保护，比如还有“直接访问底层磁盘”、“安装驱动”、“直接访问物理内存”等，我们都可以让非例外的“所有”程序遵循全局规则这一原则。其实D+的全局规则和防火墙部分全局规则道理都一样。有时候我甚至在想，等把电脑所有程序和功能都执行完后，直接在全局规则里来一个大关门(除了添加修改删除文件夹项)，就让那些例外允许和特权阶级的清晰规则去蹦达。。呵呵。。只不过程序和系统功能项里要运行的东西的量 远比网络要大得多。

[ 本帖最后由 伯夷叔齐 于 2008-6-20 06:11 编辑 ]

夏春秋

all applciations放在最下面，视设置的不同，可以用来出提示，也可以直接阻止

某某猫

看来SunX兄理解得很透彻了

优先级是具体程序与All Applications的位置，谁在上谁优先，而优先执行权是具体程序与All Applications的各自权限谁大执行谁，自上而下就是具体程序与All Applications的上下。所以程序与程序之间是没有上下的，它们之间更注重自左向右的规则与自身保护规则，主要是看All Applications的权限和位置。

具体的程序规则的确是部分上下顺序的，如此有一个优点，不必再考虑规则的顺序，编写规则也就不会被排序搞得很头大，我以前用LNS就为规则的上下匹配研究了很长时间。all applications是全部程序都必须遵循的规则，就如帖子里所说的，all applications权限最低，COMODO优先匹配程序规则。

huai168an

呵呵，在那个帖子中all applications权限最低是最低，可是不可以说明优先级是从上至下排列的特殊情况。“all applications权限最低，COMODO优先匹配程序规则。”all applications在上依然遵守all applications的优先级，只是没有执行权而COMODO优先匹配程序规则。

491866227

All application应该和一般的程序规则一样平等吧。
楼主想说明什么呢？

huai168an

呵呵，不平等。当All application权限都为ask，无内容，All application就是个摆设。All application设置好规则后，各个程序的优先级是从上至下排列就是All application与个体程序规则的优先级和各个程序之间的规则优先级，单个程序的规则总是要与All application规则做对比的，这就说明了All application与其它程序规则的不平等了。

伯夷叔齐兄这个具体例子的理解是对的，当All application的规则形成后，必定要看All application的位置与其它程序规则的ask无内容的情况，来很好的限制个体程序的权限，放在最下是为了执行D+规则的逻辑性，当然这个All application规则必须是有了具体的allow或block

[ 本帖最后由 huai168an 于 2008-6-20 11:31 编辑 ]

491866227

好像是这样。
有点“智能hips” 的味道，个人不喜欢这样。
感觉反而给使用者带来了不便。(当然仅仅是指规则）

就总体来说，All application应该是comodo设计实现的重要支点。
作为使用者。规则执行顺序真的应该好好想想。
不知道官方有没有提供更详细的东西。

楼主说的很有道理。
我再去看看打磨吧。

[ 本帖最后由 491866227 于 2008-6-20 11:49 编辑 ]

hidalgo_hxq

楼主说的很有道理