normal下不能监控dll的运行？

jony327

最近在files to check 中加入了所有dll的监控，发现当image execution control level设为normal时对dll的运行并没有监控，当设为aggressive时则会报警，例如在桌面点击右键，normal时菜单会正常打开，aggressive时才会报警“explorer is trying to execute nview.dll”。。。  这应该和是否监控调入缓存无关吧[:1:]

某某猫

打开这个提示未免太多了吧
建议关闭

huai168an

引用U版的话“在每一个可执行文件被载入内存前给予验证、提示。

程序平时是以文件形式保存在硬盘，在运行时载入内存。我们一般把可执行文件叫做程序的映像(image) 。
一个进程是一个正运行的应用程序的实例；
进程是进程映像(Process Image)的执行过程，也就是正在执行的进程实体。

Image Execution 是对可执行文件载入内存进行控制，会影响Policy里的Run an executable”

什么意思呢？就是如果选了Aggressive，即使你的可执行文件在策略中已经允许运行了，但是comodo还是会报警提示。在可执行文件尝试加载入内存或缓存时会被comodo拦截。


normal就是在可执行文件尝试加载入内存会被comodo拦截，但加载入缓存是不会拦截的，这是comodo的默认设置，建议不要改动。

以上节选局长的“和我一起磕毛豆吧！---ComodoV3安装使用一条龙介绍及讲解”地址为：http://bbs.kafan.cn/viewthread.php?tid=159663  2楼靠下

jony327

谢谢回复，经过验证，aggressive下规则是有效的，有规则允许comodo不会再报警，起码现在版本是这样的，这点置顶贴恐怕要修正一下。。。当然加了dll后会很烦，我只是试一下。现在的问题是为何aggressive下可以拦截dll的运行，而normal下则不行？按照comodo自己的描述，aggressive只是多一个调入缓存前拦截而已，不应该导致上述的区别，有些令人不解。。。

希望大家就自己的经验，认识，问题多发帖交流讨论，互相学习提高，把comodo用好用精！

huai168an

试了一下aggressive模式，程序规则权限设置允许对应动作时确实是自身规则优先执行，无视Image Execution中的规则。

缓存是指可以进行高速数据交换的存储器，它先于内存与CPU交换数据，因此速度很快
什么是内存呢？在计算机的组成结构中，有一个很重要的部分，就是存储器。存储器是用来存储程序和数据的部件，对于计算机来说，有了存储器，才有记忆功能，才能保证正常工作。存储器的种类很多，按其用途可分为主存储器和辅助存储器，主存储器又称内存储器（简称内存）

内存与缓存就有区别，aggressive与normal的模式就是差了一个缓存监控，反推，在调用那些DLL时是缓存操作，aggressive拦截，normal模式无缓存拦截，所以就有了区别

附：动态链接库（Dynamic Link Library，缩写为DLL）是一个可以被其它应用程序共享的程序模块，其中封装了一些可以被共享的例程和资源。
提示调用的那些DLL应该被放在缓存中来快速的被其它应用程序调用或共享，放在内存中的话。。。。

[ 本帖最后由 huai168an 于 2008-6-21 07:59 编辑 ]

TTANDSS

那要通知U版把打磨贴修改一下了！！！

Devy

应该说随着COMODO新版的不断发布，教程中可能会有一些内容逐渐过时，不再适应新版。看来U版任务艰巨啊，哈哈！

huai168an

U版半年不露面了，出国了

jony327

应该是大部分或所有的dll直接调入缓存，也包括其他的一些可执行文件如sys等，因此要监控这些部分，必须相应地选择aggresive模式，comodo在这部分的设计是完全正常和合理的。现在应该对windows使用缓存和内存的策略进一步明确，是否就是按可执行文件的种类划分的，如exe,bat等调入内存，而dll,sys等调入缓存，如果是这样（似乎如此！）则很简单，监控前者选normal，同时监控后者等选aggressive模式，否则的话就有点麻烦了。。。

huai168an

这个你可以向官方反应啊