一个小小的问题`~关于日志``

fl_colin

毛豆的日志是以什么为规则啊``为什么我在运行软件的时候允许的东西，在日志里都没有啊`~？


他的日志到底是记录什么的啊`~？

slm513

记录的是违反规则的事件

fl_colin

原帖由 slm513 于 2008-7-7 22:53 发表
记录的是违反规则的事件

你的意思是说如果他显示“access memory”，指的就是没有访问成功？

malcye

看图说话

fl_colin

原帖由 malcye 于 2008-7-7 23:12 发表
305399看图说话

是啊`~这个是不是指的就是maxthon访问memory？

我想问的就是，它是表示访问成功了还是没有成功啊`？

huai168an

日志记录是对应规则动作的阻止操作，没有显示allow动作日志的

Mr.Z

原帖由 huai168an 于 2008-7-7 23:40 发表
日志记录是对应规则动作的阻止操作，没有显示allow动作日志的

Comodo是會顯示allow的
當該檔案/路徑是在My protected xxxx之下，而在某exe的規則中設置允許存取時，當該程式進行相關動作，log也會顯示出來

例子:

於My protected files中，自設UserProfile Allow中群組，內含?:\Documents and Settings\*\Favorites\*.url這條規則


然後對IE的執行檔自設規則，於Protected Files/Folders中allow "UserProfiles Allow"



開啟ie，隨便把一網頁加入我的最愛時，便會出現

2008/7/8 上午 12:10:23

C:\Program Files\Internet Explorer\iexplore.exe

Modify File

C:\Documents and Settings\?\Favorites\Yahoo!字典 - 主頁.url:favicon

這樣的紀錄
提示IE修改我的最愛的檔案
不過，不足的是，看起來和Block的紀錄形式沒有分別，會令人誤會是Block了呢

[ 本帖最后由 Mr.Z 于 2008-7-8 00:37 编辑 ]

huai168an

“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发一个D+事件。（例如，一个特别的程序试图访问另一个程序的内存空间，修改保护的文件或者注册表键等）。

可能我说的有点过。不过还是值得探讨的。以前我也碰到过楼上兄弟的情况，那时不知道，现在看来，是修改了保护文件。但是我这里是对允许的内容不记录日志，对阻止的行为是记录日志的，无论是modify file或者modify XX，你可以试试将你保护的那个组放入IE对应的block中去然后看看日志，然后试试将对应规则设置为allow（不用将那个文件组放入allowed中）在试试看。

对于IE的提示，应该是修改了对应的*.url为*.url:favicon,触发了保护文件内容，而此时你阻止了这个修改动作，规则中没有对应的允许内容，就会有那个日志记录，你允许了应该不会有这样的日志的。如果你允许了并选择记忆应该会有一个新的规则：C:\Documents and Settings\?\Favorites\Yahoo!字典 - 主頁.url:favicon 等还有很多。

我以前也提过这个问题的http://bbs.kafan.cn/viewthread.php?tid=234120&highlight=

另外我发现 modify file与block file日志的区别（其它的modify XX与block XX应该也是这样），就是modify file阻止的是对保护文件的修改，而block file是对隔离文件的访问修改阻止（block hook等是自身保护的一种记录日志事件），总体来说这两种日志的记录还是阻止的事件（其它类型的事件也应该是阻止相关动作的事件），你说的那种情况不是允许的事件，是阻止的事件。

[ 本帖最后由 huai168an 于 2008-7-8 12:45 编辑 ]

tianyuann520

路过  买菜的

Mr.Z

原帖由 huai168an 于 2008-7-8 01:19 发表
“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发一个D+事件。（例如，一个特别的程序试图访问另一个程序的内存空间，修改保护的文件或者注册表键等）。

可能我说 ...

非也
因為我查看我的最愛欄位
yahoo字典已被加入了
你可以試試相同的動作看看

ps:你的新帖子不錯，大夥一起研究吧，不過Comodo這樣的確做得不夠清楚明白

[ 本帖最后由 Mr.Z 于 2008-7-8 17:09 编辑 ]