分析自己的D+日志

显示全部楼层 · 发表于 2008-7-8 06:39:03

本帖最后由 mxf147 于 2011-5-31 12:38 编辑

comodo的D+日志系统相信很多人都会用，但是还有些Fans对日志理解还不是太强，还对日志系统运用的不
熟或者惧怕出错而不看日志。因为Fans提出的相关问题也给我一个提示，如何来让Fans利用日志更快的定
位程序异常情况，从而有效的使程序正常运作。这就是今天我要说的地方。此次说明为大体说明，很多不
同类型的日志事件行为在这也无法一一说明，给的是个方向、方法。comodo还是要通过自己的学习来加深
理解。
我们先来看下自带帮助文件中关于D+日志的一段说明：

The 'Defense+ Events' area contains logs of all actions taken by Defense+. A 'Defense+
Event' is triggered whenever an applications behavior contravenes your Computer Security
Policy. (For example, if a particular application makes an attempt to access another
application's memory space, modify protected files or the registry etc).

“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发
一个D+事件。（例如，一个特别的程序试图访问另一个程序的内存空间，修改保护的文件或者注册表键等
）。
其实帮助文件说的清楚了，D+记录的是违背安全规则的事件，是程序规则中非允许的相关事件。
看下日志图

下面主要将的是对“action”（行为）做较为详细的讨论

先看下各个action大体对应的规则项（注意：给出具体项不代表日志中的action，只是给出对应关系，不
要误解）
上一图为日志事件
下一图为对应规则项

还有几项就不列出了，注意直接键盘访问、直接截屏访问、直接鼠标访问等重要的行为，见到这些要格外小心。
对于一些“action”你会发现它不变化，而有些，看很相似如

这两种“action”有什么区别？
我们来做个简单的试验
在D盘根目录下有个aa.doc文件，保护它（添加到“我保护的文件”中）

用一个TXT文件来删除它，得到一个日志记录

此时可以看出“action”为“modify file”

换个方法，将aa.doc放入“我隔离的文件”中去，然后用同样的方法来删除它并得一个日志

删除失败得到一个日志记录

这时“action”为“block file”
这两个试验的效果是一样的，只是日志事件的行为不同，是不是有所启发呢！

一个试验不放心，再来个小试验
手动删除bb.doc文件，看下图

日志记录为“modify file”

再将bb.doc放入隔离文件中看看情况

删除看日志

好了，这是程序对文件的访问权限的设置不同导致日志事件的“action”也不同。就字面意思来说，一个是“修改文件”一个是“阻止文件”。可以看出“modify file”阻止事件是通过保护文件的方式来实现的，是程序对保护文件进行相关权限的操作时产生的。而“block file”说明是程序对隔离文件操作时产生的日志事件。虽然这两种方式可以表达出同一结果（如上面的例子，都无法删除相关文件），但是根据它们的行为进行区分，这样可以更快的来找出程序异常的原因。
下面附几张恶意软件清理工具所生成的日志。以下就列出3款工具：360安全卫士、金山清理专家、windows清理助手。comodo中有相应的黑名单（可以查看局长的“毛豆通缉令---FD黑名单”http://bbs.kafan.cn/viewthread.php?tid=274493&extra=page%3D1）并且有自己的系统隔离文件
360（扫描引擎是360自带的，没用用安天的引擎）

金山清理专家

windows清理助手

对于一些安软或杀软生成的日志分析，大家还是自行把握，它们的差异性很大。本人不做评论，图片中的只是相关说明。

好了，就这么多了，希望Fans可以自己来分析自己的日志，这样上手comodo就更加快捷。如果没有涉及到的日志类型，大家自己去查看。当然大家也可以跟帖，说下其它类型的日志事件，如hook事件有block hook ，install hook。以上内容如有错误请达人指出，谢谢。

[ 本帖最后由 huai168an 于 2008-7-8 21:31 编辑 ]

显示全部楼层 · 发表于 2008-7-8 06:50:24

很不错的帖子，学习了

显示全部楼层 · 发表于 2008-7-8 08:05:18

又是好文

新手提问必看呀

显示全部楼层 · 发表于 2008-7-8 08:35:15

一大早就看天书。。。。。。。。。。

显示全部楼层 · 发表于 2008-7-8 11:08:03

保护的文件可以被读取,禁止被创建,修改,删除
隔离的文件,禁止被读取,创建,修改,删除,包括读取属性

显示全部楼层 · 发表于 2008-7-8 11:12:43

comodo的日志确实需要改进。

显示全部楼层 · 发表于 2008-7-8 11:34:45

另外还有一个hook动作是 install hook

显示全部楼层 · 发表于 2008-7-8 11:37:12

另外还有一个hook动作是 install hook

显示全部楼层 · 发表于 2008-7-8 13:20:18

学点东西。。。。。。。。

显示全部楼层 · 发表于 2008-7-19 23:36:26

偶也是同感。。

原帖由 wellkobe 于 2008-7-8 08:35 发表
一大早就看天书。。。。。。。。。。

[讨论] 分析自己的D+日志

本帖子中包含更多资源

评分