查看: 14840|回复: 15
收起左侧

[讨论] 分析自己的D+日志

[复制链接]
huai168an
发表于 2008-7-8 06:39:03 | 显示全部楼层 |阅读模式
本帖最后由 mxf147 于 2011-5-31 12:38 编辑

comodo的D+日志系统相信很多人都会用,但是还有些Fans对日志理解还不是太强,还对日志系统运用的不
熟或者惧怕出错而不看日志。因为Fans提出的相关问题也给我一个提示,如何来让Fans利用日志更快的定
位程序异常情况,从而有效的使程序正常运作。这就是今天我要说的地方。此次说明为大体说明,很多不
同类型的日志事件行为在这也无法一一说明,给的是个方向、方法。comodo还是要通过自己的学习来加深
理解。
我们先来看下自带帮助文件中关于D+日志的一段说明:
The 'Defense+ Events' area contains logs of all actions taken by Defense+. A 'Defense+
Event' is triggered whenever an applications behavior contravenes your Computer Security
Policy. (For example, if a particular application makes an attempt to access another
application's memory space, modify protected files or the registry etc).

“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发
一个D+事件。(例如,一个特别的程序试图访问另一个程序的内存空间,修改保护的文件或者注册表键等
)。
其实帮助文件说的清楚了,D+记录的是违背安全规则的事件,是程序规则中非允许的相关事件。
看下日志图

下面主要将的是对“action”(行为)做较为详细的讨论

先看下各个action大体对应的规则项(注意:给出具体项不代表日志中的action,只是给出对应关系,不
要误解)
上一图为日志事件
下一图为对应规则项








































还有几项就不列出了,注意直接键盘访问、直接截屏访问、直接鼠标访问等重要的行为,见到这些要格外小心。
对于一些“action”你会发现它不变化,而有些,看很相似如

这两种“action”有什么区别?
我们来做个简单的试验
在D盘根目录下有个aa.doc文件,保护它(添加到“我保护的文件”中)

用一个TXT文件来删除它,得到一个日志记录


此时可以看出“action”为“modify file”

换个方法,将aa.doc放入“我隔离的文件”中去,然后用同样的方法来删除它并得一个日志

删除失败得到一个日志记录

这时“action”为“block file”
这两个试验的效果是一样的,只是日志事件的行为不同,是不是有所启发呢!

一个试验不放心,再来个小试验
手动删除bb.doc文件,看下图





日志记录为“modify file”

再将bb.doc放入隔离文件中看看情况

删除看日志

好了,这是程序对文件的访问权限的设置不同导致日志事件的“action”也不同。就字面意思来说,一个是“修改文件”一个是“阻止文件”。可以看出“modify file”阻止事件是通过保护文件的方式来实现的,是程序对保护文件进行相关权限的操作时产生的。而“block file”说明是程序对隔离文件操作时产生的日志事件。虽然这两种方式可以表达出同一结果(如上面的例子,都无法删除相关文件),但是根据它们的行为进行区分,这样可以更快的来找出程序异常的原因。
下面附几张恶意软件清理工具所生成的日志。以下就列出3款工具:360安全卫士、金山清理专家、windows清理助手。comodo中有相应的黑名单(可以查看局长的“毛豆通缉令---FD黑名单”http://bbs.kafan.cn/viewthread.php?tid=274493&extra=page%3D1)并且有自己的系统隔离文件
360(扫描引擎是360自带的,没用用安天的引擎)

金山清理专家

windows清理助手

对于一些安软或杀软生成的日志分析,大家还是自行把握,它们的差异性很大。本人不做评论,图片中的只是相关说明。


好了,就这么多了,希望Fans可以自己来分析自己的日志,这样上手comodo就更加快捷。如果没有涉及到的日志类型,大家自己去查看。当然大家也可以跟帖,说下其它类型的日志事件,如hook事件有block hook ,install hook。以上内容如有错误请达人指出,谢谢。

[ 本帖最后由 huai168an 于 2008-7-8 21:31 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1魅力 +1 收起 理由
某某猫 + 1 好帖子一定要加分:D

查看全部评分

5812170
头像被屏蔽
发表于 2008-7-8 06:50:24 | 显示全部楼层
很不错的帖子,学习了
某某猫
发表于 2008-7-8 08:05:18 | 显示全部楼层
又是好文
新手提问必看呀
wellkobe
发表于 2008-7-8 08:35:15 | 显示全部楼层
一大早就看天书。。。。。。。。。。
iszeds
发表于 2008-7-8 11:08:03 | 显示全部楼层
保护的文件 可以被读取,禁止被创建,修改,删除
隔离的文件,禁止被读取,创建,修改,删除,包括读取属性
491866227
发表于 2008-7-8 11:12:43 | 显示全部楼层
comodo的日志确实需要改进。
iszeds
发表于 2008-7-8 11:34:45 | 显示全部楼层
另外还有一个hook动作是 install hook
iszeds
发表于 2008-7-8 11:37:12 | 显示全部楼层
另外还有一个hook动作是 install hook
缘尽于此
发表于 2008-7-8 13:20:18 | 显示全部楼层
学点东西。。。。。。。。
wangyu1006
发表于 2008-7-19 23:36:26 | 显示全部楼层
偶也是同感。。
原帖由 wellkobe 于 2008-7-8 08:35 发表
一大早就看天书。。。。。。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 14:21 , Processed in 0.143238 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表