搜索
查看: 14365|回复: 15
收起左侧

[讨论] 分析自己的D+日志

[复制链接]
huai168an
发表于 2008-7-8 06:39:03 | 显示全部楼层 |阅读模式
本帖最后由 mxf147 于 2011-5-31 12:38 编辑

comodo的D+日志系统相信很多人都会用,但是还有些Fans对日志理解还不是太强,还对日志系统运用的不
熟或者惧怕出错而不看日志。因为Fans提出的相关问题也给我一个提示,如何来让Fans利用日志更快的定
位程序异常情况,从而有效的使程序正常运作。这就是今天我要说的地方。此次说明为大体说明,很多不
同类型的日志事件行为在这也无法一一说明,给的是个方向、方法。comodo还是要通过自己的学习来加深
理解。
我们先来看下自带帮助文件中关于D+日志的一段说明:
The 'Defense+ Events' area contains logs of all actions taken by Defense+. A 'Defense+
Event' is triggered whenever an applications behavior contravenes your Computer Security
Policy. (For example, if a particular application makes an attempt to access another
application's memory space, modify protected files or the registry etc).

“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发
一个D+事件。(例如,一个特别的程序试图访问另一个程序的内存空间,修改保护的文件或者注册表键等
)。
其实帮助文件说的清楚了,D+记录的是违背安全规则的事件,是程序规则中非允许的相关事件。
看下日志图
0.jpg
下面主要将的是对“action”(行为)做较为详细的讨论
1.jpg
先看下各个action大体对应的规则项(注意:给出具体项不代表日志中的action,只是给出对应关系,不
要误解)
上一图为日志事件
下一图为对应规则项
33.jpg
34.jpg


7.jpg
7.1.jpg


6.jpg
6.1.jpg


5.jpg
5.1.jpg


4.jpg
4.1.jpg


3.jpg
3.1.jpg



2.jpg
2.1.jpg


8.jpg
8.1.jpg


9.jpg
10.jpg


11.jpg
12.jpg

还有几项就不列出了,注意直接键盘访问、直接截屏访问、直接鼠标访问等重要的行为,见到这些要格外小心。
对于一些“action”你会发现它不变化,而有些,看很相似如
9.jpg
这两种“action”有什么区别?
我们来做个简单的试验
在D盘根目录下有个aa.doc文件,保护它(添加到“我保护的文件”中)
17.jpg
用一个TXT文件来删除它,得到一个日志记录
18.jpg
19.jpg
此时可以看出“action”为“modify file”

换个方法,将aa.doc放入“我隔离的文件”中去,然后用同样的方法来删除它并得一个日志
20.jpg
删除失败得到一个日志记录
21.jpg
这时“action”为“block file”
这两个试验的效果是一样的,只是日志事件的行为不同,是不是有所启发呢!

一个试验不放心,再来个小试验
手动删除bb.doc文件,看下图
27.jpg
28.jpg

29.jpg
30.jpg
日志记录为“modify file”

再将bb.doc放入隔离文件中看看情况
31.jpg
删除看日志
32.jpg
好了,这是程序对文件的访问权限的设置不同导致日志事件的“action”也不同。就字面意思来说,一个是“修改文件”一个是“阻止文件”。可以看出“modify file”阻止事件是通过保护文件的方式来实现的,是程序对保护文件进行相关权限的操作时产生的。而“block file”说明是程序对隔离文件操作时产生的日志事件。虽然这两种方式可以表达出同一结果(如上面的例子,都无法删除相关文件),但是根据它们的行为进行区分,这样可以更快的来找出程序异常的原因。
下面附几张恶意软件清理工具所生成的日志。以下就列出3款工具:360安全卫士、金山清理专家、windows清理助手。comodo中有相应的黑名单(可以查看局长的“毛豆通缉令---FD黑名单”http://bbs.kafan.cn/viewthread.php?tid=274493&extra=page%3D1)并且有自己的系统隔离文件
360(扫描引擎是360自带的,没用用安天的引擎)
1.jpg
金山清理专家
2.jpg
windows清理助手
35.jpg
对于一些安软或杀软生成的日志分析,大家还是自行把握,它们的差异性很大。本人不做评论,图片中的只是相关说明。


好了,就这么多了,希望Fans可以自己来分析自己的日志,这样上手comodo就更加快捷。如果没有涉及到的日志类型,大家自己去查看。当然大家也可以跟帖,说下其它类型的日志事件,如hook事件有block hook ,install hook。以上内容如有错误请达人指出,谢谢。

[ 本帖最后由 huai168an 于 2008-7-8 21:31 编辑 ]

评分

参与人数 1魅力 +1 收起 理由
某某猫 + 1 好帖子一定要加分:D

查看全部评分

某某猫
发表于 2008-7-8 08:05:18 | 显示全部楼层
又是好文
新手提问必看呀
wellkobe
发表于 2008-7-8 08:35:15 | 显示全部楼层
一大早就看天书。。。。。。。。。。
iszeds
发表于 2008-7-8 11:08:03 | 显示全部楼层
保护的文件 可以被读取,禁止被创建,修改,删除
隔离的文件,禁止被读取,创建,修改,删除,包括读取属性
491866227
发表于 2008-7-8 11:12:43 | 显示全部楼层
comodo的日志确实需要改进。
iszeds
发表于 2008-7-8 11:34:45 | 显示全部楼层
另外还有一个hook动作是 install hook
iszeds
发表于 2008-7-8 11:37:12 | 显示全部楼层
另外还有一个hook动作是 install hook
缘尽于此
发表于 2008-7-8 13:20:18 | 显示全部楼层
学点东西。。。。。。。。
wangyu1006
发表于 2008-7-19 23:36:26 | 显示全部楼层
偶也是同感。。
原帖由 wellkobe 于 2008-7-8 08:35 发表
一大早就看天书。。。。。。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-22 02:34 , Processed in 0.101527 second(s), 21 queries .

快速回复 返回顶部 返回列表