补汉化盲点，磕原味毛豆----D+提示详解 （送给英文感冒的Fans）

huai168an

【8月29号更新：加了comodo官方给出的部分动作的危害说明】

由于comodoV3自身的原因，使得汉化的大大们只汉化了主程序，这样一来对于那些E文感冒的comodo Fans来说，提示框也是一种无形的折磨。

“想使用最新版的comodo，无完全汉化——无奈，使用以前版本的完全汉化，又担心迷茫的BUG——无助。”扔掉这种思想吧。如果你付出了一点点的时间和精力，只要一点点，此贴将改变你的观念，无惧comodo的D+提示，轻松掌控comodo。把握根源，就把握了大局。


此贴送给热爱毛豆喜欢毛豆而对英文感冒的fans，送给想用原版毛豆而徘徊的、学习态度好的Fans。还有。。。想不出了，适合你的就看下吧。

浮躁者、懒惰者、抵制外文者。。。。。等等可以无视此帖。

宗旨：快快乐乐学E文，顺顺利利磕毛豆。

话不多说，开始吧
先来看下选择的信息（提示的下半部分）


这里给出的是关于comodo的预置规则与安装模式的选项


如果你选择了右下方的“fewer options”，以后的提示将变成下面的形式。


英文小词汇

alert — 提示、警报
allow —允许
block —阻止
request —请求
application —应用程序
treat —对待
remember —记住
installer or updater —安装或升级
fewer —极少的，稀少的

-------------------------------------------------------------------------------------------------------------------------------------------------


下面开始主打提示的主要内容（提示关联着安全规则选项）。我们一条条的过。







上面的三张图不仅仅给出来关于executable提示的信息，同时也给出了提示框的三个不同颜色的等级——黄 橙 红，代表了安全等级。看红色警报，也给出了comodo的启发信息。

看下executable动作对应的阻止日志，关键词—— create process（注意：D+日志给出的是违反规则的信息，即阻止动作的信息）


英文小词汇

try to — 尝试 试图做某事。。。
execute —执行
(executable、execution)
safe —安全
recognized —识别、认可
malware —恶意软件
heuristic —启发的 试探的
analysis —分析
detect —察觉
possible —可能的
behavior —行为、举止
create process — 创建进程

---------------------------------------------------------------------------------------------------------------------------------------------------








此动作对应的日志，关键词——access memory


英文小词汇

access —访问
memory —内存、存储器、记忆体
the parent application —父程序
target application —目标程序
control —控制

动作说明

修改内存空间：恶意软件常修改内存空间注入恶意代码为了更多的攻击类型，包括读取您的键盘记录；修改被入侵应用程序的行为；通过一个进程到另一进程发送机密信息来窃取机密数据等。内存空间破坏的最严重的方面是有能力的非法恶意软件获得入侵进程的身份权限。或者假冒应用程序受到攻击。

---------------------------------------------------------------------------------------------------------------------------------------------------










对应的日志信息。关于HOOK的日志，不仅有install hook 还有block hook。


英文小词汇

install — 安装
global — 全局的
hooks — 钩子
probably — 或许 很可能
inject — 注入
various — 不同的，各种各样的
purposes — 目的、意图、用途
e.g. — 例如
such as — 例如、诸如

动作说明

安装全局钩子：在微软windows操作系统中，钩子是通过一个功能来提前拦截没有得到应用的系统事件（系统消息，鼠标动作，键盘按键）的一种机制。该功能可以是一个行为事件，有时修改或丢弃它们。起初的发展是允许合法的软件开发者来开发更强大和实用的应用程序。包括恶意软件，它可以记录您键盘的每一次击打；完全控制您的鼠标和键盘来远程管理您的机器。

---------------------------------------------------------------------------------------------------------------------------------------------------









对应日志，关键词——terminate process


英文小词汇

terminate — 终止、结束
(termination、terminated)

动作说明

进程终止：以一个正在运行的进程程序为例（例如,comodo防火墙的进程为“cfp.exe”，按“ctrl+alt+delete”，点击“processes”来查看机器中所有运行着的列表）。很明显，结束一个进程将结束一个程序。病毒与木马为了绕过安全软件经常试图关闭所有您已运行的安全软件。

---------------------------------------------------------------------------------------------------------------------------------------------------









对应的日志信息，关键词——load driver


英文小词汇

load —加载
device driver —设备驱动
special —特殊的
high privileges —高特权
confident —确信的、有信心的
executable —可执行的

动作说明

安装驱动：设备驱动是在您的机器上允许程序或操作系统来和一个硬件驱动相互通讯的小程序。硬件驱动包含您的磁盘驱动，显卡、有线无线网卡、CPU、鼠标、USB设备、显示器，DVD播放机等。即使一个完全善意的驱动设备安装，如果它与您的系统中其它驱动冲突的话也可能导致系统不稳定。很显然一个恶意的驱动安装也会引起您的计算机无法挽回的损失或者这个驱动的控制权在黑客手中。

---------------------------------------------------------------------------------------------------------------------------------------------------









对应日志信息，关键词——send message


英文小词汇

modify —修改
interface — 界面、接口
fairly — 相当、尚可
common — 平常的、普遍的
operation — 操作

动作说明

windows消息：此项设定意味着comodo防火墙将会监视和察觉一个应用程序试图发送特殊的windows消息来修改其它程序的运行状态。（例如用WM_PASTE命令）

---------------------------------------------------------------------------------------------------------------------------------------------------










上面的三幅图都是关于COM口的提示，特别是第三幅图，似乎没看出是关于COM口的，可是对应ntsvcs、spoolss等都为重要的COM口，你可以到保护COM口中自己查看下。

阻止的对应日志，关键词——access com interface


英文小词汇

protected — 保护的
obtain — 获得，得到
shutdown — 关机
service — 服务
manager — 管理
perform — 做，完成
including — 包括

---------------------------------------------------------------------------------------------------------------------------------------------------









对应日志，关键词——modify key


英文小词汇

registry key — 注册表键或注册表项
consider — 考虑

---------------------------------------------------------------------------------------------------------------------------------------------------











对应的日志，关键词——modify file


英文小词汇

file — 文件 文档 (文件夹)
folder — 文件夹
directory — 目录
create — 创建
new — 新的
content — 内容
warning — 警告 告诫
attempt to — 企图，尝试做某事。。
hidden — 隐藏的
zone —区域 地区
NTFS data stream — NTFS数据流
antivirus — 反病毒
infection — 传染 感染

--------------------------------------------------------------------------------------------------------------------------------------------------




对于 loopback networking — 回环网路 ，没有找到对应的程序可以实现提示，所以大家在一般的程序制定时可以阻止它，如果程序弹出此动作提示，可以阻止。（如果fans有这个提示可以共享下，先谢谢了）

动作说明

本地回送网络：回送连接是涉及您的机器本地通讯。任何数据的传送是由您机器上通过一个回送连接并通过回送连接来立即接受。包括机器没有外部连接到Internet或本地网络。本地回送网络的IP地址是127.0.0.1，你已经听说了涉及IE下它的网络名称“http://localhost”的机器的地址。回送渠道攻击经常用于机器上攻击IP堆栈或迫使机器死机的TCP/UDP请求的洪水攻击

---------------------------------------------------------------------------------------------------------------------------------------------------








对应日志，关键词——DNS/RPC Client access


英文小词汇

client — 客服端
DNS — 域名系统(Domain Name System) 的缩写
RPC — 远程过程调用(Remote Procedure Call)的缩写
recursive — 递归 反复 循环
connection — 连接
use — 使用
process — 进程

动作说明

DNS客户端服务：如果一个程序试图访问windows DNS服务它将提示您 - 可能发送一个DNS循环攻击，DNS循环攻击是恶意的实体向一个DNS服务发送成千上万的欺骗请求的一种分布式拒绝服务攻击。请求是欺骗的，它们看来似乎是来自目标或“受害者”服务器但事实上来自不同的来源 – 往往是一个网络“僵尸”发出的这些用户自己都不知的请求。DNS服务器被欺骗答复它们所有的回复到受害者服务器上 – 压倒它的请求并使其崩溃。默认这个设定可以防止恶意软件通过DNS客户端服务发动这种攻击。

---------------------------------------------------------------------------------------------------------------------------------------------------






对应日志，关键词——direct memory access


英文小词汇

directly — 直接地
physical — 物理
everyday application — 日常的程序 平常的程序
occasionally — 偶然地，非经常地

动作说明

恶意程序将试图访问物理内存来执行各种的溢出 – 最有名的利用“缓冲区溢出”来溢出。在内存中一个接口设计在某一特定地址存储一定数量的数据并允许一个恶意进程向该地址提供更多的数据时将发生缓冲区溢出。这种重写内部结构可以被恶意程序利用并强制系统来执行它的代码。

----------------------------------------------------------------------------------------------------------------------------------------------------








对应日志，关键词——direct monitor access


英文小词汇

screen — 屏幕
draw — 取出、画、拖
custom — 自定义
bitamps — 位图
capture — 截取
screenshot — 截图

动作说明

尽管合法程序有时将要求这种访问，同时一种新兴的间谍软件也会通过这种方式来监视用户的活动（例如，截取您当前桌面的图像，读取您正在浏览的内容等等）

----------------------------------------------------------------------------------------------------------------------------------------------------









对应日志，关键词——direct disk access


英文小词汇

disk — 磁盘(底层磁盘)

动作说明

监视运行进程直接访问本地磁盘。这有助于防范恶意软件需要此访问，例如，在磁盘中获取存储的数据，在硬盘中破坏文件，格式化磁盘或写入垃圾数据覆盖系统文件。

----------------------------------------------------------------------------------------------------------------------------------------------------







对应日志，关键词——direct keyboard access


英文小词汇

keyboard — 键盘
read — 读取
Press — 按、压
simulate — 模拟、模仿
stroke — 敲、击
provide — 提供
shortcut — 捷径
functionality — 功能（尤指软件、硬件、机械或设备的功能）

动作说明

恶意程序知道作为“键盘记录程序”可以读取在您键盘的每次敲击，通常用来盗取您的密码，银行卡账号和其它私人信息。

---------------------------------------------------------------------------------------------------------------------------------------------------



好了，关于提示的解释就到这里了。这里可以看出，提示并不是想象中的复杂和难懂，把握几个关键词汇，就知道了。在意的不是提示，而是动手去找到答案；在意的是大局的把握，而不是掉进无用的信息中去；在意的是学习的态度，而不是敷衍的使用。

此文希望对英文感冒的fans有点帮助，也希望fans可以用上原味的comodo，磕上美味的毛豆。谢谢！

[ 本帖最后由 huai168an 于 2009-1-24 14:47 编辑 ]

choco_dove

syh兄弟的好文章，当然要抢占制高点了

zhouqifeng

强烈支持!以前用过毛豆,不过最后还是换成了OP+EQ

loveyuwei

教程写的很好，占前排。

温州城掌柜

劫持 一下，，这么多鸟文，一时也记不住

gwg829

好东西是好东西   认真看的人会有几个呢  


每次都是说E文  看不懂   

论坛学历层次相对还是很高的  我就不信  就哪么几个单词  还有啥看不懂的



有句话 叫做   天下无难事  只怕有心人


你去认证看了  用了  学习了   没有什么不会的   

kcoo

好贴！给个千斤顶。。。 大大

弱弱地问一句：阻止杀软访问屏幕和键盘是不是不影响其使用呢？

huai168an

杀软可以阻止屏幕，键盘就无所谓了

PS：杀软你不是完全信任的？！！

kcoo

原帖由 huai168an 于 2008-8-28 16:27 发表
杀软可以阻止屏幕，键盘就无所谓了

PS：杀软你不是完全信任的？！！

有没有可能黑客在更新补丁的服务器上动手脚呢？比如用注册机下载更新的。。。

huai168an

你扯远了，考虑的太多了。。。。。。