巧用Comodo模式切换，打造另类程序安装模式(10月12日更新)

aseioteur

目前公认的HIPS的软肋就是在软件的安装上，所以我们看EQ或其他HIPS里的规则包中，各位大侠都加入了相应的软件安装规则包，这里我们不讨论这些规则包是否可以有效的保证安装的完成，而不破坏整个规则的安全性。但有个最明显的缺点就是，增加的这些规则，在我们平时的使用中，无疑也增加了正常程序遍历的规则数，效率上自然略有下降(可能小到感觉不到吧，呵呵)。Comodo的规则在设置上不如EQ那样结构清晰，更不能设置多个类似于保护模式，安装模式这样的全局规则。所以我们以往在安装一个新的软件是，往往切换到install模式(多亏大家提醒，自己几乎没用过，都忘掉了，不好意思)，或者需要到Defense+ Settings(D+ 设置)>>Deactivate the Defense+ permanently(永久关闭D+保护)，然后才可以安装软件。(题外话，这样其实也不是很安全哦！)

这里我们联系一下，我们平时在备份Comodo设置的时候，经常会去备份它的注册表，
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\
其实在这个注册表项的下面还有其他几个子项(CFP有0和1，CIS则有0、1、2和3四个子项)，我们经常用到的实际上就是0这个子项，其他的几个子项则是Comodo预设的其他模式的设置，我们就从这里入手。以CIS为例(CFP类似)我们右击CIS的托盘图标>>Configuration(设置,下面的四个选项就分别对应注册表的四个子项，默认选中第一个)>>我们改选第二个COMODO-Internet Security>>弹出一个对话框 The Configuration has been activated successfully(更改设置成功).这是我们看Comodo的设置以及回到了类似于默认设置的状态，呵呵。


      有点啰嗦，看上去似乎比以前更麻烦，可能有些同志已经看不到这里了，呵呵，其实实际操作起来就不那么麻烦了，主要是照顾一下新手，下面的内容是我们怎么来设置这样一个模式。高手飘过！

     首先我们说一下前提，中毒不要怪我哦，这里只是强调用一个既简单又相对安全的安装模式，不能用于正常防护哦！！！

前提: 1.安装的软件从正规软件下载站下载
         2.经杀毒软件扫描确认安全
         3.已安装的软件在\Device\HarddiskVolume?\Program Files\*\*这些目录下(因为CIS里?:\的形式已经失效我们这里
           用了\Device\HarddiskVolume?\替代) 这条不是必须的，只是为了后面设置规则的方便

通过上面的前提我们认为这个软件是安全的，下面我们来说对这个预设规则的一些变动

Ⅰ.D+规则

a.My Protected Files(我的保护文件)

1.在预设COMODO Files/Folders组中加入需要保护的其他安全软件，如红伞和EQ。
2.在预设COMODO Internet Security组中加入其他安全软件进程，保证其他安全软件的高权限，避免冲突
3.新建组Existing Program在这个组里加入\Device\HarddiskVolume?\Program Files\*\*和其他常有软件的路径

b.Computer Security Policy(计算机安全策略)

新建Existing Program组规则，除Loopback Networking、DNS Client Services这两个联网相关规则和Disk、Physical Memory这两项规则选Block以外，其他规则全部允许，Run an Excutable>>Allowed Applications里面加入程序组Existing Program。


记得，把这个规则拖到All applications的上面哦！！


说明：这样设置的目的是，避免系统反复提示(头大)，并禁止联网，磁盘和内存访问(现在的病毒都是要联网下病毒的多，万一现在已知的程序有木马之类的也不至于继续扩大，不好的地方就是网路和QQ之类的要掉线了哦，其实也可以添加相应的规则，主要是又不是经常安装软件，所以不要加那么多规则，麻烦！反正安装完了就要切换回去的。)

Ⅱ.防火墙规则

       在最下面新建规则All applications>>Use a Predefined Policy>>Blocked Application,这样做的目的是除了Comodo和其他安全软件以及系统升级程序以为阻止任何程序联网(安全第一，其次是不要有那么多提示！！)


       准备工作做好了，现在是设置安装程序的规则了，我们就改All applications规则就好！程序安装嘛，主要是FD和RD起作用了，这里我们给他一个相对安全的权限，和上面的Existing Program规则一样，Block掉Disk、Physical Memory这两项规则，其他的规则通通ASK，当然可以设置更加严格的规则，但安装程序实在是很难判断用到啥，比如有些程序可能联网激活之类的，所以也没有block掉Loopback Networking、DNS Client Services这两个联网相关规则，如果不是必须联网的话建议block掉。


tips：
1.程序安装最多的提示可能出现在RD上，所以建议在My Protected Registry Keys里面只保留Automatic Startup和COMODO Keys这两个最重要的项，其他的可以不拦截，特别是Important Keys，要不可能会很烦。不怕提示的飘过！
2.在这个模式下，Comodo默认取消了Computer Moniter、Disks、Keyboard的保护，请大家务必检测一下，最好都给勾上。安全第一！！
3.将D+的安全级别调到偏执狂模式，不然它自己又新建规则！HOHO
4.以后安装软件的时候，只需右键来回切换一下就OK了，个人感觉还是比较方便的，呵呵
5.如果各位看官觉得\Device\HarddiskVolume?\Program Files\*\*给的权限太大，可以适当调整下，主要是因为新装的软件，如果默认装在这些位置，也就有了这些权限，有点恐怖，但如果不要试运行，直接切换回正常模式的话，没有问题！HOHO，不想搞的那么复杂！！
比起installer or Updater模式操作起来，并不麻烦，呵呵，只是先前要做这些设置，HOHO，一劳永逸(自嘲一下！)，安全第一(再次自嘲一下！)

OK，写完收工

这里我之提到一种可行的方法，相对安全和快捷的方法，当然换Install模式也很方便，哈哈！囧！安全性上还是好点的吧！！大家多提宝贵意见哦！如果大家觉得繁琐，请飘过，高手请飘过！

10/12更新！

鉴于installer or Updater模式的权限不明的问题，大概测试了一下installer or Updater模式的权限

方法：将IS和procexp和explorer设置权限为预设模式installer or Updater。

结果IS直接启动，可以推测，

1.IS启动需要访问%windir%\system32\drivers\Isdrv122.sys，没有提示则表示默认允许访问%windir%\system32\drivers\*下面的文件(这里都允许的话，相信FD默认设置为allow)，继续将Explorer.exe设为改模式，可以任意修改windows目录，呵呵，权限大的怕人！

2.IS启动需要加载驱动，没有拦截则，驱动默认为allow

3.procexp启动往往报LocalSecurityAuthority.Debug访问，没有报说明COM访问默认为allow

4.procexp启动会报HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger,不报说明默认RD为allow

。。。。。。。。。。
。。。。。。。。。。。。
。。。。。。。。。。。。。

       上面测试的都是最关键的地方，如RD的windows目录，驱动加载，COM的debug访问，以及RD的映像劫持，其他的地方就没有比较了，个人觉得也没有比较的必要的，这几个权限有一个都大的怕人，何况全都用呢！


本来想写一个更加详细的说明报告，图也截好了，苦于懒惰，哎(懒惰是最大的敌人啊！！)各位如果有兴趣可以尝试详细的比较一下！
上面那么多废话其实要说明的installer or Updater的权限实在太大，个人的理想的安装模式应该是“大口进小口出，关键地方给点提示！”嘿嘿！

PS：今天生日，卡饭给我发了一个祝福邮件，感动啊！！
高高兴兴的去领生日红包，RP差到极点50！！！默认是50-100的嘛！！



[ 本帖最后由 aseioteur 于 2008-10-12 17:41 编辑 ]

aseioteur

不好意思，实在是忘了comodo有INSTALL这个功能来着，因为几乎没用过，
我还是把名字改下吧！无意误导新人！
其实自带的INSTALL功能MS权限太大，这个规则可以自己用用，阿门！


[ 本帖最后由 aseioteur 于 2008-10-11 17:51 编辑 ]

yj2371

赶快占位，慢慢学习，哈哈……

[ 本帖最后由 yj2371 于 2008-10-11 16:55 编辑 ]

chenwei54

正在研究
我是被毛豆征服了~

llxm920

毛豆不是有安装模式？

aseioteur

LS说详细点，我咋没看到，最近近视严重了？？

llxm920

打开界面
在右下角
在打开安装包是也可以选择


[ 本帖最后由 llxm920 于 2008-10-11 17:02 编辑 ]

秘书

原帖由 llxm920 于 2008-10-11 16:54 发表
毛豆不是有安装模式？

安装模式权限过大

偶的建议 配个沙盘就解决了

huai168an

支持下，预置规则一定要用好

方便 安全

aseioteur

原帖由 stephenrid 于 2008-10-11 17:01 发表


安装模式权限过大

偶的建议 配个沙盘就解决了

同意，很好的解决办法，以前也用DW，觉得系统有点慢了，没再用！