[专题]Comodo Firewall 2.4 技术问题

yangsimu

请问老大，我刚刚装了新机，是windows 2003,加了个kav 6.0，系统中应是没有什么恶意程序。装了COMODO后，一直有警报，主要是父程序services.exe通过子程序svchost.exe访问网络，有两条规则，一是service.exe通过svchost.exe访问网络的入站，系统好象是自动允许了的，另一条规则就是services.exe通过svchost.exe出站，系统一直警报，而且日志中把这种行为定义为高危害性，我是否要允许这个出站的行为呢？上面说可能泄露本机信息之类的东东。如果我禁止了，那么系统的自动更新，升级等会不会受影响？我感觉刚刚装了机，而且有卡巴，系统应是干净的，services.exe和svchost.exe这两个系统文件都应没问题，应该可以允许这种出站行为吧？一直提示，svchost.exe要访问124.*...查了下地址，是日本，这个可以理解，我的卡巴的更新服务器选了日本，还有一个是208...什么的，好象是美国加拿大的地址。j是不是系统更新啊？真搞不明白，请问老大要不要允许services.exe通过svchost.exe出站

ubuntu

原帖由 yangsimu 于 2007-1-24 21:10 发表

没有端口信息，截图或日志，只能推测：
第一个估计应该是DNS解析，因为Windows XP默认所有DNS查询都由svchost来完成。
第二个 可能是OLE Automation
第三个应该是Windows 自动更新。208.174.xxx.xxx

既然系统是干净的，全部允许就可以。
不放心的话，可以禁用DNS Client 和 Windows Automatic updates 服务，删除svchost规则，重新生成。

[ 本帖最后由 ubuntu 于 2007-1-25 10:10 编辑 ]

yangsimu

可能没说清楚，呵呵，我照老大说的，把自动更新和DNS CLIENT禁用了，还是有，打开日志，发现那个级别为高的项是行为分析，是services.exe 通过OLE操作使用svchost.exe访问208.111.145.64 port 80，出站，说此行为可能用以动持其他应用程序，而有一些级别为中的，是services.exe通过svchost.exe 访问208.111.145.38port 80，这是应用程序规则卡下的。本想保存下日志，不知正式版怎么了，导出到html文件时，文件没有日志内容。

gfzjhz

原帖由 yangsimu 于 2007-1-24 21:10 发表
请问老大，我刚刚装了新机，是windows 2003,加了个kav 6.0，系统中应是没有什么恶意程序。装了COMODO后，一直有警报，主要是父程序services.exe通过子程序svchost.exe访问网络，有两条规则，一是service.exe通过 ...

应该没事的，我也这样

snowysword

我想问的是网络监控里的最后1条，我如果设置为禁止，上不了网，设为允许才行，不过那样不就和没装一样了吗，设置是照斑竹的帖来的。

yangsimu

关于snowysword的问题，默认设置那条规则不就是禁止的吗？用默认设置一切正常啊，要是禁止那条规则，防御能 力就低许多了

ubuntu

原帖由 snowysword 于 2007-1-26 02:28 发表
我想问的是网络监控里的最后1条，我如果设置为禁止，上不了网，设为允许才行，不过那样不就和没装一样了吗，设置是照斑竹的帖来的。

我的规则不一定适合你，要根据自身情况做修改的。

yangsimu
本想保存下日志，不知正式版怎么了，导出到html文件时，文件没有日志内容。

换英文版试试。

naoher

装了COMODO 还用装SSM吗？

wellkobe

ubuntu
请教问题
最近上网几个小时后就掉线了
关了COM也不行
重启就好了
然后一开始就关掉COM
没有出现掉线问题
怎么回事?

ubuntu

原帖由 naoher 于 2007-2-1 11:54 发表
装了COMODO 还用装SSM吗？

在Comodo 3.x 发布以前，需要HIPS的话，SSM是个不错的选择。

原帖由 wellkobe 于 2007-2-1 12:56 发表
ubuntu
请教问题
最近上网几个小时后就掉线了
关了COM也不行
重启就好了
然后一开始就关掉COM
没有出现掉线问题
怎么回事?

是我无法回答的问题：
1. 如果一开始可以上网的话，按规则来说Comodo在之后的时间里，只要规则不变是不会阻止正常的网络活动。
2. 没有实际经验啊，确实没有遇到过。