“加载驱动程序”规则的写法

ddht100

以下是EQ的写法：


请问comodo中也可以这么写吗？

Magis

能不能请lz解释下这几个“特殊驱动”代表什么？个人水平有限，实在没看懂只能说comodo的“加载驱动程序”规则只能在程序或程序组的custom policy----Device Drivers Installation里进行编写。

[ 本帖最后由 magiscoldeye 于 2008-11-29 20:42 编辑 ]

distance0

首先，这种写法comodo不认，要写成*http.sys，另外这些驱动有些可能是在comodo驱动加载之前就加载的，comodo根本控制不了。如果一定要如此精确的控制，可以这么办，把这些驱动编成一个组，用绝对路径C:\WINDOWS\system32\drivers\http.sys，把services.exe规则设为ask，modify中什么也不要，重启看看comodo怎么学习的？就是看看modify中添加了什么，能不能学习到具体的文件，如果可以，把这些文件编成组添加进来，删除以前的组，编组是为了方便管理。
如果没有学习到具体的文件，就麻烦一些，把整个组加添进去，一项一项删除再重启看变化，以去掉不必要的，其实不起掉也行，但是既然要这么控制，就干脆变态到低，一个多余的都不要，呵呵。

Magis

我在用clean PC mode学习规则的时候，FD（allow）总是学习到“*”，太奇怪了

distance0

那可能comodo内置按自己默认的规则来学习的？因为默认的是allow，学习虽不会把ask改成allow，但把modify里面改成*？

Magis

这种情况以前没见过，最近的版本才出现的。所以现在Paranoid mode下手点学习规则 然后再修改。倒是发现CIS比以前拦了很多NameDpipe。不敢随便阻止。