Comodo Memory Firewall使用介绍(小更新:附一个功效连接)

huai168an

【12月30号更新：附带一个Ubuntu版主对于CMF、CSS的实战效果连接，详细见底部】
COMODO内存防护墙是一个缓冲溢出检测和预防工具，它针对互联网上的最危险和最普遍的攻击方式——缓冲溢出攻击——提供了最顶级的防御。
缓冲溢出攻击可以导致你电脑的数据资料被盗取，计算机死机，系统遭到破坏，COMODO内存防火墙可以抵御大部分类型的利用缓冲溢出攻击。当一个恶意程序或脚本蓄意传送更多的数据到到它的内存缓冲，直到缓冲区不能承载导致溢出，这时，这种攻击手段便可能发生。
一个成功的攻击可以在系统里创建一个黑客可以进入的后门。所有攻击的目标就是为了去安装恶意程序到这台被控制的电脑，在这儿，黑客可以格式化你的硬盘，盗取用户的重要信息和资料，甚至安装程序，把你电脑变为一个“僵尸”（肉鸡）,以作为对第三方PC或服务器进行DDOS攻击的中转和攻击点。
在计算机安全和编程里，缓冲溢出是一个编程错误，它导致内存存取出现例外，程序中断，或者留下系统安全隐患和恶意破坏的突破口。该产品的目的就是为系统管理员以及用户去侦测内存堆栈部位中可疑的执行代码，并提供保护。
COMODO内存监控监测以下的攻击类型：
对内存里栈（可以储存信息并可以按倒序提取的信息）的缓冲区溢出的侦测
对内存里堆（用于储存重要资源的特别记忆区域）的缓冲区溢出的侦测
对Ret2libc攻击的侦测（libc是提供用户程序和内核之间的接口的 C 库）
对corrupted/bad SEH Chains的侦测（利用SEH壳掩护的一种攻击方式）
32位：http://as3.download.comodo.com/c ... P_Vista_2k3_x32.exe
64位：http://as1.download.comodo.com/c ... P_Vista_2k3_x64.exe


关于“溢出”小知识

随着网络普及，大量公开的Shellcode(“溢出”代码)与溢出攻击原理都能在各大安全网站中找到，也由此衍生了一系列安全隐患，很多稍微了解网络安全知识的人都可以利用现成的攻击软件轻易发动溢出攻击获得服务器权限。

　　1.什么是“溢出攻击”?
　　“溢出攻击”就像是将很多沙子倒入装满水的容器时，水就会溢出来一样。目前，大多溢出攻击都是针对缓冲区的溢出。当缓冲区溢出时，过剩的信息对电脑内存中原有内容进行完全替换，如未进行备份，你的内容就永远丢失了。
　　现在网上公布的攻击程序不仅具有破坏文件的功能，一般还会得到系统权限的CMDSHELL(管理命令行)，那它又是如何实现的呢?“溢出攻击”在对缓冲区中的文件进行替换的同时，还会执行一些非法程序，从而得到命令行下的管理员权限，之后攻击者再通过命令行建立管理员账号，对电脑进行控制。

　　2.“溢出攻击”的实现
　　一般入侵者在网上了解或发现了可以进行溢出攻击的漏洞后，使用缺陷扫描器(如全面扫描的X-SCAN、针对单一漏洞扫描的IIS WEBDAV等工具)找到并确认存在远程溢出漏洞的电脑，接着便使用利用攻击代码编程成功的Exploit(攻击程序)发送Shellcode攻击，确认远程溢出成功后使用NC或TELNET等程序连接被溢出主机的端口从而得到CMDSHELL。
　　比如前段时间危害特别大的MS05039溢出漏洞，就是先利用MS05039Scan来扫描有漏洞的电脑，然后打开两个命令提示符窗口，一个用来得到CMDSHELL的NC，一个执行溢出攻击程序，当执行攻击程序后，就得到了系统权限的CMDSHELL。

CMF的内存使用很小，稳定在2M左右，对系统无什么影响，只有溢出时才有反应
简单看下CMF的使用界面（安装过程就不截图了，都是Next，呵呵，最好是默认路径，这点我就不强调了）
稳定后的内存情况：前面是内存 后面是虚拟内存

主界面：

界面中的应用程序添加或编辑窗口：

排除界面：

日志界面：


主界面的SETTINGS：


关于设置中的“Email Setting”，有邮件客户端的用户尝试自己设置下

警告界面：



看看内存防火墙对comodo自己的溢出攻击测试工具的防范效果






小结快速入门技巧与疑问：因为CMF使用简单、安静，所以fans使用过程中也不要对CMF没动静就怀疑它的防御效果，毕竟溢出攻击我们碰到的很少，CMF也是防范于未然，它是关键时起作用。CMF是E文，可能有些fans头痛，这个也不要慌张，使用CMF就是未知的程序或常见的软件出现异常提示就用“Kill”，特别是网上冲浪等情况，正常的软件不会出现溢出情况的（QQ是个例外），其它的提示要注意了。还有就是安装后太安静，fans可能不熟悉CMF的提示，所以用QQ做个示范，熟悉下提示框，这样以后出现真正的攻击行为就没有问题，直接“kill”就可以了。

CMF使用简单，基本不需要设置 功能确强大 对于一些溢出攻击有很好的效果。辅助其它安软、防范溢出攻击的免费安全软件，为系统安全提供多一份保障，推荐给大家使用。

更新部分：
【给个U大的贴：http://bbs.kafan.cn/thread-396938-1-1.html  （低调的保护：当CMF、CSS遭遇IE7 0day --飓风过岗 伏草惟存）   PS：看完U大贴后 就知道CMF何时才真正的强悍】

注意：使用QQ时，CMF会提示溢出，排除就可以了

附上comodo官方的溢出测试工具，fans使用CMF后可以拿它检验CMF是否正常运作与熟悉CMF提示（此工具是安装包，不用了可以卸载）。
Setup_BOTester_x32.rar (307.81 KB, 下载次数: 168)

2008-12-29 16:26 上传

点击文件名下载附件


[ 本帖最后由 huai168an 于 2008-12-30 17:56 编辑 ]

秘书

168终于按耐不住了...

huai168an

我这是“分享”，与活动也没啥关系

让更多的fans使用好工具

秘书

谦虚了...

总之支持了

huai168an

我都说在辅助区养老了

一凡

168出品，必属精品
适应会新闻中心(宣)

右键我的电脑->属性->高级->性能设置->数据执行保护,选对所以程序打开,可以添加需要排除的.一定是winxp + sp2 之后的版本才有,之前的没有.win2k3也支持

huai168an

谢谢提示

还不知道效果如何   有空试试

jeffgree

DEP也需要处理器的支持

冉冉1

洋杀软，唉，这么多给洋杀软卖广告的