程序访问规则中的设置区别

sxingang

如题，有两个地方的区别我不太清楚
“窗口或者事件钩子”和“ 窗口消息钩子”
“进程间内存访问”和“  内存”
的区别，电子书教程我看了，也不太明白他们直接的区别，感觉怎么都一样，给个详细的说明

[ 本帖最后由 sxingang 于 2009-4-29 10:02 编辑 ]

joesqall

comodo目录下面有cfp.chm用户指导    依次展开左边目录的"Defense＋Task Overview"－"Adanced Task"－"Defense＋Setting"  右边有你需要的资料的英文版   看不懂就google翻译吧http://translate.google.cn/?utm_campaign=zh_cn&utm_source=zh_cn-ha-apac-cn-bk&utm_medium=ha&utm_term=fanyi%20google

小静电

钩子是WINDOWS留给我们的后门，比如你想控制键盘，在DOS时代很简单通过INT即可，而WINDOWS时代不允许我们直接操作硬件；由于WINDOWS是消息驱动，所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单，要控制所有进程消息要利用钩子了。将钩子函数放在DLL中，所有的有关键盘的消息都必须经过钩子函数过滤，这样你就可以为所欲为了。
WINDOWS下的钩子程序就像DOS下的TSR(内存驻留程序)一样,用来截获WINDOWS下的
特定的消息,进行相应的处理。比如可以截获键盘输入的消息，来获得键盘输入的信息等。钩子程序可以通过API调用来驻留和脱钩。

小静电

允许进程存取系统对象“设备物理内存”，此操作允许存取所有系统资源且可能被用于有害代码的执行。某些系统进程（winlogon.exe 或其它可能的程序）对此对象进行存取是完全正常的，但其它合法程序则很少存取此对象。然而，加载的驱动则可能需要存取此对象，某些随机程序也可接收其上下文（通知）。因此模块的调用信息可能并不精确

访问物理内存
我们知道，在NT/2K/XP中，操作系统利用虚拟内存管理技术来维护地址空间映像，每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序，不能直接访问物理内存地址；而运行在核心态的驱动程序，能将虚拟地址空间映射为物理地址空间，从而访问物理内存地址，从而更快的收集数据。所以要求访问物理内存的程序一般都是比较BT的，除了你确信的其他一般可以阻止，即使是正常软件阻止了也不会影响使用。

小静电

http://bbs.kafan.cn/viewthread.p ... p;page=1#pid3981459
这帖子里有378版帮助文件，可以下来看看。

ddd243346081

来学习了

sxingang

安装全局钩子：在微软windows操作系统中，
钩子是通过一个功能来提前拦截没有得到应用的系统事件（系统消息，鼠标动作，键盘按键）的一种机制。该功能可以是一个行为事件，有时修改或丢弃它们。起初的发展是允许合法的软件开发者来开发更强大和实用的应用程序。包括恶意软件，它可以记录您键盘的每一次击打；完全控制您的鼠标和键盘来远程管理您的机器。默认此项检测意味着每次一个未信任的应用程序执行一个钩子都会提示您。

windows消息：此项设定意味着comodo防火墙将会监视和察觉一个应用程序试图发送特殊的windows消息来修改其它程序的运行状态。（例如用WM_PASTE命令）


这是原文，还是不太明白
我明白钩子的意思，我说的是 “窗口或者事件” 和 “窗口消息”之间的区别

小静电

那个应该翻译成全局钩子。

一个例子：
explorer规则消息设为询问时，当你点击系统托盘区毛豆图标时，会弹出发送消息提示，允许则可以打开毛豆界面，阻止则不能弹出毛豆界面。

中文版翻译的不太准确？还是看看u版翻译的图。

sxingang

谢谢，看来官方的翻译真是
谢谢说明，我明白了。共享指导

645201

应该是汉化有误，是官方的汉化
这是我自己的汉化