关于毛豆中的规则里的东西的问题

a390914485

我一直搞不懂这3个是什么东西来的，我看电子书又看不到，我想麻烦各位大侠说说给我听。详细点，真是谢谢了

Tynox

第一个就是载入驱动,大体是这样子,我解释不清.[其实也不是非常了解.]
第二个不知...无法清除解释.
第三个就是DNS服务了,应该是访问DNS缓存吧?(不知是否正确)

清参照置顶帖子中的解释

１．运行应用程序．
　　　　这个很简单吧，没什么好说的，你双击一个程序，这个程序就运行了谁都知道，但是如果在上网时你没有运行突然弹出询问框报警程序运行你就要当心了，一定要仔细看程序路径名称，一般会自动运行的除了病毒就是一些软件的升级程序，但是如果该程序是在ＴＥＭＰ路径下的话一定记住要阻止，９９.９％是病毒！

２．加载驱动程序
　　　　一般只有比较ＢＴ的软件会要求加载驱动程序，比如杀软以及一些安全工具，所以这个也很简单，只有你完全信任的程序才可以允许，否则请阻止。特别是路径或程序名比较陌生的。

3.  访问物理内存
        我们知道，在NT/2K/XP中，操作系统利用虚拟内存管理技术来维护地址空间映像，每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序，不能直接访问物理内存地址；而运行在核心态的驱动程序，能将虚拟地址空间映射为物理地址空间，从而访问物理内存地址，从而更快的收集数据。所以要求访问物理内存的程序一般都是比较BT的，除了你确信的其他一般可以阻止，即使是正常软件阻止了也不会影响使用。

4.  底层磁盘操作
        所谓底层磁盘操作本身并没有什么危害，某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层面上进行控制，那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两个门卫以为可以高枕无忧，哪知人家挖了个地道直接进了你家，门卫就成了摆设。因此ＨＩＰＳ应该要包括对底层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。

5.  创建远程线程
        远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道，在进程中，可以通过CreateThread函数创建线程，被创建的新线程与主线程（就是进程启动时被同时自动建立的那个线程）共享地址空间以及其他的资源。通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间，所以，实际上，我们通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。就好像把一个寄生体注入到了其他生物中一样。这个寄生体将会与他的宿主“同生共死”并且拥有宿主的所有权限。由于我们的程序代码寄生在其他进程内部，所以一般人使用任务管理器是看不见这个“寄生”进程的。
        创建远程线程是木马隐藏自己的一个非常高明的手段，就好象一个特务在通关时一般都会混进一些高官的车中，胁持高官谎程自己是高官的部下，从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建远程进程。

6.  修改其他进程内存
        一般正常软件不会有此动作，所以阻止吧。

7.  安装全局钩子
        英文叫hook,指利用api来提前拦截并处理windows消息的一种技术，能够使该程序对其他系统内有键盘响应事件的程序自己挂钩。说白了就是在你家安装窃听器，你能容忍吗？阻止！不过QQ是要允许的哦，要不然就登录不上去了。

8.  安装服务或驱动
        同加载驱动程序。

9.  键盘记录、修改系统时间、直接操作系统内核
        有些正常程序也会进行键盘输入监控，所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统内核一般建议阻止。

10.windows消息
        这个建议先阻止，看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。

11.结束进程
        这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。

[ 本帖最后由 Tynox 于 2009-8-23 23:58 编辑 ]

tanlimo

1、驱动加载防护，主要目的就是防止不明程序通过加载驱动方式来获取系统的最高的权限。

2、是否允许访问回环地址127.0.0.1的资源，什么是回环地址楼主可以自行百度。

3、是否允许程序域名解析，把域名（http://www.....）解析成具体的IP地址这样才能让本地的程序正确的访问远程服务地址。

a390914485

谢谢楼上的解答