简单明了的毛豆D+规则关系

柯林

俺是新手，刚学用毛豆，需要向各位前辈和豆友好好的学习。此文所发，是个人的学习心得，不对之处还请指正，谢谢。

关于毛豆的规则优先级和执行顺序流程图，论坛上已经有很好的教材。下面这个，是俺这样的菜鸟喜欢的简单示意图：




如果上面两个图看起来没有问题，下面的废话就不必看了。如果觉得有需要，请看1楼的补充说明：

[ 本帖最后由 柯林 于 2009-10-24 09:59 编辑 ]

柯林

★廓清概念：父子关系。
▲在“保护设置”中，设定被保护的该程序是处于子程序的位置，其它任何程序对它被保护内容的操作都属于父程序行为。包括所添加的例外规则中的程序，对于它来说也是属于父程序。
要点：保护设置中，该程序是子程序，说的是其它程序对该程序的操作。
■恰恰相反，在“访问权限”中，所设置的规则，是针对父程序来设置的，“允许”、“阻止”之类的操作选项，说的都是这个父程序对其它子程序的操作行为。包括“高级操作区”里面设定的程序，依然是属于该程序的操作对象的子程序。
要点：访问权限中，该程序是父程序，说的是该程序对其他程序的操作。

1、总原则：comodo的执行，从上到下查找匹配的规则。
●只要找到某条规则是匹配的。立即执行并结束，不再向下查找。
●如果有两条或两条以上的规则涉及到同一程序，优先的规则会被首先执行，非优先规则稍后执行；排在上面的规则会被执行，排在下面的规则将被忽略【具体还须参看第4条】。
2、comodo的规则流程，从检查“被拦截的文件”开始，一路向下查找程序规则。
●对于任何一个程序来讲，“保护设置”的权限至高无上且与位置无关。如果勾选了里面的设置，该程序的相关“权益”立即被保护，不论其它程序处于什么位置以及如何设置访问权限，都不能破掉该程序的这层“金钟罩”。其它程序要想突破其“封锁”，只能到该程序的“修改/排除“里面添加例外规则：


3、对于某条程序规则的“访问权限”来讲，规则区划分为普通操作区和高级操作区。

●高级操作区相当于高优先规则，普通操作区相当于一般规则。
●高级操作区里的规则优先被执行，执行完高级操作区里的规则，才会转向普通操作区里去执行。
●在高级操作区里，允许的规则是优先于阻止的规则的。
◎普通操作区里的操作，可分为模糊判断与精确判断.
◇模糊判断不一定立即执行，精确判断是立即执行的。
◇询问属于模糊判断；允许与阻止属于精确判断。
◇允许与阻止属于同级关系，无所谓谁优先，谁被选中就执行谁。
◇与模糊判断相关的操作是模糊操作，与精确判断相关的操作是精确操作。
4、就“访问权限”来说，规则与规则之间，具体程序规则与所有程序规则之间，按照总原则执行逻辑顺序。
●任何时候都不要忘记，毛豆依据“从上到下查找匹配，匹配后立即执行并结束查找”的总原则。
●两条及两条以上的规则涉及同一程序的，排在上面的规则优先执行。
◇只有上一条规则选择的是模糊判断，才会暂时忽略而转向执行下一条规则的精确判断。
◇如果两条规则的设置都含有精确判断的内容，那么只有在上一条规则的精确判断部分的操作被执行完毕之后，才会转向下一条规则。
◎上述关系适用于所有程序规则置顶或垫底的情况。
●如果一个程序还没有现成的规则，将由所有程序规则来匹配和处理，不合规定的将弹窗询问。

★★★补充说明：以上关系将依据相关因素的不同而有所变化。
●如果选择的是“疯狂模式”，以上关系基本上全部成立。
●如果选择的是“安全模式”，以上关系，个别条款不一定成立，与comodo的内置保护措施有冲突的，将会弹窗询问。
●如果选择的是“干净PC模式”，以上关系，个别条款不一定成立，理由同上。
●如果勾选了信任数字签名，有合法数字签名的程序，将被内置机制允许，而不理会你所设置的规则。
★还有一个因素，跟你选择的默认配置有关。

请点击→选择→“使用管理我的配置界面”，你会看到四个默认配置——
▲科摩多-主动防御（COMODO-Proactive-Security）：这项设置将 CIS转换为终极保护。所有可能的保护都被激活，所有的关键组件接口和文件都被保护起来。 在安装过程中，如果只有科摩多防火墙这一项被选中，那么下一个界面会允许用户将这一选择作为CIS的默认设置，防火墙始终被设置为安全模式。但是通过在安装过程中对恶意软件扫描结果，如果没有恶意软件被找到，防御+ 这一项将被设置为清洁电脑模式。 否则默认为安全模式。
★科摩多-互联网安全（COMODO-Internet-Security）：这个设置是默认为激活状态的，当杀毒和防火墙被安装以及安装完成的时候。防火墙总是被设置为安全模式。 但是通过安装过程中对恶意软件扫描的结果，如果没有发现恶意软件，则防御+被设置为清洁电脑模式。否则，默认为安全模式。在这个模式中：
图片制作控制时不允许的
计算机监控/磁盘/键盘/DNS客户访问/窗口消息都不能被监听。
只有普通会被感染的文件/文件夹被保护。
只有普通的组件被保护。
防御+ 被设置来防止系统被感染。
◆科摩多-反病毒安全（COMODO-Antivirus-Security）：这个设置是默认有效的，当你选择了只安装杀毒组建的时候并且在安装过程中选择了最优防御+ 保护设置. 通过安装过程中对恶意软件扫描的结果，如果没有发现恶意软件，则防御+被设置为清洁电脑模式。否则，默认为安全模式。该模式下：
图片制作控制时不允许的
计算机监测/磁盘/键盘/DNS客户访问/窗口消息/保护组件接口/窗口钩子不会被监控
只有普通会被感染的文件/文件夹被保护
只有普通的组件被保护
防御+ 被设置为在创建最小数目的防御+弹出警告时防止系统被感染。
■科摩多-防火墙安全（COMODO-Firewall-Security）：在用户安装过程中如果选择了只安装防火墙防火墙和选择了最优防御+ 保护设置，这一项将处于激活状态。防火墙总是被设置为安全模式。但是通过安装过程中对恶意软件扫描的结果，如果没有发现恶意软件，则防御+被设置为清洁电脑模式。否则，默认为安全模式。
只有当检测到应用程序是不被用户手动启动的时候，图片处理控制才有效。
计算机监控/磁盘/键盘/DNS客户访问/窗口消息都不能被监听。
只有普通会被感染的文件/文件夹被保护
只有普通的组件被保护
防御+ 被用于保护系统免受感染以及检测因特网访问请求的漏洞，即便已经被感染了。











[ 本帖最后由 柯林 于 2009-10-24 13:37 编辑 ]

hekygogo

哦，大部分程序不是父进程和子进程（生成关系）的关系，只能说成调用和被调用的关系

柯林

父程序和子程序，就是操作者与操作对象的关系，发起调用与被调用的关系。
访问权限中设置的都是这个程序可以进行哪些操作和行为，不可以进行哪些操作和行为，该规则说的就是这个程序作为父程序的权限。高级操作区里优先允许和阻止的内容，是该程序的操作对象，是该程序的子程序。
以上所言，是仅就AD方面来说的；对于RD来说，是进程与注册表的关系；对于FD来说，是程序与文件的关系。不论是哪种关系，设置的都是该程序的父权限行为——操作权限。

以上所言只说父程序和子程序关系，没有说父进程与子进程关系，也没有说进程与线程关系。一般只论父程序与子程序关系。

[ 本帖最后由 柯林 于 2009-10-23 12:23 编辑 ]

lookhandsome

版主进来加人妻吧。
适合新手看。

柯林

等斑竹和老鸟进来指正错误，以免误人子弟。

hekygogo

一个函数从已存在进程中创建一个新进程，新进程称为子进程，而原进程称为父进程，他们处于一个进程树。
  “父程序和子程序，就是操作者与操作对象的关系，发起调用与被调用的关系”这句话不敢认同

sailor8

只能默默的学习。。。。没意见

我的是comodo firewall security，防火墙和D+都是安全模式。可以吧？

对于任何一条规则来讲，“保护设置”优先于“访问权限”。
●“保护设置”的权限至高无上且与位置无关。如果勾选了里面的设置，该程序的相关“权益”立即被保护，不论其它程序处于什么位置以及如何设置访问权限，都不能破掉该程序的这层“金钟罩”。其它程序要想突破其“封锁”，只能到该程序的“排除/修改”里面添加例外规则：

正不理解这两者的关系呢

[ 本帖最后由 sailor8 于 2009-10-23 12:40 编辑 ]

柯林

感谢Hekygogo兄的指导。
习惯了EQ方式，做规则时一般只考虑程序的父子关系。Hekygogo兄从技术角度进一步的分析，令人佩服。

柯林

抱歉，这句话有问题，已更正。
这是父子不同对象的关系，不具有可比性，非常抱歉。
通俗来说，毛豆为了最大限度的保护程序，给每个程序预备了“避弹衣”，穿了“避弹衣”，从外面是打不穿的，只有从“里面解决”——设置了自我保护的程序，不论其它程序如何在自己的操作权限设置可以对其它程序如何如何，如果不加入该程序自我保护的例外名单，都是无效的。