毛豆D+的“进程访问规则”的困惑。

fkrs10

学习毛豆的D+，感觉就在这儿不太明白。想请问一下：

运行一个可执行程序
进程间内存访问
窗口或者事件钩子
进程终止
设备驱动程序安装
窗口消息钩子
受保护的COM接口
受保护的注册表键
受保护的文件目录
本地环回网络
域名解析客户端服务
内存
屏幕监视器
磁盘
键盘

上面的这些专业词语，它们究竟表示什么意思？什么样的程序才应该拥有对它们的必然权限？

打个比方：我用QQ，那么，上面的那15个权限中的哪些是QQ必然要用的，若不给予它权限，它就运行不了，或者运行不正常。那些权限是可要可不要的，那些权限又完全是多余的。又比如GB浏览器（因为我用这个，以此为例），这15个权限中，那些又是它必然要用到的，那些又不确定是，那些又完全用不到？

当然，如果一个程序一个程序的来讲，肯定没法讲了。那分出类别来就简单多了。

比如：
看电影
听音乐
聊天
办公（OFFICE）
下载（尤其要指明迅雷，因为它还有上传的功能）

这样的话，初学毛豆的朋友来学习D+就简单多了。

这多的话大概可以归纳为，请这儿的虾们回答两个问题：
1 ，那15个权限的表述。
2 ，常见功能的设置注意（比如，针对我上面所说的看电影，听音乐，聊天等等）

你还是先去看置顶贴吧。

夜梦飞飞

有疑问建议先去置顶贴翻翻

wangyunxi80

http://bbs.kafan.cn/thread-487620-1-1.html
我是自己调试的，规则千变万化

fkrs10

谢谢楼上的，正是需要的。

这个贴子说得真好。奇怪，我怎么用搜索没找到呢？郁闷。

Yilon_Ye

1，运行一个可执行程序

  在前面的入门贴子中，已经提到过，建议COMODO的新用户抛弃“父进程”“子进程”的概念，而代之以“父对象”“子对象”，原因很简单，对COMODO这样4D皆全的HIPS软件来说，它所监控的内容不仅包括程序，还有文件、注册表、COM口等内容，所以用对象比较好理解。这里的“运行一个可执行程序”，举个简单的例子，在资源管理器中双击运行一个程序setup.exe，实质上就是通过explorer.exe调用这个可执行程序。此时explorer.exe就是父对象，setup.exe就是子对象——也就是说，COMODO会监控这一行为并报警，提示信息就是“explorer.exe正在运行一个可执行程序”。

  如果你确认它调用的setup.exe是一个安全的程序，放行即可；如果该行为并不是用户主动触发，则一定要确定父对象和子对象都属于安全程序，并确认程序路径。比如我通常使用的maxthon浏览器，它自身带有下载组件，假设名为downtool.exe，当我用maxthon找到某资源的下载地址，并通过downtool.exe下载时，COMODO就会提示“maxthon.exe试图运行一个可执行程序downtool.exe”。

  此时，在弹出的提示窗中，你可以看到左边是父对象maxthon.exe，右边是子对象downtool.exe。单击对象名称，COMODO即会提示该程序在本机的详细路径，以帮助用户判断该程序是否是已知程序或安全程序。如果是不熟悉的程序，比如是刚从网上下载的可执行文件，一般可以先尝试阻止（同时选择不记录规则——不记录规则，意味着下次同一个父对象再调用同一个子对象时，仍会弹出提示窗口）——如果该程序运行正常，在再次弹窗提示的时候，可以选择阻止并记录规则；

2、进程间内存访问

  进程间的内存通信，如果允许此权限，则父对象可以修改子对象的进程内存，并可以插入自身的代码到已运行的进程，通过子对象的进程来完成操作。通常情况下，一般的应用软件不需要有些动作——但对大多数国产软件来说，程序员并不都能意识到这样做的风险，所以进程间的访问，对国产软件来说，应该算是比较难判断。按照一般原则，先阻止（不记录规则），运行正常的话下次弹窗时选择阻止并记录规则；如果运行不正常，则在下次弹窗时选择允许并记录规则；

3、窗口或事件钩子

  利用api来提前拦截并处理windows消息的一种技术，钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。

  有一点是可以确定的，很多程序的正常功能会用到窗口或事件钩子，比如截图工具，比如聊天工具。

4、进程终止

  进程终止，是指父对象试图终止子对象的进程。比如用任务管理器终止某程序的进程，COMODO就会提示。这一动作有一定的危险性，通常病毒或木马会尝试用不同的办法中止杀毒软件或防木马工具的进程，以达到自身存活的目的。所以绝大多数情况下，可以选择阻止——对特殊的程序，比如系统的任务管理器，可以给予此权限。还有一种情况要注意：程序自身被手动关闭，比如maxthon.exe，点击程序右上角的关闭按钮，COMODO也会提示：maxthon.exe尝试终止maxthon.exe，即自身终止自身，应该予以放行并记录规则；

5、设备驱动程序安装

  理论上或者说正常情况下，要求加载驱动的正常程序很少，只有安全软件（比如杀毒软件防火墙或冰刃一类的安全工具）会要求加载驱动，但是从当前实际的应用环境来看，确实有相当多的软件根本拿驱动不当回事儿，动不动就要加载驱动。原则上，除了摄像头一类的硬件调用，尝试禁止即可。

  需要强调的是：一旦允许加载驱动，程序就获取了ring0层的权限，也就是跟操作系统、HIPS软件一样的权限级别。有人问，COMODO会被恶意程序干掉吗？答案是：只要你允许恶意程序加载驱动，该程序的权限就跟HIPS一样了，当然能干掉。

6、窗口消息钩子

  为方便使用常用和已知程序的窗口消息钩子均可以允许，对于不清楚的建议先阻止，不影响使用就可以阻止并记住。有些病毒会利用窗口消息钩子破坏你的安全软件和系统。

7、受保护的COM口

  COM可以理解为一些组件，对外提供公开的接口以供其他程序调用。有些组件是DLL，有些程序如IE，也对外提供COM接口，只要遵循com规范就可以相互直接通信。毛豆COM口内容很多，一般对提升权限、修改系统时间、服务管理重点防范。

8、受保护的注册表键

  主要防止修改注册表自启动、服务驱动和映像劫持等。哪些注册表键值会受到COMODO保护，可以在相关的RD模块中自行设定；

9、受保护的文件/目录

  FD内容，看具体程序而定，这个比较直观，主要保护系统重要文件及个人私有文件。跟上面所说的受保护的注册表键一样，也可以自行设定；

10、本地环回网络

  本地环回，是应用广泛的一种虚拟接口，主要用于路由器。当本机上不使用本地代理转发和接收类软件时，本地环回网络访问的是本机；当使用本地代理时，某些程序不需要通过访问DNS就能实现与外部网络的通信。一般情况下允许，交由COMODO防火墙控制。

11、域名解析客户端服务

  允许提供客户端域名解析服务。在系统的服务列表中，有一项名为dnsclient的系统服务，与此有关。需要联网的程序都有此请求；

12、内存

  在NT内核系统中，操作系统是利用虚拟内存管理来维护地址空间映像。应用层的程序一般不需要直接访问物理内存地址，而是通过内核中的某些驱动程序将虚拟地址空间映射为物理地址空间，从而实现对物理内存的访问。直接访问物理内存也可以获得很高的系统特权，一般选择阻止。

13、屏幕监视器

  屏幕监视器，截图工具通常会用到，像QQ的截屏组件就需要。此项主要是为了防范恶意屏蔽记录程序作恶，除非你知道父对象确实需要，否则禁止。

14、磁盘

  受保护的文件/目录仅仅只是在Windows层面上进行访问控制，如果程序通过直接对磁盘进行操作的方法来可以绕过毛豆对其的FD控制，因此一般来说要阻止该底层操作。阻止之后一般软件的使用不会受到影响。——我们通常所说的“直接底层磁盘访问”，指的就是它了。通常的原则是：除去一些磁盘管理工具，比如磁盘整理工具、分区工具，以及冰刃之类的安防工具之外，统统禁止。

15、键盘

  访问键盘、进行键盘输入监控是很多正常程序也有的行为，根据具体情况判断。通常情况下，不确定的程序首选阻止。



(忘了哪找的了.....)

luoyou1988117

学习LS的了，感谢

huangy811

学习