胡乱写个规则过了CTL测试~

zlj_lf

今天闲着没事，自己参照抓抓兄和月光MM的规则的分组，自己添加了一些分组，然后写了个规则出来，系统应用程序除了 services.exe和rundll32.exe稍微限制了一下，其它system32目录下的程序全部信任了，结果写出来的规则拿HIPS测试工具，居然全部通过。看样子COMODO并非那么不可攀登。我学习COMODO也就一个月左右时间吧，鼓励下刚入手的新同学。
文件分组：




我的受保护文件：

安全规则：



CLT测试：

APT：全通过了。

SSS：防火墙那边没设置规则，所以防火墙没通过，其它项全部通过



感觉以这种方式编辑一套规则确实是比较容易实现通用性，但是也有缺点，就是有特殊软件的时候，排除起来比较难。为了不给所有软件相同的权限，必须通过例外规则来排除。
但是这样编辑规则的好处是不需要每个软件一条规则，不需要规则套用，能实现安静、安全拦截，并且也不会对日常应该造成影响。非常喜欢。

一般情况下FD这一块基本没有什么需要排除的，通用性很好，关键是注册表、COM接口排除起来比较费事。得重新建立一个例外列表，不过如果是特别信任程序的话，其实也可以通过内置白名单的方法来排除，非常方便。

3533534

这个不叫胡乱

zlj_lf

回复 2楼 3533534 的帖子
确实没有很认真的去写规则，大概弄了一下。里面很多组的项都不全

   

comicwm

过CLT其实不难，就那几个关键位置照顾到就行了
不过，写个好规则还真是费脑细胞的

zlj_lf

回复 4楼 comicwm 的帖子

肯定累，好在我不怎么自己写规则，拿现成的改
   

3533534

回复 3楼 zlj_lf 的帖子


   hehe

lixiang1977

楼主可以直接用疯狂模式试试！

zlj_lf

回复 7楼 lixiang1977  的帖子
是用疯狂模式在program files目录下测试的

   

hekygogo

一笑而过～CTL不一定分数越高越好，咋还看不清这个呢～

abin202

CTL不一定分数越高越好hekygogo 发表于 2010.6.18 20:13

有点深奥，想半天没想明白该怎么理解
是不是说，有的时候下CTL分数高好、有的时候CTL分数低好？
能举个例子说明一下不？