查看: 51325|回复: 201
收起左侧

[分享] 安全高效减少弹窗,方便快捷消除“误杀”——使用Comodo常用排除方法简介【含附件】

  [复制链接]
群心璀璨
发表于 2010-10-17 09:39:27 | 显示全部楼层 |阅读模式
本帖最后由 mxf147 于 2011-6-22 19:01 编辑

安全高效减少弹窗,方便快捷消除“误杀”
——使用Comodo常用排除方法简介

    本文为本人在使用毛豆过程中的一点小感受,纯为初浅之谈,没有一点技术含量,主要给新人解惑,各位大大可直接飘过~由于本人能力有限,文中难免有错误或不妥之处,敬请各位批评指正,帮助豆友们共同进步!


——————————————————————————————————

     下载PDF文件方便阅读
   
   本地下载:






——————————————————————————————————

    磕毛豆是一件痛并快乐着的事,过程很艰辛,但结果很喜悦。通过打磨毛豆规则,不仅可以学到安全方面的知识,更重要的是,我们可以通过毛豆来达到掌控自己的电脑的目的,这是一件深有成就感的事!
    在认识HIPS之前,我只知道杀毒软件和使用习惯可以给电脑带来安全感,于是便非常勤奋、不亦乐乎地升级病毒库,同时又提心吊胆的担心别人用我电脑干些××的事,用电脑用得很累人……自从认识了HIPS,学会了毛豆,这种小心翼翼的心理完全消失了。别人用我的电脑,随便用,你想使我的电脑中毒还嫩着呢~使用毛豆来,以前不懂的系统知识、软件知识、安全知识得到了很大的充实,这确实是一件很心旷神怡的事!
    然而在一开始接触毛豆时,的确很○疼~不想用安全模式,疯狂模式下默认的规则总是有无止境的弹窗,每次用电脑点得手发酸(曾经有位童鞋用迅雷,点了15分钟的允许,300多个弹窗……这里没有任何贬低这位童鞋的意思,仅仅为了说明新手使用毛豆是一件多么痛苦的事。更头疼的是,这些弹窗TMD什么意思啊?!于是,套用论坛各位高人的规则。殊不知,高手的规则看不大懂不说,用高手的规则带来的更多的是烦恼:“误杀”很严重!运行一个规则中没有的程序,要么被扼杀在摇篮之中(无法运行),要么缺胳膊少腿的(使用不正常),找不到原因,看不懂日志……这里倒不是说各位高人的规则怎么怎么的了,现在我也知道要些一个完全通用的规则根本不可能,除非牺牲安全性!
这里,我仅以一个使用者的身份与大家交流一下使用毛豆时怎样消除毛豆的无穷无尽的弹窗以及“沉默的灭亡”,感兴趣的童鞋可以看一下。本文在Win7下成文,部分路径可能与XP不同,但是影响不大!
一、常识普及
1.Comodo规则设置
    在一条程序规则中可以对该程序进行相关的权限限制和保护设置,下面分这两个部分来介绍。
1)、访问权限
    这里是对一个程序的限制设置,通过合理的设置以达到限制程序动作的目的。具体的每一条是什么含义,前人已经说了,在此直接“拿来主义”(感谢原作者柯林前辈)。
1访问权限设置

——————————————————————————————

    运行一个可执行程序——谁都看得懂,无需废话解释,就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截,指的就是这东东——A程序运行B程序被阻止。
    进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间,用来存放代码和数据。如果A程序修改了B程序的内存,就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程,为了通俗易懂,就说习惯上的程序吧】。鉴于毛豆的读写不分,谨慎允许该项吧。注意,访问权限里的内存访问,说的是允不允许它去访问别的进程内存;保护设置里的内存访问,说的是允不允许别的进程来访问它的内存。
    窗口事件或者事件钩子——习惯上的说法是安装全局钩子,帮助文档里的说法是执行钩子。钩子的作用就是截取(指令、信息、数据),后果就是窃密、盗号,劫持等。钩子通常是dll文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意,访问权限里的钩子,说的是允不允许它执行钩子。至于是执行哪些钩子,当然是应该加以限制的。通常允许执行system32下的系统dll钩子是安全的。保护设置里的钩子,可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它;对于杀软、HIPS等安防软件来说,可以理解成允不允许在它们的钩子之上加装别的钩子,如果允许,那么新装的钩子将先于杀软和HIPS的钩子截取信息。
    进程终止——通俗讲,就是允不允许它结束别的正在运行中的程序。专职运行结束进程的,有csrss.exe,任务管理器,comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下,一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是,挂起进程只是暂停,结束进程是停止并退出。注意:访问权限里的进程终止,说的是允不允许它结束别的进程;保护设置里面的进程终止,说的是允不允许别的程序来结束它的进程。
    设备驱动程序安装——安装驱动,极端危险的事件之一。驱动程序是运行在内核态的,ring0级,一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件,其它的禁止吧。
    窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃,玩测试工具时可以禁止该项操作。注意,访问权限里的设置,说的是允不允许它向别的进程发送窗口消息;保护设置里面的设置,说的是允不允许别的进程给它发送窗口消息。
    受保护的COM接口——程序可以通过COM接口使用相关组件,可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载……
    受保护的注册表键——这个不需要解释了,危险事件。允许该项操作,程序可以任意访问注册表,修改设定保护的注册表内容将不再过问。阻止该项操作,程序不可以修改受保护的注册表内容。
    受保护的文件目录——重要目录、路径,指定的exe等文件的保护。危险事件。如果允许该项操作,FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。
    域名解析客户端服务——允不允许该程序使用域名解析功能。允许,则该程序执行域名解析的活动不受阻止。
    内存——访问物理内存。关于该项的危害,帮助文档里说恶意程序尝试访问物理内存运行各种漏洞——最有名的是缓冲区溢出漏洞。一个接口允许在特定的内存地址中存放一定量的数据,但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。根据这些说明,主要是防止恶意程序的。一般情况下,能够限制的程序尽量限制吧,对于不明程序一定要严格限制,安全可信和必要的程序可以允许【例如系统进程,安防软件,内存整理工具等】。
    屏幕监视器——访问屏幕,获取屏幕信息。截图软件,游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。
    磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写?除了wmiprvse.exe和磁盘清理、碎片整理工具外,其它的阻止吧。按照帮助文档里的说法,阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。
    键盘——键盘记录,获取你输入的内容。盗号木马最喜欢的事情,出于防盗考虑,不明程序、没必要的程序都禁止吧。记事本,文字处理文件,绘图工具,游戏等需要输入文字信息的软件,需要允许,浏览器登录某些站点输入帐号密码等可能也需要允许。

————————————————————————————————

2)、保护设置
    这里是对于一个程序的保护设置,当勾选“活动”时,对该程序的保护才生效。需要注意的是,保护设置里的优先级是相当高的,除了在“修改”里有了排除,否则在访问权限里的任何设置均无效!一般的只需对系统关键进程、杀软类程序和自己想进行保护的程序进行保护设置。
2保护设置
    进程间内存访问——是否允许其他程序访问本程序内存;
    窗口或事件钩子——是否允许其他程序安装钩子到本程序;
    进程终止——是否允许其他程序终止本程序进程;
    窗口消息——是否允许其他程序给本程序发送消息。

2.优先级简介
    Comodo D+执行的流程是从上到下匹配规则遇到能匹配的(明确的允许和阻止)就立即执行,执行即生效(这也就是很多程序运行过程中就被阻止了的原因),不能匹配的(询问),就交给下面的规则,若执行完了还没有匹配的,就弹窗交给用户决定,并生成一条规则在最上面,供大家自己进行进一步的打磨。
    在“计算机安全”的Defense+规则中,优先级由上到下依次降低,在上面的规则先匹配规则。在单条规则中:例外允许>例外阻止>允许=阻止>询问。在一条规则中,即使外面有明确的匹配关系,仍受“修改”里面的例外限制。保护设置里的修改优先级最高。
3.日志的查看与识别
         Comodo日志是除了主程序cfp.exe外用到最多的程序。通过日志可以查看D+阻止了什么,为修改规则提供依据和方便。一般的做法是将CIS文件夹下的cfplogvw.exe(comodo firewall log viewer)创建快捷方式到桌面或快速启动栏方便快速查看:
3给日志查看器创建快捷方式

    在日志中的记录和访问权限、保护设置的相关对应关系如下表:

1   日志记录与D+规则中的相关设置的对应关系表
日志记录

访问权限

保护设置

创建进程/创建进程,拦截病毒

运行一个可执行程序


访问内存

进程间内存访问

进程间内存访问

拦截钩子/安装钩子

窗口或者钩子事件

窗口或者钩子事件

终止进程

终止进程

终止进程

安装驱动

设备驱动程序安装


发送消息

窗口消息

窗口消息

访问COM

受保护的COM


修改注册表项

受保护的注册表


修改文件

受保护的文件/目录


DSN/RPC客户端访问

域名解析客户端服务


物理内存访问

内存


直接显示器访问

屏幕监视器


直接磁盘访问

磁盘


直接键盘访问

键盘




    特别注意:访问权限里的进程间内存访问内存含义不一样;阻止磁盘不影响文件的保存;阻止键盘能打字,但是调用输入法打字异常。
   
    从表中我们可以发现进程间内存访问、窗口或者钩子事件、终止进程和窗口消息在访问权限和保护设置里都有。看到日志里有相关拦截时注意考虑到底是访问权限出了问题还是保护设置里出了问题。一般地,对于系统关键进程、杀软以及自己想保护的程序才进行保护设置。当这些程序有拦截记录时,先考虑在保护设置里排除;其余程序一般在本程序规则的访问权限里修改。
4.通配符简介
       Comodo的通配符支持,官方没有清晰的说明,论坛上交流的经验大部分是个人摸索的结果。一下为毛豆支持的一些通配符:
   “?”:代表一个字符,如?:\代表所有的盘符;
   “*”:代表任意字符(包含0个、多个),如*.*代表任意包含“.”的文件/文件夹,那么?:\*就代表任意盘符下的任意文件/文件夹;
      ?:\Program Files\*.exe代表任意盘符根目录Program Files文件夹下的.exe文件;
      ?:\Program Files\*\*.exe代表任意盘符根目录Program Files文件夹下一级文件夹下的.exe文件;
     ?:\Program Files*\*\*.exe则包含了以Program Files开头的文件夹,如Program Filesx86)等。

二、快速减少弹窗的方法

    一般的运行一个新程序弹窗最多的是注册表修改(RD)和文件修改(FD),ADND方面就比较少了。下面以枫树浏览器(ChromePlus)为例,讲解我是如何快速减少弹窗的问题的(本人接受不同的意见~),FD在默认监控基础上增加%SystemDrive%\*(系统盘下所有文件/文件夹)、 ?:\Program Files\*,其余不变:
    双击运行ChromePlus,弹出一大堆窗口让我点。OK,老老实实点呗~这是运行一个ChromePlus所刷的日志!
4真是壮观啊,200多条日志!

    看看规则规则里修改了什么~
5  单单Chrome主程序FD就修改了75项!
    再加上IEHostUpgrade……那不是累死人了!!
    分析日志发现修改较多的是下面三个文件夹:
        C:\Users\*\AppData\Local
        C:\Users\*\AppData\Roaming
        D:\Program Files\ChromePlus
    那么就给它一个权限:
6  扩大FD范围
    再重新运行ChromrPlus,来看看效果:
7  运行后FD部分只弹了一个窗
    看看日志记录:
8Chrome只记录了一条日志~

    由上面我们可发现,在程序运行过程中将修改比较多的目录进行相关的修改,放宽范围,可以减少90%以上的弹窗!也许有些同学想到了,如果我写一条?:\Program Files\*\*.exe,对常用程序经常修改的目录进行统一的放行,那么在运行其他程序时不时也可以减少很多的弹窗啊?!Ok,试一试~
    新建文件组?:\Program Files\*\*.exe,命名为“程序放行”,放于全局规则之上,FD权限设置为:
9?:\Program Files\*\*.exe统一放行

    图中%UserProfile%为环境变量的写法,Win7 %UserProfile% =系统盘符:\Users\用户名,如C:\Users\Administrator。下面验证刚才的那条规则有没有效~运行另一个程序wps.exe
10  发现FD方面的弹窗减少了99%

    从而印证了该条规则的巨大作用,一条规则减少90%以上的弹窗,是不是很惬意、很Sweet呢~呵呵……
    但是(但是后面的东西往往是重点),有些同学又怀疑了,你放行了那么多的东西,安全性怎么保证??万一我上网一部小心,很多马儿跑到了我的临时目录下,电脑变成“养马场”了我都不知道怎么办啊?!万一有个不正规的程序要修改我的重要目录怎么办?!这个怀疑很好,下面我们就来补漏~怎么补?且往下看:
    新建一个文件组“*”,命名为“重要保护”,放于“程序放行”之上(不能位于下面)FD权限设置为:
11  重要保护FD优先阻止可执行程序和想要保护的文件

~~这部分内容有诱惑性“误导”嫌疑~~各位自己明辨是非了,呵呵

    这一条规则的作用非常大,充分发挥了毛豆FD的威力!真正做到御敌于国门之外!为何?病毒运行首先得需要主体吧?而且这个主体必须是可执行的吧?有了这道过滤,直接封死了病毒的主体的生成,还谈什么运行?!呵呵~全盘都不能出现病毒文件,更别说临时文件夹下了。
同时,有了这条规则你可以放心地运行曾经风靡全国的熊猫烧香了,任何感染可执行程序型的病毒都不能危害你的电脑了。对于这类感染型的病毒,别说病毒、木马,就算是神马都是浮云~你会发现这类病毒是那么的脆弱!一条规则就直接秒杀了,呵呵~当然,其他类型的病毒另当别论
    同时,这条规则可以保护毛豆的文件不被未经允许的程序修改。以后还有什么需要保护的文件直接往这里放就行了。“程序放行”里的放行的文件夹要修改让他们随便修改,反正不能破坏我的电脑,懒得为每一个程序单独设置只允许修改本身的文件夹了。当然,有需要保护的配置文件等其他不想被修改的文件可以在本条规则中优先阻止之。
    此外,由于毛豆的优先允许>优先阻止,这两条规则能做到一条规则做不到的。比如我们要阻止QQ修改
?:\ProgramFiles\Tencent\QQ\Plugin\Com.Tencent.Advertisement下的文件,但又要放行它修改?:\Program Files\Tencent\QQ\下的文件,一条规则怎么写?!有了这两条,我们只需在“重要保护”中FD优先阻止?:\Program Files\Tencent\QQ\Plugin\Com.Tencent.Advertisement*就行了。
    那么,问题又来了,这样我用浏览器不是下载不了.exe文件了,难道下次下载软件时还得退出毛豆吗??非也~你只需将浏览器的规则放于“重要保护”之上,并优先允许下载文件夹就行了,看图:
12浏览器FD优先允许下载文件夹,如E:\Download就可下载软件到该文件夹下了

    除了FD外,再在“程序放行”中放行一些程序常用的钩子、内存访问、注册表等,再阻止一些危险的不常用的动作,这下又减少了不少的弹窗了,看图:
13常用进程间内存访问放行
14常用进安装钩子放行
15常用注册表放行
16再阻止一些不常用的危险动作(驱动安装、访问物理内存、底层磁盘访问)
     
    这样设置后,运行你的?:\Program Files\*\*.exe下的软件,即使监控范围比较广,弹窗会变得很少了~
17疯狂模式下进行合理放行,即使监控了C:\*?:\Program Files\*
运行一个新程序,弹窗也不会很多滴


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7人气 +8 收起 理由
人世百态 + 2 好东西哦,学习了
羽化仙 + 1 精品文章
田藏锋 + 1 拉了好长的网页才找到加RQ的这里~
spykid + 1 精品文章
萧剑 + 1 精品文章

查看全部评分

群心璀璨
 楼主| 发表于 2010-10-17 09:40:33 | 显示全部楼层
本帖最后由 群心璀璨 于 2010-12-3 19:50 编辑

回复 1楼 群心璀璨 的帖子

三、套用别人规则的常用排除方法简介

    别人的规则终究是别人的,要经过自己的修饰才能适合自己,当然那些拼命放行拼命弹窗的规则(如默认的规则)除外。拿到一个规则首先了解作者的防御思路规则编写的思路,再在此基础上进行稍微排除即可。
    排除的原则是:1尽最小范围的允许2阻止后不影响使用的尽量考虑不要允许
    譬如:能在单条规则中排除的尽量不要到通配规则(如全局规则)中排除,能排除单个文件的尽量不要排除整个文件夹。如排除*\Google\Google Pinyin2\control.bin就能正常使用的就不必排除*\Google\Google Pinyin2\*
一般的,套用别人的规则我总结了三种方法,下面逐一介绍。

1)、在“文件组”中添加程序路径
     一般的规则编写作者会将一类相似的程序归为一组(Group,而这些分组的程序可能收集不全,但是这些组的规则(访问权限和保护设置)都是已经打磨好的了,我们要做的就是将要排除的文件的路径添加到合适的组中来。这种排除方法比较适合单程序,不易乱。
一般的步骤为:计算机安全规则→受保护的文件和文件夹→组→找到合适归类的文件组→右键“添加”→找到文件路径(或直接从日志中复制路径过来)→选中程序不动拖到右侧→应用。
18文件组中添加程序排除

2)、套用预设规则
    这种排除方法比较适合多程序文件且有大量预设规则的规则,如纯黑的单奔规则。
    一般步骤为:
      1、计算机安全规则→受保护的文件和文件夹→组→添加→一个新的组→输入组名→添加程序路径→点完“应用”和“确定”;
19添加一个新的组

    2、计算机安全规则→Defense+规则→添加→文件组→找到刚才建的Program_Matlab组→使用预定义规则→套用一个合适权限的规则→应用→将规则移到合适的位置(对于全局规则有严格限制的必须移到全局之上)→确定。
20将新建的Matlab组添加到D+规则中,并套用“可信的程序”

21选中规则不放鼠标,将新建的规则移到合适的位置

3)、根据日志逐项排除
    这可能是最常用的排除方法了,而且是最麻烦但是最细致的排除方法。对于那些对程序有通用的放行(如抓抓的超安静规则),排除起来会很简单,但是对于像纯黑的全局禁运规则,这种方法排除起来会非常麻烦!所以,对于全局禁运的规则,可以用上述两种方法排除。这种排除没有太多的好说,看日志,阻止了什么,在规则中例外允许什么再次强调:除非你非常非常信任的软件,否则,请慎重钩选“修改”外的“允许”!
    一般步骤:
        1、打开日志查看器→双击日志记录→选中目标并复制(Ctrl+C);
22查找日志并复制“目标”项

      2、计算机安全规则→Defense+规则→找到相应程序规则→双击→访问权限→修改→优先允许→添加“浏览或右键“添加”→粘贴(Ctrl+V)→依次确定。
23添加例外允许

    对于经常用到的例外允许或阻止,我们没有必要每次都到日志中去复制在粘贴,完全可以利用分组来完成排除工作。分组为Comodo为了方便规则的编写而设置的“容器”,通过添加一个组,可以同时添加很多项,并且分组可以复用——即可同时添加到多条规则中:
24对于常用的排除项可设置分组

25通过文件组同时添加多个“例外允许”

    以上主要是访问权限的排除,有时可能出现不管怎样排除都会出现无效的现象,这可能有两个方面的原因:
        1D+规则中有通配符过滤规则,而你的程序规则在通配规则之下
        2保护设置里没有例外允许。
    出现第一种情况比较好办,直接将规则拖到通配规则之上即可。

26调整规则位置使排除生效

    遇到保护设置的组织则直接到保护设置里添加例外。一般地只需对系统关键进程、杀软以及自己需保护的程序(如加密软件等)设置保护,因此这类的排除范围比较窄,也不是太难。当然,对于保护设置没有勾选“活动”的规则这一步排除就没有了。

27保护设置里的例外排除

         OK!至此,常用的排除方法已经简单介绍完毕!更多的使用技巧靠大家自己平常慢慢体会了~
    受本人能力所限,本文中介绍的方法可能并不一定正确,也有不全的地方,请楼下各位继续补充!

    最后,推荐一些非常非常优秀的精品+极品文章!学习HIPS不仅仅是学习编写规则,更重要的是学习防御思路和安全知识!

    推荐阅读:
        olly瘟神的尾行——Rootkit技术的发展史;        
        pilswin32 api拦截——HIPS核心技术;      
       qqq123123毛豆全攻略。

    最后的最后,非常低调的打个广告,不要BS偶,偶是真的很低调~~呵呵……Comodo V5版温馨规则【支持XP,Vista&Win7】
==============================  All Over ==============================  

评分

参与人数 5人气 +5 收起 理由
spykid + 1 帖子太长
loveyuwei + 1 图文并茂的教程贴。加分支持!
zlj_lf + 1 就是这样
超现实主义 + 1 不顶楼主实在过去去!
helokii8 + 1 这么好的文章再多一点

查看全部评分

群心璀璨
 楼主| 发表于 2010-10-17 09:41:51 | 显示全部楼层
继续占座

评分

参与人数 1人气 +1 收起 理由
田藏锋 + 1 占座消费,嘻嘻

查看全部评分

桃花祭酒
发表于 2010-10-17 10:16:04 | 显示全部楼层
受教了...问下怎么排除apiport 接口的访问...
群心璀璨
 楼主| 发表于 2010-10-17 10:18:53 | 显示全部楼层
回复 4楼 桃花祭酒 的帖子

com口添加例外允许
helokii8
发表于 2010-10-17 10:26:43 | 显示全部楼层
这个帖子花费了不少心血  必须顶一下
群心璀璨
 楼主| 发表于 2010-10-17 10:30:48 | 显示全部楼层
回复 6楼 helokii8 的帖子

本来是在一楼编辑的但是后来发现超字数了~~二楼是重新编辑的,图片上传那个慢呐……
zxzy
发表于 2010-10-17 10:47:47 | 显示全部楼层
[:27:]支持。写这么多东西肯定很累吧。
群心璀璨
 楼主| 发表于 2010-10-17 10:53:59 | 显示全部楼层
回复 8楼 zxzy 的帖子

还好,在Word里打了一周左右,当然是闲着的时候打的~可以给身边的同学看看。
yue5ya
发表于 2010-10-17 10:57:54 | 显示全部楼层
就凭这字数也要顶死楼主啊 。。。很久没看到这么长的帖子了   楼主辛苦了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 13:44 , Processed in 0.153732 second(s), 24 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表