【求助】这条禁止规则找不到

显示全部楼层 · 发表于 2007-5-26 13:53:40

今天又把Comodo装上了，用了一阵子弹出一个对话框说Explorer要通过Thunderbird怎么怎么着，我没认真看点了阻止（因为前一阵子收信收得好好的）。然后就收不了信了。看Comodo日志里有这么两条：

Date/Time :2007-05-26 13:36:03
Severity :Medium
Reporter :Application Monitor
Description: Application Access Denied (thunderbird.exe:202.99.166.4: :dns(53))
Application: D:\Program\Thunderbird\thunderbird.exe
Parent: C:\WINDOWS\explorer.exe
Protocol: UDP Out
Destination: 202.99.166.4::dns(53)

Date/Time :2007-05-26 13:36:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (thunderbird.exe:202.99.160.68: :dns(53))
Application: D:\Program\Thunderbird\thunderbird.exe
Parent: C:\WINDOWS\explorer.exe
Protocol: UDP Out
Destination: 202.99.160.68::dns(53)

但是我到应用程序规则里找不到对应规则啊？里头两条Thunderbird的规则就是TCP/UDP In，TCP/UDP Out，都是允许啊？

怎么回事？哪位指教一下？

还好只是临时规则，重启后OK了。

显示全部楼层 · 发表于 2007-5-27 09:11:55

Hi
这是个间接联网的问题，explorer 试图通过 OLE/COM 使用Thunderbird 获得网络访问权限。换句话说，explorer有可能可以通过Thunderbird 向外发送数据，如果没有Comodo的话，你并不知道，和平时收取邮件没有差别。PCFlank Leaktest用的就是这种方法，能绕过大多数的HIPS和防火墙。

这个警告来自程序行为分析，它生成的规则的权限是最高级别的，既然你选择了阻止，那麽放行的程序规则就不起作用， Application Access Denied 。

你选择一次性的阻止，临时规则就在内存里，没有生成永久规则，重启以后失效很正常。

显示全部楼层 · 发表于 2007-5-27 09:38:07

谢谢老大，但是这条阻止的规则在哪里呢？是不是临时规则就不会显示在应用程序规则里？

显示全部楼层 · 发表于 2007-5-27 09:59:00

临时规则不会添加到程序规则里，应该在内存里。

显示全部楼层 · 发表于 2007-5-27 10:44:49

喔喔，懂了，谢谢谢谢
以前用Comodo上不了QQ肯定也是被一个临时规则害的了。Jetico是把临时规则显示出来的。
要能从Comodo日志创建规则就好了。

显示全部楼层 · 发表于 2007-5-27 11:10:35

Jetico 的临时规则是在 Application Table
象这种情况下的规则应该在 Jetico的 Process Attack Table，PAT里是没有临时规则的，如果我没记错的话。

显示全部楼层 · 发表于 2007-5-27 11:22:24

老大说得对，Jetico的PAT没有临时规则
Comodo里这种，如果我勾选了记住我的选择，那么这条阻止规则会在应用程序规则里出现吗

显示全部楼层 · 发表于 2007-5-27 23:17:06

在注册表里，我是不推荐改注册表。如果要改的话，注意备份规则。
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\IPC