最稳定的规则，强烈建议完善

柯林

回复 20楼 独步行 的帖子

你可能记错了，属于“访问权限”。
一般来说，你可以放到全局规则里阻止运行。资源管理器一般具有高权限，不受影响——如果规则严，可以在资源管理器的规则里排除。
当你不限制资源管理器的使用时，要注意楼主说的恶意删除文件的批处理问题——运行前最好看看批处理的内容。

独步行

回复 21楼 柯林 的帖子

呵呵，我是分开说的，前面是“保护设置”，把别的软件对他们的内存访问、进程终止、窗口消息全禁制了，只放行自己放心的程序；后面是“访问权限”，在别的软件的“运行一个可执行程序”里面阻止运行它们。
批处理倒是自己会看看的。是不是有可能有软件通过创建explorer进程（我对explorer运行一个进程很松）来运行其他的进程什么的（如批处理文件），然后达到目的呢？
谢谢

柯林

回复 22楼 独步行 的帖子

保护设置对它们具体行为的控制，没多大作用吧。你要限制的，是激活它（运行它）及运行后它的行为方面。
是否存在多级转运，不知道。从原理上来说，当病毒注入explorer，成功控制explorer后，是可以调用explorer做explorer有权限做的事的。直接调用explorer去运行其它程序，好像一般来说很少听说有实例。

独步行

回复 23楼 柯林 的帖子

谢谢！
既然要用到的话，就不想把他们限制的太死了，毕竟是系统程序，呵呵，我是想把可以调用它们的程序控制死，只有特定的程序才能调用（运行）它们。
“当病毒注入explorer，成功控制explorer后，”我通过全部激活explorer“保护设置”里面的选项，能否达到不被病毒注入啊？呵呵，真的是麻烦，你说的那个注入可以的话，意味着，保护设置里面的“例外”里面的程序也必须得是安全的，那样的话，那些程序也得保护好连锁效应啊

柯林

回复 24楼 独步行 的帖子

没必要这么紧张，你能下到那种病毒的几率，恐怕也是万分之一，成功运行病毒并注入explorer，恐怕又是千分之一……算了，忘掉吧，免得自己神经衰弱——comodo有云，未知程序自动帮你鉴定；不明程序对explorer的危险操作会有提示。

列出的那些程序，基本上都是病毒及黑客喜欢使用，而自己平时几乎用不到的——说实话，对于一般用户而言，除了安装与卸载某些程序时可能用到cmd.exe外；除了需要安装或关闭某项服务需要用到system32下的net*.exe程序外；除了注册表整理软件及自己操作注册表需要用到regedit.exe外，几乎没用。将它们放入全局规则拦截，正是防止病毒或黑客使用它们（调用它们）。
而将cmd.exe和cscript.exe和wscript.exe放入沙盘给予最低权限，则是为了防止自己错点恶意脚本——即使运行了也不能对实机产生伤害（只要不漏沙）。

独步行

回复 25楼 柯林 的帖子

呵呵，主要是自己用的几百个软件基本是绿色的或者破解的，危险系数高啊（当然基本过杀毒软件的扫描了）幸好有个sandboxie，很多陌生程序都在里面运行了。衰弱倒谈不上，原来只装卡巴，后来nod32 ，没任何辅助也没遇到过病毒什么的，只是逛论坛看了一下大大们的争论，倒是发现原来这么危险啊，哈哈呵呵看样子还真的专门为这几个程序建个规则，自己用时权限提高，平时的话给个低的权限
再次感谢，呵呵。

6398780

支持笔者

duan8989

柯林 发表于 2011-5-10 12:17
回复 1楼 骨灰级小白 的帖子

如果仅仅是不防脚本问题，你可以把

这个比你在教材《如何走进comodo的世界》第三章《病毒防御》篇中要求禁运的多吧？既比教材更严格了吧。在全局规则中禁运是：全局规则→访问权限→运行一个可执行文件→修改→阻止的应用程序→添吗？谢谢。

柯林

回复 28楼 duan8989 的帖子

是像那样添加的。
是否禁运，还是监控使用，这个问题由大家自己掌握。理论上来讲，在不妨碍系统正常运行的情况下，把能被病毒利用的危险程序禁运，效果比较好，当然，禁运会带来一些麻烦，比如自己要用需要排除，安装、卸载程序要用时也需要排除。