因水平有限、文笔也不好,文中有不对和疏漏之处欢迎大家扔砖头。 第二部分:科摩多互联网安全套装界面 熟悉各部分的界面和大致功能。先从反病毒组件开始,界面很简洁,功能一目了然。 防火墙部分。 D+部分。 杂项设置。注:规则导入可以通过配置管理,也可以通过注册表 (HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo),注册表方式更加灵活,可以有选择性的导入导出 第三部分:D+规则打磨体会 用毛豆半年多了,从开始厌烦D+的弹窗到现在安静的全局*监控,心里也有些成就感。打磨规则的过程让我明白别人的规则只能作为参考,通过自己打磨才能找到适合自己的。自己打磨规则并不难,只要用心去做。说句实话,毛豆的学习模式并不好,自动学习规则给的权限太大。因此,如果想打磨好毛豆的话,建议在疯狂模式下全局规则设为询问,耐心的跑程序。当然,有些常用程序的规则论坛上讨论比较多,直接套用过来就是了,然后根据日志添加排除。 优先级 打磨D+最先还是要弄清规则优先级的问题。 毛豆优先级的总体原则: 1、毛豆规则匹配从上至下; 2、对于规则中的访问权限,本程序“修改”里具体的允许和阻止规则,优先于外面的询问、允许、阻止规则; 3、“修改”里允许的优先级高于阻止,沿用U版的叫法,统称“修改”里的规则为例外规则; 4、自我保护规则优先级最高。 再用下面一个图说明应该比较清楚了,假设规则1在上,规则2在下。一旦遇到匹配规则则终止继续匹配。 询问窗口安全等级 毛豆询问窗口安全等级以颜色表示。可以辅助用户判断,但还需要结合安全评估进一步分析方可做出选择。 黄色报警:一般威胁报警。该警报可能是信任程序的无害进程或活动,也可能是恶意软件的攻击。如果你确定系统是干净的,软件是无害的可以放行,最好的办法是上网查询。 红色报警:高威胁报警。该报警显示了软件活动的高度可疑行为,请慎重决定。 应用程序访问权限: 如何判断询问窗口内容是否应该放行呢?除了清楚某些应用程序的大致行为外,还必须对D+中的访问权限设定有一定了解。也就是说不仅要清楚程序的行为,还要知道在D+中对应的拦截对象。 1、运行一个可执行程序 最简单的在资源管理器中双击一个程序,通过explorer.exe调用这个程序就运行了。如果在上网 时突然弹框运行某程序,一定要仔细看程序路径名称。一般先尝试阻止(不记录规则),如果正常使用没 有问题再提示可以选择阻止并记录。 2、进程间内存访问 进程间内存访问可以修改进程内存并插入自身代码到进程,通过目标进程完成操作,一般正常软 件不会有此动作。 3、窗口或事件钩子 利用api来提前拦截并处理windows消息的一种技术,钩子实际上是一个处理消息的程序段,通过 系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息, 亦即钩子函数先得到控制权。 4、进程终止 建议选询问,正常软件也会有此行为。对特定程序的终止行为可以直接阻止,如正常使用情况下 突然要求终止毛豆进程。 5、设备驱动程序安装 要求加载驱动程序的正常程序很少,一般是杀软或者安全工具。注:安装并加载驱动后,程序将 获得和毛豆一样的底层权限。 6、窗口消息钩子 为方便使用常用和已知程序的窗口消息钩子均可以允许,对于不清楚的建议先阻止,不影响使用 就可以阻止并记住。有些病毒会利用窗口消息钩子破坏你的安全软件和系统。 7、受保护的COM口 COM可以理解为一些组件,对外提供公开的接口以供其他程序调用。有些组件是DLL,有些程序如 IE,也对外提供COM接口,只要遵循com规范就可以相互直接通信。毛豆COM口内容很多,一般对提升 权限、修改系统时间、服务管理重点防范。 8、受保护的注册表键 主要防止修改注册表自启动、服务驱动和映像劫持等。 9、受保护的文件/目录 FD内容,看具体程序而定,这个比较直观,主要保护系统重要文件及个人私有文件。 10、本地环回网络 应用广泛的一种虚拟接口,主要用于路由器。当本机上不使用本地代理转发和接收类软件时,本 地环回网络访问的是本机;当使用本地代理时,某些程序不需要通过访问DNS就能实现与外部网络的通信 。一般情况下允许,交由毛豆防火墙控制。 11、域名解析客户端服务 允许提供客户端域名解析服务。 12、内存 在NT内核系统中,操作系统是利用虚拟内存管理来维护地址空间映像。应用层的程序一般不需要 直接访问物理内存地址,而是通过内核中的某些驱动程序将虚拟地址空间映射为物理地址空间,从而实 现对物理内存的访问。直接访问物理内存也可以获得很高的系统特权,一般选择阻止。 13、屏幕监视器 这个不用解释了吧~ 14、磁盘 受保护的文件/目录仅仅只是在Windows层面上进行访问控制,如果程序通过直接对磁盘进行操作 的方法来可以绕过毛豆对其的FD控制,因此一般来说要阻止该底层操作。阻止之后一般软件的使用不会 受到影响。 15、键盘 访问键盘、进行键盘输入监控是很多正常程序也有的行为,根据具体情况判断。 应用程序的自我保护 参考上面的描述。不同的是一个是访问,一个是被访问。 部分程序规则
下面和大家分享下一些应用程序规则,我的想法是一般常用程序规则尽量给的宽松并限制被非法调用,对某些危险的正常程序部分限制并限制被非法调用,对未知程序高度限制。能力有限,规则中有不对和疏漏的地方欢迎大家指出。(没出中文版之前打磨的,很多分组都是英文,现在习惯了也懒得改;注册表分组参考u版的打磨贴) 我的受保护对象。全局监控*并不是想象的那么难,因为对于大多数应用程序我们只需要给出宽松的 规则,针对个别的入口或高危程序进行限制就行了。我全局监控的目的是严厉监控未知和高危程序,如 果执着于每个程序的每一条精确规则就自寻烦恼了。在全局*监控下,程序要正常运行,文件/目录访问 权限中必须加入\Device\KsecDD(另\Global??\Fltmgrmsg一般也会调用但不是必须的),COM口中必须 加入\WINDOWS\ApiPort,许多程序也要调用\ThemeApiPort。 个人建议开启系统组程序、毛豆及安全软件的自我保护并作相应排除,这样在每个程序具体的规则设置 上可以省不少功夫。 explorer是我们最常用的,过多的限制会造成很多不便。 浏览器规则(主要是opera) 常用下载工具 services.exe这个讨论的比较多了,并且新版本中已经从系统组分离出来。这个权限我给的比较宽松,主要对驱动安装作了限制。由于毛豆对很多加驱路径不能正确显示,我采用其它hips的学习模式得到了系统启动的驱动白名单(XP sp3 32bit下提取的)。由于每个人系统环境不一样,一般允许%windir%\system32\Drivers\*.sys就行了,前面我们还有FD和SCM防着呢。 cmd.exe很多危险的源头,不常用的话可以禁掉。也可以复制到自己知道的其它地方使用。 全局规则。很多程序规则还未完善的情况建议全局询问,感觉规则完善的差不多后所有应用程序采用高度限制规则,再根据日志添加排除。(再郁闷一下,毛豆的日志操作很不方便,把毛豆的cfplogvw.exe在 桌面上建立快捷方式,这样能少点很多下) 第四部分 测试自己的D+规则
当规则基本设定好了,但是不清楚是否真的在起作用;当被优先级和某些问题弄得头晕,不确定某些规则是否被匹配。这时候自己来测试是最好的解决方法,不仅可以加深对规则的理解,而且能方便上手毛豆以外的其它HIPS。 1、测试FD(受保护的文件/目录)的简单方法 很简单的方法,在有些教程中已经用过。找到windows系统system32下的notepad.exe,复制到你的测试文件夹,比如D:\test\notepad.exe。然后给这个程序设定你想要测试的FD规则,测试时除了待测试规则和允许程序正常运行必要的规则外一律禁止。(注意该规则和所有程序规则的位置,被测试文件确定加入我的保护文件中) 为什么不用explorer测试?因为explorer一般都自定了规则,为了测试弄乱了规则多不好;另外使用explorer需要允许的规则也较多,用起来不方便。 先来个简单测试,notepad.exe的FD权限设为询问,所有程序规则FD也设为询问,通过notepad.exe在test文件夹中新建一个文本文件,这时候D+弹窗,是不是很简单~ 再来简单测试下全局监控*和*\*.*的区别,这次我们通过删除文件来测试。用资源管理器在test文件夹中建立test1.txt和test2(无后缀)两个文件,我们通过notepad.exe来删除试试。全局监控*下,右键点击test2时毛豆弹窗警告;全局监控*\*.*时,毛豆无警告,点击删除之后test2被删除。尝试删除test1.txt无论在*或是*\*.*监控时都会有警告,这里不截图了。 当自己不确定在某些规则下某个文件或者文件夹是否被保护,不妨尝试下这种方法。在版内曾讨论过毛豆是否能拦截修改文件属性的一个话题,也可以用这个方法验证试试。 2、用HIPS检测工具测试 这个在HIPS大区置顶帖里面有,有兴趣的可以下载试试,还有这里,大部分是无恶意的,注意看测试说明。 3、用病毒进行测试(不建议初学者这么做,即便是套用的别人的规则) 用已知行为的病毒测试可以很好的检验规则,但我们的目的不在于去运行病毒,世界上没有绝对的安全。另外我们也可以在规则完善的前提下测试某些应用程序并判断是否真的有恶意。 下面的测试全局规则为询问,无例外规则。 机器狗测试 在病毒援救区下载的某程序:该程序的重点在于释放到临时区域的批处理文件,去临时文件中找来看下或者找人帮忙分析下就能判断其是否真有恶意。 第五部分 结束语
本文主要对中文版毛豆作了简单介绍,并分享一些个人体会,希望能给大家一点帮助,让大家一起来磕毛豆吧。希望大家能多看置顶的打磨贴,多学习别人的规则,打磨属于自己的规则,分享自己的经验心得。 另本文系lorchid原创,首发于卡饭论坛COMODO版,转贴请注明出处。 附带几个常见的问题说明: 1、毛豆D+支持的常用环境变量有哪些(操作系统所在盘符为X:)? %SystemDrive% = X: %windir% = X:\Windows %SystemRoot% = X:\Windows %AllUsersProfile% = X:\Documents and Settings\All Users %UserProfile% = X:\Documents and Settings\(用户名) %AppData% = X:\Documents and Settings\(用户名)\Application Data %temp% = X:\Documents and Settings\(用户名)\Local Settings\Temp %ProgramFiles% = X:\Program Files %CommonProgramFiles% = X:\Program Files\Common Files 另支持\Device\HarddiskVolume?的写法,对于本地硬盘\Device\HarddiskVolume?\ = ?:\ 2、SafeSurf是什么? 防缓冲溢出攻击的工具。使用该组件时,如果检测到一个缓冲溢出攻击的时候,它将实时地通过防止目标程序完 成恶意进程的方式来阻止该攻击。引用帮助文档中的话:使用高可见度的弹出警告来警告用户受到了攻击,并提供 以下类型的防攻击保护: 在栈内存区引起的缓冲溢出; 在堆内存区引起的缓冲溢出; ret2libc 攻击; 含破坏性/有害的 SEH 链接。 3、目前版本卡日志的问题。 直接点击毛豆主面板上的拦截数字打开日志有点延时,提供几个变通的方法: (1)直接通过毛豆程序文件夹内的cfplogvw.exe来查看日志; (2)需要经常查询日志之前清空所有日志; (3)如果不介意使用英文语言的话就切换成英文吧,英文版本使用上比较流畅。 4、某些情况下卸载后再安装问题。 尝试删除以下注册表位置的毛豆键值,重启后再安装。(仅限于xp系统) 常规项: HKEY_CURRENT_USER\Software\ComodoGroup HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache HKEY_LOCAL_MACHINE\SOFTWARE\ComodoGroup HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\COMODO Internet Security HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\COMODO Internet Security 驱动相关: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDAGENT HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDGUARD HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDHLP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_INSPECT\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDAGENT HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDGUARD HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDHLP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_INSPECT\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDAGENT HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDGUARD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDHLP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INSPECT\0000 服务相关: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdAgent HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdGuard HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdHlp HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Inspect HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdAgent HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdGuard HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdHlp HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Inspect HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdAgent HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdGuard HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdHlp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Inspect 规则设置相关: HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo 其它: HKEY_USERS\S-*\Software\ComodoGroup HKEY_USERS\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache 5、安装模式切换问题。 安装新软件时有时会切换到安装模式。启用安装模式增加了毛豆在安装新应用程序时的易用性,该模式将暂时赋予这些程序的子进程和父进程相同的访问权限,以便在执行安装程序时减少弹窗。 启动安装模式后,毛豆会保持该模式3~5分钟,如果用户未手动切换成原来的D+模式,毛豆将会弹窗询问。因此,在安装完成后记得把毛豆切换成原来的D+模式吧。 |
|