程序COMODOFirewall使用基础教程一(转)

.Comodo规则设置

在一条程序规则中可以对该程序进行相关的权限限制和保护设置下面分这两个部分来介 。

 、访问权限

这里是对一个程序的限制设置通过 理的设置以 到限制程序动作的目的。具 的每一条是什么  说了在此直接“ 来主 ”

运行一个可执行程序—— 都看 懂无需 解释就是运行一个程序。 上它包

了 动一个进程和创建一个进程。当你在 中看到某应用程序创建某进程被 截指的

就是这东东——A程序运行B程序被阻止。

进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows 操作系统为每一个应用程序分配了一个4GB的虚拟内存空间用来存放代码和数据。如果A 程序修改了B程序的内存就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程为了通俗易懂就说习惯上的程序吧】。鉴于毛豆的读写不分谨慎允许该项吧。注意访问权限里的内存访问说的是允不允许它去访问别的进程内存保护设置里的内存访问说的是允不允许别的进程来访问它的内存。

窗口事件或者事件钩子——习惯上的说法是安装全局钩子帮助文档里的说法是执行钩子。钩子的作用就是截取指令、信息、数据后果就是窃密、盗号劫持等。钩子通常是dl l文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意访问权限里的钩子说的是允不允许它执行钩子。至于是执行哪些钩子当然是应该加以限制的。通常允许执行system32下的系统dl l钩子是安全的。保护设置里的钩子可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它对于杀软、 HIPS等安防软件来说可以理解成允不允许在它们的钩子之上加装别的钩子如果允许那么新装的钩子将先于杀软和HIPS的钩子截取信息。

进程终止——通俗讲就是允不允许它结束别的正在运行中的程序。专职运行结束进程的有csrss.exe任务管理器 comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是挂起进程只是暂停结束进程是停止并退出。注意访问权限里的进程终止说的是允不允许它结束别的进程保护设置里面的进程终止说的是允不允许别的程序来结束它的进程。

设备驱动程序安装——安装驱动极端危险的事件之一。驱动程序是运行在内核态的ring0级一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件其它的禁止吧。

窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃玩测试工具时可以禁止该项操作。注意访问权限里的设置说的是允不允许它向别的进程发送窗口消息保护设置里面的设置说的是允不允许别的进程给它发送窗口消息。

受保护的COM接口——程序可以通过COM接口使用相关组件可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载……

受保护的注册表键——这个不需要解释了危险事件。允许该项操作程序可以任意访问注册表修改设定保护的注册表内容将不再过问。阻止该项操作程序不可以修改受保护的注册表内容。

受保护的文件目录——重要目录、路径指定的exe等文件的保护。危险事件。如果允许该项操作 FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。

域名解析客户端服务——允不允许该程序使用域名解析功能。允许则该程序执行域名解析的活动不受阻止。

内存——访问物理内存。关于该项的危害帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。一个接口允许在特定的内存地址中存放一定量的数据但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。 ”根据这些说明主要是防止恶意程序的。一般情况下能够限制的程序尽量限制吧对于不明程序一定要严格限制安全可信和必要的程序可以允许【例如系统进程安防软件 内存整理工具等】。

屏幕监视器——访问屏幕获取屏幕信息。截图软件游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。

磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写除了wmiprvse.exe和磁盘清理、碎片整理工具外其它的阻止吧。按照帮助文档里的说法阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。

键盘——键盘记录获取你输入的内容。盗号木马最喜欢的事情 出于防盗考虑不明程序、没必要的程序都禁止吧。记事本文字处理文件绘图工具游戏等需要输入文字信息的软件需要允许浏览器登录某些站点输入帐号密码等可能也需要允许。

2、保护设置

这里是对于一个程序的保护设置当勾选“活动”时对该程序的保护才生效。需要注意的是保护设置里的优先级是相当高的除了在“修改”里有了排除否则在访问权限里的任何设置均无效一般的只需对系统关键进程、杀软类程序和自己想进行保护的程序进行保护设置

进程间内存访问——是否允许其他程序访问本程序内存

窗口或事件钩子——是否允许其他程序安装钩子到本程序

进程终止——是否允许其他程序终止本程序进程

窗口消息——是否允许其他程序给本程序发送消息。

2.优先级简介

Comodo D+执行的流程是从上到下匹配规则遇到能匹配的明确的允许和阻止就立即执行执行即生效这也就是很多程序运行过程中就被阻止了的原因不能匹配的询问就交给下面的规则若执行完了还没有匹配的就弹窗交给用户决定并生成一条规则在最上面供大家自己进行进一步的打磨。

在“计算机安全”的Defense+规则中优先级由上到下依次降低在上面的规则先匹配规则。在单条规则中例外允许>例外阻止>允许=阻止>询问。在一条规则中 即使外面有

明确的匹配关系仍受“修改”里面的例外限制。保护设置里的修改优先级最高