第一部分 Comodo Firewall Pro V3 简介
啥是Comodo V3,没听说过?
Comodo V3 是一款刚刚发布的全新XP/Vista桌面安全软件,完全免费,包括了HIPS 和 Firewall提供了对于各种恶意威胁的最大保护。Comodo V3 是一款革命性的个人桌面安全产品,将引领桌面安全产品的转型,未来HIPS 将成为你安全体系的最重要的组成部分,是防御各种恶意软件,网络入侵的第一道防线。
----HIPS 是啥?
HIPS 全称是 主机入侵防御系统 ( Host Intrusion Prevention System),通俗的讲就是系统防火墙。Comodo 给自己的HIPS 命名Defense+ (简称D+) 。 Defense+ 是一个极其强大的HIPS,还在不断完善中。
Defense + 可以保护你的系统资源(文件、注册表)不被恶意篡改, 可以保护你的私人文档,各种密码不被木马窃取,可以阻止病毒、木马的运行和对系统的破坏,可以阻止Rootkits 在你的系统留下后门。
----啥是 Firewall?
Firewall 主要负责控制网络通讯,过滤有害或者没用的垃圾数据包,只允许你批准的程序访问网络,防御来自网络的攻击。
Comodo V3 增强了防火墙引擎,提高了对P2P程序的支持(不影响速度、不占用CPU)。
Comodo V3 提供了ARP 保护,保护你的ARP缓存不被非法修改。
--------第二部分 为什么要使用HIPS (Defense+)
----HIPS的分类
我认为HIPS至少分为三类:
Classic HIPS,也就是传统意义上的HIPS,包括SSM、PS、EQ,Comodo 的Defense + 是Classic HIPS。
Smart HIPS 所谓智能型的HIPS,不多谈。
Sandbox HIPS 沙盘型的HIPS,Sandbox HIPS 三巨头:DefenseWall、GeSWall、Sandboxie,此外还有BufferZone、SafeSpace.
----为什么要使用HIPS (Defense+)
目前,特征码杀毒早已滞后于新病毒的产生,传统杀毒软件对新病毒的检出率也就是5x%-6x%,最多7x%,纷纷引入主动防御。为什么增加HIPS作为防御体系一部分,因为 HIPS不依赖特征码,可以在杀毒软件的真空期,应付几乎所有的未知威胁。
--------第三部分 安装Comodo V3
下载地址:hxxp://www.personalfirewall.comodo.com/download_firewall.htm
----安装Comodo前
1、你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。
2、用杀毒软件扫描系统,保证你的系统是干净的。 如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。
3、断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。
这里可以选择 Advanced Firewall with Defense+ (包过滤防火墙 + HIPS),或者不需要安装HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活Defense + 而成为一个包过滤防火墙。
注意这里,新手要选择P2P 友好模式(Yes);对V2.4 比较熟悉的,会自己设置P2P规则,可以选择(No)。
安装结束以后,去掉Restart the Computer 的勾,Finish。
----我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro
双击运行Comodo,在 MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。
----为啥备份默认规则?
因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。
右键点防火墙托盘图标,去掉 Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。
在 MISCELLANEOUS -> Settings -> Update 去掉 Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。
开始菜单 运行里输入 services.msc 将Terminal Services 设置成手动,并且启动。
其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。
在 MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。
安装结束,重启系统。
----------------第四部分 Defense+ 基本设置
----自动检测私有网络
Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示:
是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、 10.200.1.62/255.255.255.252
通常,拨号上网,只要点OK 就可以,或者勾上不自动检测;
----完全禁用Defense+(高级防火墙和基本防火墙切换)
Defense+ 是Comodo V3 的HIPS(主机入侵防御系统),可以最大程度防御已知和未知的威胁;在得到更加强大的保护的同时,用户需要进行更多的设置,需要处理更多的弹出窗口。禁用Defense+ 以后 Comodo V3 只是一个单纯的防火墙。
为了满足不同用户的需求(使用其它HIPS、或不想使用HIPS),Comodo V3 提供了禁用Defense+ 的选项。
DEFENSE + ------> Advanced -------> Defense+ Settings
--------安全等级
安全等级决定了 Comodo V3 对不同类型的程序如何处理,是否采用学习模式,或者弹出提示。
建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defense 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。
如果安装时系统是干净的(所有硬盘分区),将Proactive Defense+ 保持为 Clean PC Mode 是最佳选择;还可以设置为Train Safe Mode。Paranoid Mode 不推荐普通用户使用。否则会很烦人。
--------基本设置方法
新手使用Comodo V3 是很简单的,只需要运行自己常用的软件,帮助Comodo 学习你使用软件的方式。Comodo一般不会打扰你,只在必要的时候给予提示,当碰到提示的时候,如果是网络软件或易被病毒利用的程序,选择 Allow this request & Remember my answer & OK。 对于,不需要上网的一般程序选择
Treat this application as
Trusted Application & Remember my answer & OK 。
----Clean PC Mode是王道
Comodo 默认安装以后Defense+ 使用“Clean PC Mode” 。
对于新人来说,Clean PC Mode 是王道,最好的选择。
Clean PC Mode 的前提是你的电脑必须干净,所以,我才会在安装前提示你杀毒。
Clean PC Mode 假设你的电脑硬盘里的当前所有程序是安全的,学习它们的操作,一般不会提示;
假设移动存储设备、网络是不安全的,对于以后新加入的文件,将认为是不安全的,任何操作都将给予提示。
----Clean PC Mode 和 My Pending Files 密切相关,My Pending Files 里的文件是唯一在Clean PC Mode下被Comodo认为不安全的文件,当从网络上下载一个新的程序(exe)到硬盘里,或从RAR解压一个exe 文件,Comodo 将会将它加入My Pending Files,成为不受信任的文件。以后运行这个程序将弹出提示。
Clean PC Mode 和 My Pending Files 是Comodo 申请专利的技术,Comodo V3 的启动splash 有 patent pending 字样,就是指这个。 Clean PC Mode 和 My Pending Files 提供足够的保护的同时,保证了 Comodo V3的简单易用,最大限度地使用学习模式,是易用性和安全性平衡的典范。
--------推荐新人使用Clean PC Mode 。
--------等待审核的文件 My Pending Files
Comodo V3 没有SHA/MD5 这样的文件Hash系统,而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件(包括exe、dll、sys等),都会被加入 My Pending Files 等待用户审核。
--------My Pending Files 的文件是不信任的,任何动作都将会提示。为了保证系统安全,在Clean PC Mode 下,必须100% 确认这些文件是安全的,才能用Remove移除,一旦移除,这些文件将会成为安全的,Comodo 对以后的一般操作都不会提示。对于不确认的,请保留到 My Pending Files 直到最后确认是否安全。对于,不存在的或者临时文件,可以用Purge 移除。 对于不安全的,直接在资源管理器里彻底删除。
--------安装模式 Installation Mode
Comodo 提供了安装模式,可以在安装新程序时,减少提示。
首先要确保安装程序100%安全,然后运行,选择 Treat this application as an Installer or Updater 即可。
Comodo 会提示 是否切换到安装模式,选“Yes” 进入安装模式,不同意的选“No”。
由于处于安装模式的程序具有很大的权限,所以Comodo会定时提醒你,切换回从前的模式(安装完选Yes)。
Image Execution Control Settings
加入:*.com, *.bat, *.pif *.cmd *.sys
----------------第五部分 Firewall 基本设置
Comodo 默认安装以后Defense+ 使用“Clean PC Mode”,Firewall 使用“Train With Safe Mode” 。
为什么不在Firewall 里也搞个Clean PC Mode呢? 因为网络是不安全的,一旦一个程序有访问网络的权限,它就有可能危害你的系统和个人隐私,Firewall 的Clean PC Mode 没有意义。
Train With Safe Mode 只学习Comodo 白名单数据库里的安全程序的网络规则,这在干净的电脑上是安全的。对于不认识的程序,将会提示。
----调整Firewall设置
在学习规则前,我们先调整一下防火墙设置。
1.修改My Port Sets -> POP3/SMTP Ports
默认的和邮件有关的端口,添加一下最后是:
110、25、143、465、587、993、995
2. 新建一个Dangerous Ports 危险端口组,添加:
135、137-139、445、3389
3. Firewall -> Common Tasks -> Stealth Ports Wizard
你可以在这里选择完全隐身模式,以后自己象V2.4 那样添加规则。
4.自定义Global Rules
Comodo V3 的Global Rules 相当于 V2.4 的Network Monitor;
Comodo V3 的Application Rules 相当于 V2.4的Application Monitor 。
Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些规则,注意所有允许的规则都放在阻止的规则上面,因为 Comodo Global Rules 由上至下匹配。
添加几个简单阻止规则:
1. 阻止对本机 Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
2. 阻止对本机 3389 端口的访问,由于前面开了 Terminal Service,在这里阻止远程协助端口,以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
3. 阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
4. 默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defense 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。
ComodoV3安装使用一条龙介绍及讲解
这个是我根据帮助文件和自己的使用心得归纳而成,希望对毛豆们有一点帮助,也是抛砖引玉,时间仓促水平有限,难免谬误,还请各位大大指正。本文是对comodo的基本功能的介绍和讲解。
概述
Comodo防火墙专业版为你的系统提供360°全方位的保护,通过企业级的包过滤墙和先进的主机入侵防御系统的完美结合来阻止来自内部及外部的威胁。新的界面能帮助用户更加方便迅捷的访问所有主要设置,包括强大的高度可配置的安全规则界面。
Comodo防火墙始终监控来自内部和外部的攻击并且守护你的系统,V3最大的特色就是提供了完全成熟的HIPS主机入侵防御系统,命名为Defense+来保护你的重要系统文件以及在病毒和恶意软件获得机会安装前就阻止它。事实上,defense+对于防御恶意软件非常出色,你也许永远不再需要脆弱的反病毒软件了 ^_^。
V3提供了非常有好人性化的图形用户界面。高度细化的设置选项。容易理解和有益的报警提示。优秀的信任区侦测功能以及其他。Comodo防火墙专业版提供了企业级的保护,可以‘out of the box’ 使用---即使是最没有经验的用户也可以在安装后使用,不会为复杂的配置问题所困扰。
Comodo包括一个内置的可执行文件数据库。对所有已知的可执行文件进行了全面的分类。Comodo是唯一为用户提供这种重要信息的防火墙。
---------安装
在安装前确保你的系统里没有其他第三方防火墙软件。
系统需要配置
Windows Vista (Both 32-bit and 64-bit versions)
Windows XP (Both 32-bit and 64-bit versions)
Internet Explorer Version 5.1 or above
64 MB available RAM
60 MB hard disk space for 32-bit versions and 80MB for 64-bit versions
---------安装步骤
这时Comodo防火墙会询问是否启用安全程序认证功能。Comodo的安全列表是一个超过了一百万应用程序的签名数据库。所有这些程序都被comodo认可为安全对你的系统不会造成伤害。如果启用了这个功能,comodo会自动为了系统内的在comodo安全列表内的程序创建允许规则来允许这些程序访问网络。这个功能是非常方便和安全的,因为你最爱的程序能立刻联网,不过如果这些程序尝试以可疑方式联网时comodo依然会立刻提示你的(比如木马劫持了程序后准备通过此程序外联时comodo会马上报警提示^_^)。
安装完毕
---------------------------各主要界面及功能介绍
---------摘要界面
提示框界面
提示框分为防火墙提示Firewall Alerts 和行为监控提示Defense+ Alerts。先来看行为监控提示
关于less options功能
这个功能是将询问选项简化成只有允许和阻止。
询问框安全等级
询问框安全等级分为三类,以黄,橘,红三色表示。可以帮助用户判断,但是这只是辅助之用,还需要结合安全评估进一步分析方可做出允许或阻止选择。
黄色报警------低威胁报警。在大多数时候你可以允许这些网络连接请求或行为请求。这个等级默认对安全请求是自动勾选'Remember my answer for this application' (记住)选项的。
橘色报警------ 中度威胁报警。请仔细阅读安全评估后再做出决定。这个警报可能是信任程序的无害进程或活动,也可能是恶意软件的攻击。如果你知道这个程序是安全的你通常可以选择允许,如果你不清楚这个程序执行的动作或连接是否安全你可以阻止它。这里我的建议是如果有进程或动作不清楚,可以百度或狗狗来了解下,对判断很有帮助。
红色报警------高威胁报警。这个报警显示了类似木马病毒或其他恶意软件活动的高度可疑行为。在允许此活动前请仔细阅读提供的信息,慎重决定,不能确定的话百度狗狗是你的好榜手哦^_^
---------如何对询问提示做出正确的判断?
对于防火墙询问
仔细阅读安全评估。Comodo能够识别数千中安全程序(比如IE和outlook),如果程序被认为是安全的(安全评估里可以看见,如果是安全的 comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的联网请求(一般出现这个情况的原因是此程序还没有被加入到comodo的数据库中,所以想要更方便的使用大家还是要多多上报平常常用的一些程序),如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。
在提示框中点击进程的名称可以调出此进程的属性窗口,可以帮助你做进一步判断。
如果你确定这个程序是你常用的程序,你可以使用'Treat This Application As' (把此程序归为)选项来用内置的规则简化操作。比如你可以把程序设置归为'Web Browser' 浏览器类型。这样此程序就可以使用与IE等浏览器一样的规则。这些内置规则都是经过comodo特别设计的针对此类程序的最优化的安全设置。
对于行为监控询问
和防火墙询问一样,仔细看安全评估。Comodo能够识别数千中安全程序,如果程序被认为是安全的(安全评估里可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的执行动作请求,如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。
如果不是安装程序请不要把程序归为'Installer or Updater' (安装升级)类型。因为这个类型给予了程序最大的权限,如果你必须使用可以暂时选择此类型,但请不要选中“记住”选项。
在各种报警行为中特别要注意的是Device Driver Installation(安装设备驱动)和Physical Memory Access(访问物理内存),很少会有合法程序会有这两种动作(可惜中国好像很多^_^),这通常是比较明显的恶软和rootkit的行为。除非你确定请求此动作的程序是合法的。建议:访问物理内存一般不管正常与否都可以阻止,对程序的使用没有大的影响,安装驱动请确定程序的合法性,如果不确定一定要先阻止。
Protected Registry Key Alerts 修改受保护的注册表键值报警
这种情况一般发生在你安装新软件时,如果没有安装新软件,在使用软件的过程中出现这种情况,建议阻止,即使你看不懂它要修改的是什么也没关系,一般阻止了不会影响程序的使用。
'Protected File Alerts' 受保护的文件报警
一般发生在你下载文件或复制文件或者升级程序安装程序时。如果不是以上这些情况建议阻止。
如果有程序要在windows目录和子目录下创建可执行程序一定要特别注意。这是典型的恶意软件的行为,如果你不是安装新程序或打补丁一定要阻止。
如果有程序要创建一个很陌生的dll文件,可能是病毒,除非你信任此程序,否则建议阻止,或者将它设置为“监禁程序”'Isolated Application' 。
---------------------------Defense+模块
D+可以说是comodov3最吸引人的地方了,非常有特点。它其实就是个HIPS主机入侵防御系统,会一直监控你系统中所有可执行文件的活动。每当有未知的可执行程序(.exe, .dll, .sys, .bat etc)尝试运行时comodo就会报警,得到你的允许后才能运行。先看界面,分为Common Tasks“常规功能”界面和Advanced“高级功能”界面。
常规功能界面
通过这个界面的功能可以很方便的配置D+。
高级功能界面
这个是提供给比较有经验的用户来更深入的设置D+的安全策略和设置的。
---------常规功能讲解
1.View Defense+ Events日志
日志记录每一条违反了你的安全策略的行为,这些行为已经被阻止,你可以通过查看日志了解。
点击上图日志中的“more”可以查看更多近期的日志。还可以对日志进行过滤,这个没什么大用就不展开了。
---------My Protected Files受保护文件
这个功能可以防止你要保护的特殊文件和文件夹被未授权程序非法修改。这个可以防止各种病毒修改受保护文件,也可以防止非常有价值的文件被偶然或蓄意的破坏。当一个文件是受保护文件时它依然可以被访问阅读,但是不能修改。例如host文件(c:\windows\system32\drivers\etc\hosts).这种系统重要文件就应该加入到受保护文件中。这样一来就可以只允许程序读取,但不能修改,一旦尝试修改就会被comodo挂起并报警。
受保护文件虽然可以阻止病毒修改文件,但是一些正常程序需要修改怎么办呢?可以通过添加"例外"Exceptions来保证它们拥有修改的权限。
比如假设一个WPS文件'安装.wps',我们需要wps程序可以修改它,而不希望其他肯潜在恶意程序去修改它。那我们就可以这么设置。
把'安装.wps"加入受保护文件后,现在我们来把wps程序排除,允许它修改“安装.wps”。
这样"安装.wps"就既可以被WPS修改而又不会被其他程序修改了。
---------My Quarantined Files 我的隔离文件
这个功能可以允许你锁定文件和文件夹,在隔离区域里的文件或目录任何其他程序和用户都不没有权限访问,如果隔离的是可执行文件将无法运行。和我的受保护的文件不同,隔离文件不允许设置例外程序来访问它。
我们再来举个例子,假设“概述.wps”添加为隔离文件。
添加完成后,我们来删除试试看。
---------My Pending Files我的等待认证文件
安装Comodo Firewall后,comodo会监控所有文件的动作。每个新的可执行文件都会被comodo扫描以检查是否在comodo的认证安全文件数据库中。如果不在其中,comodo就认为它不是安全的,会把它们添加进'My Pending Files' 我的等待认证文件中,等待用户的查阅并有可能的话上报给comodo。除了新的可执行文件,任何被修改的可执行文件都会被重新加入'My Pending Files' 中。
'My Pending Files' 我的等待认证文件这个功能对于'Clean PC Mode'清洁模式是非常有用的,在清洁模式中,等待认证文件被认为是不清洁的。
“等待认证文件”允许用户:
访问等待认证文件,决定是否信任文件。如果文件是可以信任的,可以转移到'My Safe Files' (我的安全文件)区域 ,同样的如果不信任的话可以转移到'My Quarantined Files' (我的隔离文件)区域。
Lookup功能是允许你通过master Comodo safelist检查文件信息。会连接comodo服务器在master Comodo safelist安全列表数据库中检查是否有任何有关此文件的信息,如果没有信息,你可以把它上报给comodo进行分析。
---------My Own Safe Files我的安全文件
'My Own Safe Files'我的安全文件是个非常有用的功能。你可以把你信任的文件加入,这样这个文件就被comodo认为是安全的,如果是一个你认为安全的可执行文件但是comodo的数据库里暂时没有的话你可以把它加入'My Own Safe Files'区域。这样运行时就不会有提示框了,方便了用户。
View Active Process List查看活动进程
这个界面把你系统中所有活动的进程以及它们的父进程以进程树方式显示了出来。
My Trusted Software Vendors我信任的软件提供商
Comodo可以从信任软件提供商处获得程序的数字签名。可信任的提供商都会向第三方提供数字签名以保证它的真实和完整性。目前一般是在Trusted Certificate Authority机构进行第三方签名。D+默认会检测对比软件开发商和Trusted Certificate Authority提供的签名。同时也会把经过检测无问题的软件加入comodo的安全列表中。
My Protected Registry Keys我的受保护注册表键值
Comodo默认已经将一些系统重要注册表键值加入保护防止修改。如果这些重要键值被以任何方式修改可能会对你的系统造成无法挽回的损失和破坏。所以请一定确保这些键值是受保护的。
My Protected COM Interfaces我的受保护的COM(组建对象模型)接口
Component Object Model (COM)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术。在COM构架下,人们可以开发出各种各样的功能专一的组件,然后将它们按照需要组合起来,构成复杂的应用系统。由此带来的好处是多方面的:可以将系统中的组件用新的替换掉,以便随时进行系统的升级和定制;可以在多个应用系统中重复利用同一个组件;可以方便的将应用系统扩展到网络环境下;COM与语言,平台无关的特性使所有的程序员均可充分发挥自己的才智与专长编写组件模块;等等。
COM是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序,它们可以给应用程序,操作系统以及其他组件提供服务。开发自定义的COM组件就如同开发动态的,面向对象的API。多个COM对象可以连接起来形成应用程序或组件系统。并且组件可以在运行时刻,在不被重新链接或编译应用程序的情况下被卸下或替换掉。Microsoft的许多技术,如ActiveX, DirectX以及OLE等都是基于COM而建立起来的,而directX和OLE都是黑客和病毒对你的系统发起攻击的最喜爱的目标。限制进程访问 COM,保护COM接口对于系统安全是非常重要的一部分。
Comodo默认已经将一些重要COM加入了保护,你也可以自己添加。这个COM不熟悉,所以我一直用的默认,具体的等以后U版来讲解吧^_^。建议是看到有关COM的报警就阻止,有什么问题再根据日志修改。反正我是这么做的^_^
---------------------------高级功能讲解
界面
---------Computer Security Policy系统安全策略
这个是D+的重头戏了。就是平时大家所说的规则,没有好的规则再好的软件也没有用,所以规则的设置是非常关键的。下面就来介绍下规则的设置。
对已配置策略的程序进行策略修改
如果要为一个新程序设置规则怎么办呢?
对于程序的访问权限应该怎么设置见仁见智。这里我把自己对一般应用程序的AD设置的看法说一下,仅供大家参考。
1.运行应用程序.
这个很简单吧,没什么好说的,你双击一个程序,这个程序就运行了谁都知道,但是如果在上网时你没有运行突然弹出询问框报警程序运行你就要当心了,一定要仔细看程序路径名称,一般会自动运行的除了病毒就是一些软件的升级程序,但是如果该程序是在TEMP路径下的话一定记住要阻止,99.9%是病毒!
2.加载驱动程序
一般只有比较BT的软件会要求加载驱动程序,比如杀软以及一些安全工具,所以这个也很简单,只有你完全信任的程序才可以允许,否则请阻止。特别是路径或程序名比较陌生的。
3. 访问物理内存
我们知道,在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序,不能直接访问物理内存地址;而运行在核心态的驱动程序,能将虚拟地址空间映射为物理地址空间,从而访问物理内存地址,从而更快的收集数据。所以要求访问物理内存的程序一般都是比较BT的,除了你确信的其他一般可以阻止,即使是正常软件阻止了也不会影响使用。
4. 底层磁盘操作
所谓底层磁盘操作本身并没有什么危害,某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层面上进行控制,那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两个门卫以为可以高枕无忧,哪知人家挖了个地道直接进了你家,门卫就成了摆设。因此HIPS应该要包括对底层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。
5. 创建远程线程
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。就好像把一个寄生体注入到了其他生物中一样。这个寄生体将会与他的宿主“同生共死”并且拥有宿主的所有权限。由于我们的程序代码寄生在其他进程内部,所以一般人使用任务管理器是看不见这个“寄生”进程的。
创建远程线程是木马隐藏自己的一个非常高明的手段,就好象一个特务在通关时一般都会混进一些高官的车中,胁持高官谎程自己是高官的部下,从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建远程进程。
6. 修改其他进程内存
一般正常软件不会有此动作,所以阻止吧。
7. 安装全局钩子
英文叫hook,指利用api来提前拦截并处理windows消息的一种技术,能够使该程序对其他系统内有键盘响应事件的程序自己挂钩。说白了就是在你家安装窃听器,你能容忍吗?阻止!不过QQ是要允许的哦,要不然就登录不上去了。
8. 安装服务或驱动
同加载驱动程序。
9. 键盘记录、修改系统时间、直接操作系统内核
有些正常程序也会进行键盘输入监控,所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统内核一般建议阻止。
10.windows消息
这个建议先阻止,看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。
11.结束进程
这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。
---------Predefined Security Policies预置安全策略
Predefined Security Policies预置安全策略是个很好的功能,可以很大成度上简化用户使用的难度和复杂性。这个相当于策略组。你可以设置好相应的策略组,然后以后有什么程序运行就把它加入相应策略组就行了,免去了一个个去自定义的麻烦。
Image Execution Control Settings可执行文件镜像控制设定
引用U版的话“在每一个可执行文件被载入内存前给予验证、提示。
程序平时是以文件形式保存在硬盘,在运行时载入内存。我们一般把可执行文件叫做程序的映像(image) 。一个进程是一个正运行的应用程序的实例;进程是进程映像(Process Image)的执行过程,也就是正在执行的进程实体。
Image Execution 是对可执行文件载入内存进行控制,会影响Policy里的Run an executable”
什么意思呢?就是如果选了Aggressive,即使你的可执行文件在策略中已经允许运行了,但是comodo还是会报警提示。在可执行文件尝试加载入内存或缓存时会被comodo拦截。
normal就是在可执行文件尝试加载入内存会被comodo拦截,但加载入缓存是不会拦截的,这是comodo的默认设置,建议不要改动。
下面举个例子,大家就知道有什么区别了。我的yyy.exe已经设置好策略,原来运行是没有任何提示的。
选择Aggressive(积极状态?)时
---------Defense+ Settings行为监控设置
Paranoid Mode偏执狂模式
这是最高安全等级模式,意味着comodo会监控你系统中所有可执行文件除了你设置为安全的文件。Comodo不会对任何程序进行学习,即使这些程序在 comodo的安全列表里。仅仅会使用你自己配置的策略来过滤危险的系统活动。同样comodo不会为任何可执行文件自动创建允许规则。使用这个模式会使 D+产生大量报警提示,建议需要完全的活动提示的高级用户使用。
Train with Safe Mode安全文件学习模式
这个模式下comodo除了监控危险的系统活动,也会自动学习被comodo认证为安全的可执行文件的行为。会自动为他们的行为创建允许规则。对于没有认证的,未知的程序在运行时还是会有报警提示的。如果你的系统不是新装的或不知道有没有病毒,那么这个模式就是比较适合你的,既容易管理又有较高的安全性。
Clean PC Mode清洁系统模式
这个模式下comodo会学习系统内所有可执行程序的一切活动。但是学习完后新安装的可执行文件依然会报警提示。这个模式建议使用在新系统或者确定没有病毒的系统中。
Training Mode学习模式
Comodo会学习所有可执行文件的一切活动,不管是原有的还是新安装,除非你改变模式。你不会看到任何报警提示,这个模式只有在你确定系统中所有文件都是安全的时候使用。建议不使用。或者可以暂时使用,为一个程序自动创建规则,创建完成后调整回原来状态。
Disabled不可用
暂时关闭D+功能。
'Monitor Settings' 监控设置
这里是选择监控各种活动和对象的设置。如果你取消某一项的监控,那么所有程序策略中关于此的监控都会失效。
Interprocess Memory Access 访问其他进程内存
病毒常常利用内存空间修改来注入代码进行各种攻击。包括记录键盘输入,修改伪装入侵程序的行为,通过从一个进程发送信息给另一个进程来窃取机密数据等等。内存空间的破环最严危险的就是病毒可以伪装自己使得传统的反病毒软件和入侵检测系统无法察觉。
Windows/WinEvent Hooks 全局钩子
在MS操作系统中,钩子是用来在事件传达到程序前拦截事件(消息,鼠标动作,键盘输入)的设备。这通常来说可以让合法软件开发商开发更加强大有用的程序,但是也会被黑客所利用。比如用来监听记录键盘输入,鼠标动作,监听修改所有的系统消息,远程控制你的鼠标和键盘。
Device Driver Installations 安装驱动
驱动是一个允许程序或系统与硬件设备通讯的小程序。硬件设备包括你的硬盘,显卡,网卡,CPU,鼠标,USB设备,屏幕,光驱等等。即使安装一个正常的驱动也可能因为与其他驱动冲突而导致系统瘫痪,所以如果是一个病毒程序的驱动可想而知会导致对你的电脑的严重的破坏甚至使黑客控制你的电脑。
Loopback Networking 回送网络?
回送连接指的是你的系统的内部的通讯,是TCP/IP的一个一般性还回设备。任何你电脑上的数据通过回送连接发送的都会立即通过它接受到回应。Lookback 渠道攻击可以大量对你的电脑进行TCP/UDP请求致使系统崩溃。
Process Terminations 进程终止
一个运行的进程对应一个程序。(比如comodo防火墙的对应进程就是cfp.exe)终止进程就会结束程序的运行工作。病毒经常利用这个来终止安全软件的进程来使安全软件无法工作。
Window Messages 系统消息
病毒程序会利用消息来发送特殊消息修改另一个程序的行为。
DNS Client Service DNS客户端服务
病毒程序有可能为了运行DNS(域名系统)递归攻击而访问windows DNS service。这是典型的DDOS洪水攻击,病毒程序向DNS server发送成千上万的欺骗请求。DNS 洪水攻击是一种由恶意实体向DNS服务器发送成千上万的虚假请求而造成的分布式拒绝服务攻击。这些请求富于欺骗性,因为它们似乎是来自目标或“受害者”的服务器,但实际上来自不同的机源--通常是一个未经主人允许的网络上的“僵尸”电脑发出了这些请求。DNS服务器被欺骗后发送所有的回复到受害服务器,使受害服务器无法抵抗而崩溃。选择此项设置能阻止恶意程序使用域名系统为客户服务发起此类攻击。
Objects To Monitor Against Direct Access直接访问对象监控
通过直接访问方式可以使程序获得存储设备上的数据或者写入数据,感染其他可执行程序,还可以绕过主动防御或HIPS软件的监控。所以监控直接访问对象是非常重要的。
Physical Memory直接访问物理内存
如果允许病毒程序直接访问物理内存可以使系统执行病毒代码。
Computer Monitor直接访问屏幕
病毒程序可以通过此监控用户的网络浏览,秘密发送广告等。
Disks直接访问磁盘
病毒利用此来破坏文件和硬盘。
Keyboard直接访问键盘
特殊病毒(通常是木马和间谍软件等)能够捕获用户的键盘输入。这个意味着可以在用户没有察觉的情况下窃取用户的各种帐户密码。
说明:本文并非原创,搜索自热心网友的指南,略作修改转载。
