自己DIY D+规则,没有不可能
都说comodo的规则设置繁琐,无法逾越,是的一点不错,我也在痛苦的挣扎,可是不用comodo的D+功能,对机器的保护又会大打折扣。如果一直用Training Mode与Clean PC Mode,那D+又是个摆设,其危险性很高。如果看打磨达人的Predefined Security Policies的预设规则组,然后对程序进行套用,使用起来是方便的很多,可是我不太喜欢这样的套用,一来各个程序的差异很大,直接套用后如发现还有地方需要修改的话那是无法实现的,二来打磨的那个设置过程实在是复杂,设置好确实强大,可是让人看了以后无形之中增加了厌倦程度(我是这样),对D+设置感到繁琐和害怕。规则最好自己动手,丰衣足食,取经典中适合自己的规则,去不适合自己的规则,这样好点,跟着达人走还要很长的时间来磨合,特别是像我这样的小鸟。简单的看下我对规则的一般设置过程,开始:
[color=red]打磨的my protected flies、my protected COM components、my protected registry keys的设置是要添加的,这也是系统保护的基础,不要懒惰,如果这都不愿意手动输入的话,还是禁用D+功能吧。[/color]以上设置好后可以把它备份,可以用与其它机器的基本规则,也不需要下次在去输入了。
看看文件的组-my file groups(我的文件组),这里添加各个分类的组群,有你要保护的系统关键组、你自己的私有文件组、同类软件的组,这里的组和my protected flies(我的保护文件)貌似很像,我第一次用还不知所措,只知道对其中规则的设置会改变对my protected flies对应组的规则,有时还不知道自己要保护的文件还要添加到my protected flies中(想想自己都笑了)。[color=blue]注意groups中的组不是所有的都添加到保护中去,这里添加的可能是自己临时使用的组,方便其它程序的调用而已,如浏览器的组,你使用很多种浏览器,而且不希望某些程序调用它,可以单独的将所以浏览器添加到groups中,而不是将浏览器的组添加到my protected flies中去。[/color]将打磨的保护文件规则修改和添加后,记得将my protected flies中没有的保护内容添加进去,不要忘记哦。注册表和Com设置好后就不用管它们了,一定不要忘记注册表中gruops添加到保护中去。
[attach]286924[/attach]
[attach]286925[/attach]
这个关键地方设置好后第一步就完成了,下面是什么,开启clean pc mode尽情的运行程序吧
[attach]286926[/attach]
这是我喜欢的,什么都不用管了,呵呵。这里的程序我是指除系统自带的程序
什么Office、QQ、迅雷、IE、暴风等等,运行它们,对于一些软件的广告或讨厌的行为先忍耐下,以后收拾它们。在此期间,老实点好,访问些固定安全的网站是必要的,下载的东西最好是官方或信任的下载站,这里打个小广告(不是枪手,它没给我钱),我下载的软件很多都是[url=http://www.xdowns.com]www.xdowns.com[/url](绿色软件联盟)中的,很好很绿色,对于部分有恶意行为的软件都会有提示(此类软件较少。最好不要去下载它,免的说我误人子弟啊)。就这样开着三天左右,把可能的软件行为都要运行下,让D+记录它的大部分规则。还有就是最好运行下控制面板的内容,都要运行一下,会有很多规则的哦。
三天后:
生成的规则差不多了,开始自己DIY了,不要告诉我你不想去动那些规则,害怕程序出问题,不要担心,而且这个担心也是没必要的,这个可以返回在操作,不是不可逆向设置的(建议不要动系统的关键程序,如svchost.exe)。
好,先看看explorer.exe的规则,这个程序,如何制定(从run an executable):
[attach]286927[/attach]
[attach]286928[/attach]
[attach]286929[/attach]
[attach]286930[/attach]
[attach]286931[/attach]
[attach]286932[/attach]
[attach]286933[/attach]
[attach]286934[/attach]
[attach]286935[/attach]
[color=blue]这里要注意的是访问保护文件/文件夹,加入block中的文件要在my protected flies中要有对应的保护才生效。[/color]
一般程序的分类可以分为:系统程序(访问网络和本地)、单机程序(OFFICE、单机游戏、一些辅助性的小工具等)、访问internet程序。这个是大体分类,各个分类都有相应的特定的规则,如DNS Client Service、Coputer Monitor、Disk,单机程序block DNS Client Service,Disk,当然也不能一刀切,具体程序还是具体对待。
[size=4][color=magenta]系统程序(本地):[/color][/size]
这个例子太多了,如文本编辑器-notepad.exe
[attach]286936[/attach]
因为它可以打开很多类型的文件如 ini dat,所以要注意,少让它去编辑系统的ini文件或直接阻止。我这里是设置为ask,这样好让我自由的选择,而不是一刀切。
[size=4][color=magenta]系统程序(访问网络):[/color][/size]
很多访问网络的程序都是在cmd前提下进行的,如ping.exe、net.exe、[url=ftp://ftp.exe]ftp.exe[/url]、telnet.exe
先看下cmd.exe
[attach]286937[/attach]
cmd如果个人不用的话直接放入隔离区,免的麻烦。特别是一些危险的程序 如format telnet,一旦机器被别人控制,这个程序或者说命令就是他的帮凶了。个人用不到的话就禁止cmd调用吧或者直接拉入隔离区。
我个人常用到ping arp ipconfig等命令,可以放行,不过权限嘛,当然很低了,你不设置它也不要紧。
[attach]286938[/attach]
再来个例子,不过它不是系统自带的,可是它的功能单一,只扫描局域网的得到相应的MAC地址:
[attach]286939[/attach]
[size=4][color=magenta]单机程序[/color][/size]
单机程序的特定是不访问网络(废话),所以直接将DNS Client Service废掉,免的莫名其妙的连接网络,不安全。当然各个程序的功能决定它的权限。
看看flash播放软件-Flash Player Classic工具的权限设置
[attach]286940[/attach]
单机程序很多都是这样,是不是很简单啊。
[size=4][color=magenta]访问internet程序
[/color][/size]这就是与单机程序的区别了(不说废话了)。
不说浏览器了,累啊,看下迅雷的好了(这里的迅雷是C:\Program Files\Thunder\Program\Thunder5.exe)而C:\Program Files\Thunder\Thunder.exe这个程序只是调用Thunder5.exe的,所以给它权限最低。
[attach]286944[/attach]
[attach]286945[/attach]
[attach]286946[/attach]
再看下qq的吧
[attach]286941[/attach]
[attach]286942[/attach]
[attach]286943[/attach]
还有一类是安全软件,它们会有很多的动作,这里可以在Predefined Security Policies中添加也加个信任组,这个组是由自己控制的,权限可以很大,用到安软的时候可以直接用自己的信任组。对于一些特殊的软件,我以前说过,可以去看下([url=http://bbs.kafan.cn/viewthread.php?tid=259780&highlight]http://bbs.kafan.cn/viewthread.php?tid=259780&highlight[/url]= [color=magenta]对于一些特殊软件的设置方法。[/color]避免了Predefined Security Policies中设置组的教条式方法 )。对于安装软件时要注意对其的可信度,不放心可以加个安装组来限制下它的动作。
对于软件设置后出现不良反应怎么办?
举个小例子
我用的截屏软件faststone capture,在设置中明明设置了文件名开始为1,可是每次使用都不是1呢?
[attach]286947[/attach]
排除软件自身的bug,是不是我的D+设置有问题,看看日志
[attach]286948[/attach]
所以对于绿色的使用要注意下,及时的设置自己程序可以调用自身的文件夹下的文件。
再简单的说下,my quarantined files-我的隔离文件。将不想运行的程序、自己的私人文件/文件夹(重要而且不经常使用的)、甚至是gho文件都放进去,这样神仙也无法对其有任何的动作(除非comodo挂了)
[size=4]规则设置好后一定要记住保存备份,不要等到comodo出问题了,规则没了才想起没有保存规则[/size]
[attach]286987[/attach]
[attach]286988[/attach]
两种方法都可以,如果不保险都备份也可以哦
遇到莫名的提示(规则设置较好的情况下),特别是上网的时候一定要注意(99.9%都是恶意的)
上次访问的一个带毒网站,很毒。不要告诉你遇到是点allow
[attach]286949[/attach]
[attach]286950[/attach]
差不多了,当所有都设置好后将模式调为最高模式。以上的只是给出几个示范例子(不要模仿啊,自己可以动手设置起来),主要的还是靠自己来对程序规则的把握,个人的习惯也不同,所以规则的差异会有会大。其实简单的设置下comodo d+并不是想象中的复杂和艰难,最多设置为ask,也没什么不可以,打磨的保护组是基础,一定要添加上去,这个无法偷懒的。至于程序以后的运行问题完全可以看日志来解决问题。自己DIY程序的规则会有很多的乐趣,不要僵硬的套用使用别人规则,特别是达人的规则(严谨的规则可以说是适合自己本人的,不一定适合他人),不然问题不是一般的多,达人给的规则是作为参考的,指明了部分道路,关键还是自己来设置相关规则,最后让D+适应你的习惯。
以上是本人对D+规则的简单设置过程,去除了达人Predefined Security Policies中的组的设置和对相关程序的规则套用。以上程序只是举例,请不要看相关内容。如果照搬,后果自负。如果有什么不正确的地方可以指出,鄙人及时调整。达人可以不看此贴。
[[i] 本帖最后由 huai168an 于 2008-6-16 04:03 编辑 [/i]] 不要怕麻烦,clean pc 模式完成后调到最高模式后,自己DIY,以后对不同程序或者不同类型的规则设置已经水到渠成了。切忌不要有套用别人规则的思想(拿来主义也要分开该拿和不该拿的东西),打磨、局长等达人,已经为我们指明道路,千万不要搬弄他们的繁琐规则,对于我等小鸟那是折磨。DIY D+,你也可以[:16:]
[[i] 本帖最后由 huai168an 于 2008-6-15 16:44 编辑 [/i]] [:01:] 搬个板凳慢慢看,好文章。 好文章,要支持! 不错的文章`支持下`` 很棒,我借鉴了explorer.exe一些权限的阻止。
最后网马在浏览器文件保护里修改分区属性的问题给我一个警告。个人在想,浏览器允许必要的文件建立后,禁止掉浏览器的保护文件夹/文件选项。但这样对长经验也有一个不好的方面,就是无法直观的去感受病毒的表演了。
[[i] 本帖最后由 伯夷叔齐 于 2008-6-15 17:18 编辑 [/i]] 不错,值得学习一下。自己打磨的规则才是最适合自己的。 打磨教程的Predefined Security Policies中的设置切忌不要看(特别是第一次使用comodo,看了会很痛苦,还会在想:我是否还要comodo[:xi44:] ),直接跳过,看其它的相关设置(又唠叨了下[:32:] ,望打磨不要[:xi43:] [:xi48:] ),等自己有足够的信心在去研究[:xi39:] 。当你有信心时就可以去试试毒枭了[:xi21:] [quote]原帖由 [i]huai168an[/i] 于 2008-6-15 20:04 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3800935&ptid=269920][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
打磨教程的Predefined Security Policies中的设置切忌不要看(特别是第一次使用comodo,看了会很痛苦,还会在想:我是否还要comodo[:xi44:] ),直接跳过,看其它的相关设置(又唠叨了下[:32:] ,望打磨不要[:xi43:] ... [/quote]
把打磨COMODO和火鸟的那篇当成“辞典”看,我想效果要好很多。实践到一定程度,有不懂得再去看那两篇,否则会让学习的人疯掉。
回复 10楼 伯夷叔齐 的帖子
同意[:28:] 好贴!! 不过在CLEAN PC 下的规则都是很粗糙的,这样会不会是安全系数打折扣啊?[:11:]回复 12楼 tapingshan 的帖子
clean pc 模式已经包含了大部分可用的规则,只要你能想到该程序的各种功能,这是为以后的制定规则的方便。安全系数来说,不是用clean pc来最终形成规则,其中的还要设置的allow、block的,clean pc模式下的安全系数很低,所以要求在用干净pc模式时系统无毒状态和良好的上网习惯啊 [quote]原帖由 [i]huai168an[/i] 于 2008-6-17 10:39 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3814309&ptid=269920][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]clean pc 模式已经包含了大部分可用的规则,只要你能想到该程序的各种功能,这是为以后的制定规则的方便。安全系数来说,不是用clean pc来最终形成规则,其中的还要设置的allow、block的,clean pc模式下的安全系数很 ... [/quote]
上一段时间我就在想让COMODO学出来精细的规则,在safe made 下,全部都为 ask 然后全部允许并且记住,之后在制定相应的规则,后来发现,即使是这样规则仍然不够精细(而且太累人!差点吐血而亡,),仍然会出现类似D:\*这样的东西,现在我感觉对于应用软件的规则只需要把好个别的关口,比如不允许在临时文件夹中运行程序,禁止修改注册表[:23:]
回复 14楼 tapingshan 的帖子
当然,safe made还会有提示。特别是规则的protected files/folders的设置,个人的差异性很大,对于程序的其它的限制还是要自己添加和把握的,如果说一点也不麻烦的话,也不可能,还是看个人的习惯和要求。打造适合自己的规则还是要费点时间和精力的[:06:][[i] 本帖最后由 huai168an 于 2008-6-17 11:36 编辑 [/i]]