分析自己的D+日志
comodo的D+日志系统相信很多人都会用,但是还有些Fans对日志理解还不是太强,还对日志系统运用的不熟或者惧怕出错而不看日志。因为Fans提出的相关问题也给我一个提示,如何来让Fans利用日志更快的定
位程序异常情况,从而有效的使程序正常运作。这就是今天我要说的地方。此次说明为大体说明,很多不
同类型的日志事件行为在这也无法一一说明,给的是个方向、方法。comodo还是要通过自己的学习来加深
理解。
我们先来看下自带帮助文件中关于D+日志的一段说明:
[quote]The 'Defense+ Events' area contains logs of all actions taken by Defense+. A 'Defense+
Event' is triggered whenever an applications behavior contravenes your Computer Security
Policy. (For example, if a particular application makes an attempt to access another
application's memory space, modify protected files or the registry etc).[/quote]
“D+事件”区包括由D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发
一个D+事件。(例如,一个特别的程序试图访问另一个程序的内存空间,修改保护的文件或者注册表键等
)。
其实帮助文件说的清楚了,D+记录的是违背安全规则的事件,是程序规则中非允许的相关事件。
看下日志图
[attach]305488[/attach]
下面主要将的是对“action”(行为)做较为详细的讨论
[attach]305489[/attach]
先看下各个action大体对应的规则项(注意:给出具体项不代表日志中的action,只是给出对应关系,不
要误解)
上一图为日志事件
下一图为对应规则项
[attach]305490[/attach]
[attach]305491[/attach]
[attach]305492[/attach]
[attach]305493[/attach][attach]305493[/attach]
[attach]305494[/attach]
[attach]305495[/attach]
[attach]305496[/attach]
[attach]305497[/attach]
[attach]305498[/attach]
[attach]305499[/attach]
[attach]305500[/attach]
[attach]305501[/attach]
[attach]305502[/attach]
[attach]305503[/attach]
[attach]305504[/attach]
[attach]305505[/attach]
[attach]305522[/attach]
[attach]305523[/attach]
[attach]305524[/attach]
[attach]305525[/attach]
还有几项就不列出了,注意直接键盘访问、直接截屏访问、直接鼠标访问等重要的行为,见到这些要格外小心。
对于一些“action”你会发现它不变化,而有些,看很相似如
[attach]305506[/attach]
这两种“action”有什么区别?
我们来做个简单的试验
在D盘根目录下有个aa.doc文件,保护它(添加到“我保护的文件”中)
[attach]305507[/attach]
用一个TXT文件来删除它,得到一个日志记录
[attach]305508[/attach]
[attach]305509[/attach]
此时可以看出“action”为“modify file”
换个方法,将aa.doc放入“我隔离的文件”中去,然后用同样的方法来删除它并得一个日志
[attach]305510[/attach]
删除失败得到一个日志记录
[attach]305511[/attach]
这时“action”为“block file”
这两个试验的效果是一样的,只是日志事件的行为不同,是不是有所启发呢!
一个试验不放心,再来个小试验
手动删除bb.doc文件,看下图
[attach]305512[/attach]
[attach]305513[/attach]
[attach]305514[/attach]
[attach]305515[/attach]
日志记录为“modify file”
再将bb.doc放入隔离文件中看看情况
[attach]305516[/attach]
删除看日志
[attach]305517[/attach]
好了,这是程序对文件的访问权限的设置不同导致日志事件的“action”也不同。就字面意思来说,一个是“修改文件”一个是“阻止文件”。可以看出“modify file”阻止事件是通过保护文件的方式来实现的,是程序对保护文件进行相关权限的操作时产生的。而“block file”说明是程序对隔离文件操作时产生的日志事件。虽然这两种方式可以表达出同一结果(如上面的例子,都无法删除相关文件),但是根据它们的行为进行区分,这样可以更快的来找出程序异常的原因。
下面附几张恶意软件清理工具所生成的日志。以下就列出3款工具:360安全卫士、金山清理专家、windows清理助手。comodo中有相应的黑名单(可以查看局长的“毛豆通缉令---FD黑名单”[url=http://bbs.kafan.cn/viewthread.php?tid=274493&extra=page%3D1]http://bbs.kafan.cn/viewthread.php?tid=274493&extra=page%3D1[/url])并且有自己的系统隔离文件
[size=4][color=blue]360(扫描引擎是360自带的,没用用安天的引擎)[/color][/size]
[attach]306059[/attach]
[size=4][color=blue]金山清理专家[/color][/size]
[attach]306060[/attach]
[size=4][color=blue]windows清理助手[/color][/size]
[attach]306061[/attach]
对于一些安软或杀软生成的日志分析,大家还是自行把握,它们的差异性很大。本人不做评论,图片中的只是相关说明。
好了,就这么多了,希望Fans可以自己来分析自己的日志,这样上手comodo就更加快捷。如果没有涉及到的日志类型,大家自己去查看。当然大家也可以跟帖,说下其它类型的日志事件,如hook事件有block hook ,install hook。以上内容如有错误请达人指出,谢谢。
[[i] 本帖最后由 huai168an 于 2008-7-8 21:31 编辑 [/i]] [:01:] [:01:] 很不错的帖子,学习了 又是好文[:28:]
新手提问必看呀 一大早就看天书。。。。。。。。。。[:xi34:] 保护的文件 可以被读取,禁止被创建,修改,删除
隔离的文件,禁止被读取,创建,修改,删除,包括读取属性 comodo的日志确实需要改进。 [:01:] [:01:] 另外还有一个hook动作是 install hook [:01:] [:01:] 另外还有一个hook动作是 install hook 学点东西。。。。。。。。 偶也是同感。。[quote]原帖由 [i]wellkobe[/i] 于 2008-7-8 08:35 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4081355&ptid=283680][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
一大早就看天书。。。。。。。。。。[:xi34:] [/quote] 感谢分享.学习了. [:01:] 感谢分享
学习 是有点晕啊,中心思想是啥?对我们有什么用呢?
回复 14楼 hoohya 的帖子
[:08:] 日志的对应分析设置部分 看到日志就立即想到对于设置的问题 这个就是中心思想 支持下不过看着好累 [:01:] ok
页:
[1]