巧用Comodo模式切换,打造另类程序安装模式(10月12日更新)
目前公认的HIPS的软肋就是在软件的安装上,所以我们看EQ或其他HIPS里的规则包中,各位大侠都加入了相应的软件安装规则包,这里我们不讨论这些规则包是否可以有效的保证安装的完成,而不破坏整个规则的安全性。但有个最明显的缺点就是,增加的这些规则,在我们平时的使用中,无疑也增加了正常程序遍历的规则数,效率上自然略有下降(可能小到感觉不到吧,呵呵)。Comodo的规则在设置上不如EQ那样结构清晰,更不能设置多个类似于保护模式,安装模式这样的全局规则。所以我们以往在安装一个新的软件是,往往切换到install模式([color=Red]多亏大家提醒,自己几乎没用过,都忘掉了,不好意思)[/color],或者需要到Defense+ Settings(D+ 设置)>>Deactivate the Defense+ permanently(永久关闭D+保护),然后才可以安装软件。[color=Red](题外话,这样其实也不是很安全哦!)[/color]这里我们联系一下,我们平时在备份Comodo设置的时候,经常会去备份它的注册表,
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\
其实在这个注册表项的下面还有其他几个子项(CFP有0和1,CIS则有0、1、2和3四个子项),我们经常用到的实际上就是0这个子项,其他的几个子项则是Comodo预设的其他模式的设置,我们就从这里入手。以CIS为例(CFP类似)我们右击CIS的托盘图标>>Configuration(设置,下面的四个选项就分别对应注册表的四个子项,默认选中第一个)>>我们改选第二个COMODO-Internet Security>>弹出一个对话框 The Configuration has been activated successfully(更改设置成功).这是我们看Comodo的设置以及回到了类似于默认设置的状态,呵呵。
[attach]374888[/attach]
[color=Red]有点啰嗦,看上去似乎比以前更麻烦,可能有些同志已经看不到这里了,呵呵,其实实际操作起来就不那么麻烦了,主要是照顾一下新手,下面的内容是我们怎么来设置这样一个模式。高手飘过![/color]
首先我们说一下前提,中毒不要怪我哦,这里只是强调用一个既简单又相对安全的安装模式,不能用于正常防护哦!!!
前提: 1.安装的软件从正规软件下载站下载
2.经杀毒软件扫描确认安全
3.已安装的软件在\Device\HarddiskVolume?\Program Files\*\*这些目录下(因为CIS里?:\的形式已经失效我们这里
用了\Device\HarddiskVolume?\替代) 这条不是必须的,只是为了后面设置规则的方便
通过上面的前提我们认为这个软件是安全的,下面我们来说对这个预设规则的一些变动
Ⅰ.D+规则
a.My Protected Files(我的保护文件)
1.在预设COMODO Files/Folders组中加入需要保护的其他安全软件,如红伞和EQ。
2.在预设COMODO Internet Security组中加入其他安全软件进程,保证其他安全软件的高权限,避免冲突
3.新建组Existing Program在这个组里加入\Device\HarddiskVolume?\Program Files\*\*和其他常有软件的路径
b.Computer Security Policy(计算机安全策略)
新建Existing Program组规则,除Loopback Networking、DNS Client Services这两个联网相关规则和Disk、Physical Memory这两项规则选Block以外,其他规则全部允许,Run an Excutable>>Allowed Applications里面加入程序组Existing Program。
[attach]374890[/attach]
[color=Red]记得,把这个规则拖到All applications的上面哦!![/color]
[attach]374889[/attach]
说明:这样设置的目的是,避免系统反复提示(头大),并禁止联网,磁盘和内存访问(现在的病毒都是要联网下病毒的多,万一现在已知的程序有木马之类的也不至于继续扩大,不好的地方就是网路和QQ之类的要掉线了哦,其实也可以添加相应的规则,主要是又不是经常安装软件,所以不要加那么多规则,麻烦!反正安装完了就要切换回去的。)
Ⅱ.防火墙规则
在最下面新建规则All applications>>Use a Predefined Policy>>Blocked Application,这样做的目的是除了Comodo和其他安全软件以及系统升级程序以为阻止任何程序联网(安全第一,其次是不要有那么多提示!!)
[attach]374893[/attach]
准备工作做好了,现在是设置安装程序的规则了,我们就改All applications规则就好!程序安装嘛,主要是FD和RD起作用了,这里我们给他一个相对安全的权限,和上面的Existing Program规则一样,Block掉Disk、Physical Memory这两项规则,其他的规则通通ASK,当然可以设置更加严格的规则,但安装程序实在是很难判断用到啥,比如有些程序可能联网激活之类的,所以也没有block掉Loopback Networking、DNS Client Services这两个联网相关规则,如果不是必须联网的话建议block掉。
[attach]374891[/attach]
[color=Red]tips:[/color]
1.程序安装最多的提示可能出现在RD上,所以建议在My Protected Registry Keys里面只保留Automatic Startup和COMODO Keys这两个最重要的项,其他的可以不拦截,特别是Important Keys,要不可能会很烦。不怕提示的飘过!
2.在这个模式下,Comodo默认取消了Computer Moniter、Disks、Keyboard的保护,请大家务必检测一下,最好都给勾上。安全第一!!
3.将D+的安全级别调到偏执狂模式,不然它自己又新建规则!HOHO
4.以后安装软件的时候,只需右键来回切换一下就OK了,个人感觉还是比较方便的,呵呵
[color=Red]5.如果各位看官觉得\Device\HarddiskVolume?\Program Files\*\*给的权限太大,可以适当调整下,主要是因为新装的软件,如果默认装在这些位置,也就有了这些权限,有点恐怖,但如果不要试运行,直接切换回正常模式的话,没有问题!HOHO,不想搞的那么复杂!![/color]
比起installer or Updater模式操作起来,并不麻烦,呵呵,只是先前要做这些设置,HOHO,一劳永逸(自嘲一下!),安全第一(再次自嘲一下!)
OK,写完收工
[:xi31:]
[size=5][color=Red]这里我之提到一种可行的方法,相对安全和快捷的方法,当然换Install模式也很方便,哈哈!囧!安全性上还是好点的吧!!大家多提宝贵意见哦!如果大家觉得繁琐,请飘过,高手请飘过!
10/12更新!
[size=3][color=Black]鉴于installer or Updater模式的权限不明的问题,大概测试了一下[/color][/size][/color][/size][size=5][color=Red][size=3][color=Black]installer or Updater模式的权限[/color][/size][/color][/size][size=5][color=Red][size=3][color=Black]
方法:将IS和procexp和explorer设置权限为预设模式[/color][/size][/color][/size][size=3][color=Black]installer or Updater。
结果[/color][/size][size=3][color=Black]IS直接启动,可以推测,
1.[/color][/size][size=3][color=Black]IS启动需要访问[/color][/size][size=3][color=Black]%windir%\system32\drivers\Isdrv122.sys,[/color][/size][size=3][color=Black]没有提示则表示默认允许访问%windir%\system32\drivers\*下面的文件(这里都允许的话,相信FD默认设置为allow),继续将Explorer.exe设为改模式,可以任意修改windows目录,呵呵,权限大的怕人!
2.[/color][/size][size=3][color=Black]IS启动[/color][/size][size=3][color=Black]需要加载驱动,没有拦截则,驱动默认为allow
3.[/color][/size][size=3][color=Black]procexp启动往往报LocalSecurityAuthority.Debug访问,没有报说明COM访问默认为allow
4.[/color][/size][size=3][color=Black]procexp启动会报[/color][/size][size=3][color=Black]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger,不报说明默认RD为allow
[/color][color=Black]。。。。。。。。。。[/color]
[color=Black]。。。。。。。。。。。。[/color]
[color=Black]。。。。。。。。。。。。。
[/color][color=Black] 上面测试的都是最关键的地方,如RD的windows目录,驱动加载,COM的debug访问,以及RD的映像劫持,其他的地方就没有比较了,个人觉得也没有比较的必要的,这几个权限有一个都大的怕人,何况全都用呢!
[:04:]
本来想写一个更加详细的说明报告,图也截好了,苦于懒惰,哎(懒惰是最大的敌人啊!!)各位如果有兴趣可以尝试详细的比较一下![/color][/size]
上面那么多废话其实要说明的[size=5][color=Red][size=3][color=Black]installer or Updater的权限实在太大,个人的理想的安装模式应该是[color=Red]“大口进小口出,关键地方给点提示!”[/color]嘿嘿!
PS:今天生日,卡饭给我发了一个祝福邮件,感动啊!!
高高兴兴的去领生日红包,RP差到极点50!!!默认是50-100的嘛!!
[:12:]
[/color][/size][/color][/size]
[[i] 本帖最后由 aseioteur 于 2008-10-12 17:41 编辑 [/i]] 不好意思,实在是忘了comodo有INSTALL这个功能来着,因为几乎没用过,[:23:]
我还是把名字改下吧!无意误导新人!
其实自带的INSTALL功能MS权限太大,这个规则可以自己用用,阿门!
[:32:]
[[i] 本帖最后由 aseioteur 于 2008-10-11 17:51 编辑 [/i]] 赶快占位,慢慢学习,哈哈……
[[i] 本帖最后由 yj2371 于 2008-10-11 16:55 编辑 [/i]] 正在研究
我是被毛豆征服了~ 毛豆不是有安装模式?[:32:] LS说详细点,我咋没看到,最近近视严重了??[:05:] 打开界面
在右下角[attach]374917[/attach]
在打开安装包是也可以选择
[attach]374918[/attach]
[[i] 本帖最后由 llxm920 于 2008-10-11 17:02 编辑 [/i]] [quote]原帖由 [i]llxm920[/i] 于 2008-10-11 16:54 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=5119132&ptid=345577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
毛豆不是有安装模式?[:32:] [/quote]
安装模式权限过大
偶的建议 配个沙盘就解决了 支持下,预置规则一定要用好[:09:]
方便 安全[:13:] [quote]原帖由 [i]stephenrid[/i] 于 2008-10-11 17:01 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=5119184&ptid=345577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
安装模式权限过大
偶的建议 配个沙盘就解决了 [/quote]
同意,很好的解决办法,以前也用DW,觉得系统有点慢了,没再用! 学习学习[:10:] 要是能把这些规则添加到默认的Installation Mode里取代默认就好了[:xi36:] 刚看了COMODO官网上的介绍
1 - Installation Mode :
In thiss version of Defense+, there is a builtin security policy called "Windows Installer Application". This policy, when applied, gives a process maximum accesss rights. When the system switches to the installation mode, the *child* processes i.e. the process which has "Windows Installer Application" access right will have the same rights as its parent.
For example :
xyzsetup.exe is treated as "Windows Installer Application".
xyzsetup.exe will be able to modify everything. Later xyzsetup.exe tries to run "aftersetupconfig.exe" file. If you switch to installation mode, aftersetupconfig.exe will also have the same access rights as xyzsetup.exe.
This is more useful for windows updates. svchost.exe is the process responsible for downloading and installing windows updates in Windows XP.
1- svchost.exe will connect to the MS site
2 - svchost.exe downloads ie7setup.exe
3- svchost.exe runs ie7setup.exe
4- ie7setup.exe install IE7.
If you dont switch to installation mode, after step4, CFP is going to show its usual popups for the ie7setup.exe because it has no rights.
If you switch to Installation mode, it will be installed silently. Upto 3 chlid processes..
CFP will remind you every 5 minutes to switch back from the installation mode because of the implicated security risks.
For example, in certain cases, iexplore.exe can be run from svchost.exe. If the system is in installation mode, iexplore.exe can be treated as installer too! Thats why CFP will always bug you to switch from this mode asap.
I hope this makes it clear.
很长,大概的意思就是在该模式下运行安装程序的拥有Windows Installer Application权限,这个规则是comodo默认的一个规则,权限很大,在预设规则里没找到,这里也提到这样做很不安全,呵呵!
[color=Red]所以,看来我的模式还是有用的哦,至少在windows目录下建个文件要请示你,加入开机启动项也要请示!呵呵!也不麻烦的,自己用了!呵呵[/color] 更新了,insteller or updater模式的权限,很大很吓人哦!!
[:01:]
页:
[1]