一、关于数字签名文件加入到COMODO信任软件商的作用
(一)为什么添加数字签名
在运行这些已经列入“safe list”的程序的时候,COMODO将不会报警而自动生成允许规则。一旦程序的哈希值被恶意软件修改,那么COMODO也将报警。
(二)添加签名与“映像执行控制”报警的关系
以下,我们就来看看IMAGE EXECUTION CONTROL SETTINGS通过什么机制报警。先来引用一下“火鸟”版主在教程里的一段对image execution control settings的解释:
引用:
引用U版的话“在每一个可执行文件被载入内存前给予验证、提示。
程序平时是以文件形式保存在硬盘,在运行时载入内存。我们一般把可执行文件叫做程序的映像(image) 。
一个进程是一个正运行的应用程序的实例;
进程是进程映像(Process Image)的执行过程,也就是正在执行的进程实体。
Image Execution 是对可执行文件载入内存进行控制,会影响Policy里的Run an executable”
什么意思呢?就是如果选了Aggressive,即使你的可执行文件在策略中已经允许运行了,但是comodo还是会报警提示。在可执行文件尝试加载入内存或缓存时会被comodo拦截。
normal就是在可执行文件尝试加载入内存会被comodo拦截,但加载入缓存是不会拦截的,这是comodo的默认设置,建议不要改动。
说明:在“干净模式”或“安全模式”下初次运行程序建立规则或运行已建立规则的程序时,COMODO将计算载入到内存的执行文件的哈西函数,通过对照在COMODO收录到“安全列表”里的已知程序和已认可的程序的哈西函数,以负责验证载入内存的每个执行文件。但如果D+是设置到Paranoid Mode模式,那么“哈希检测”将无法生效,在程序运行建立规则时,COMODO将报警每一个程序行为,哪怕在“safe list”里它被认为是安全的。
(三)安全列表(safe list)的范围
收录到“安全列表”里的已知程序和已认可的程序包括:
1、COMODO白名单“已知”安全的程序;
2、签名添加到“信任软件商”的“认可”程序;
3、在“SAFE模式”和“PC CLEAN模式”下,当未被“确认”的程序报警时,作为信任程序(Trusted application)或作为系统程序(windows system application)添加到规则的程序;
4、添加到“my own safe files”里的程序,当某程序添加到“my own safe files”后,那么这个程序包括它的子文件夹的组件,也一起处于“safe list”监视状态中;
在safe mode或clean PC mode下,所有“safe list”下的程序,将受COMODO的全面保护,以监控哈希值是否被恶意程序修改。
(四)程序D+列表中程序规则的排序和“safe list”的关系
1、我们可以看到,在SAFE MODE或CLEAN PC MODE下,只要已列入COMODO的“safe list”,那么规则就自动生成,且全部都生成到all applications之下(除作为Trusted application和windows system application添加的程序之外),如果选择预设的trusted application或windows system application,那么程序也将添加到“safe list”里,同时此程序的所有行为,将被COMODO自动允许且生成规则,除以预设Trusted application和Windows system application方式添加的规则在列表最上面逐次建立外,这些自动生成的规则将在D+程序列表的最后面逐次建立;
2、而对于报警后仅仅允许执行
单项行为并记忆的未知程序,或clean PC模式下的属于“my pending files”的程序,那么D+规则将在列表的最上面逐次建立。
如图
(五)程序D+列表中程序规则排序和优先级的关系
1、all applications是D+的全局规则,对所有“unrecognized”(未认可)程序,正是基于它限定的全局性模糊(ask)规则,都需要询问;
2、上图中,凡是自动建立的规则,对于程序的每个行为,都是以“允许”和“例外允许”的方式建立,那么程序需要运行的行为,都是清晰规则和例外规则。在这样的条件下,一旦all applications里的某些行为修改为如block这样的清晰规则,或对具体行为有作为例外阻止的项,那么根据清晰规则的排序优先级逻辑,将对以下的自动生成规则的程序进行全局控制,它们的“允许”或“例外允许”的也必须先遵循all applications的全局设定而不能无任何限制的独行其事。
因此建议,用户在safe mode或clean PC mode这两个模式的任意一个模式下建立规则,且模式不变的情况下,没有必要调整任何程序D+的顺序。
二、关于防火墙“杂项”里关于设置的一些说明:
(一)个人关于协议分析的理解(数据包 包头部分检测内容)
说到上图中的协议分析,那么下面就通过一个最常见的例子来说明TCP协议通讯过程以及用到的基础概念以及与协议分析的关系:
引用:
TCP协议在能够发送数据之前就建立起了“连接”。要实现这个连接,启动TCP连接的那一方首先将发送一个SYN数据包。这只是一个不包含数据的数据包,然后,打开SYN标记。如果另一方同时在它收到SYN标记的端口通话,它将发回一个SYN+ACK:SYN和ACK标志位都被打开,并将ACK(确认)编号字段设定为刚收到的那个数据包的顺序号字段的值。接下来,连接发起方为了表示收到了这个SYN+ACK信息,会向发送方发送一个最终的确认信息(ACK包)。这种SYN、SYN+ACK、ACK的步骤被称为TCP连接建立时的“三次握手”。在这之后,连接就建立起来了。这个连接将一直保持活动状态,直到超时或者任何一方发出一个FIN(结束)信号。
任何一方都可以关闭一个TCP连接,要求双方发送一个FIN信号关闭自己的通讯频道。一方可以在另一方之前关闭,或者双方同时关闭TCP连接。因此,当一方发送一个FIN信号时,另一方可发送“FIN+ACK”,开始关闭自己一方的通信并且确认收到了第一个FIN信号。发送第一个FIN信号的人接下来再发送一个“FIN+ACK”信息,确认收到第二个FIN信号。另一方就知道这个连接已经关闭了,并且关闭了自己的连接。发送第一个FIN的人没有办法收到最后一个ACK信号的确认信息。这时它会进入“TIME_WAIT”(等待时间)状态并启动一个定时器,防止另一方没有收到ACK信息并且认为连接仍是打开的。一般来说,这个状态会持续1至2分钟。
引用:
Comodo V2.x 没开放可以控制TCP标志的底层规则,是因为Comodo已经通过Do protocol analysis 实现,甚至更全面。因为Comodo实现了TCP/UDP SPI,可以控制TCP标志的底层规则,之所以没有开放控制TCP标志的规则,是因为一但出错,会破坏TCP SPI的正常过滤,反倒不安全。
当然,协议分析远不止于TCP,还包括UDP和ICMP等等。。也远不止数据包头标志位,还包括IP版本、首部长度、服务类型、数据包总长度、标识ID号、首部校验和等等信息。。
(二)个人关于数据包校验的理解(数据包数据检测范畴)
上图中,我们大概了解到包校验过滤,但对具体使用还不甚明了,这里做一个解释:
引用:
每个数据包在尾部都有一个通过哈希算法得出的校验值(数据包有包头信息,数据包信息两部分,它们都有不同的校验值) 通过这个校验值 接受方可以判断这个数据包是否完整接受 如果你经常出错 那可能链路存在比较严重的丢包和错包 不过对于小带宽高负荷的internet线路来说这是难免的。
网络层是“尽最大努力完整的传输数据包”,差错检测已由数据链路层实现,IP层没必要再进行一次校验。
优点就是:因为不负责差错检测和纠错,所以可获得较高的传输性能。
缺点就是:因为IP层不负责差错检测,那么错误检测只能在传输层或应用层被发现,使纠正错误的时间增加了。
试想一下,如果两台PC跨INTERNET通信,之间隔了很多台路由器,PC1给PC2发了个数据包,到达第一台路由器后,因为原来二层协议为ETHERNET帧,广域网要使用HDLC或者PPP协议,如果在这转发的过程中,数据包发生了错误:
1-因为IP层不做差错校验,所以第2台路由器通过广域网协议(HDLC、PPP等)收到数据后,只要数据链路层正常,它就无法得知收到的IP包是否正确,错误就会这么一直传递下去,至到PC2才被发现,然后再重传。
这过程浪费了网络带宽和中间若干路由器的资源。
2-如果IP可以实现差错校验的功能,那么到了第2台路由器时,路由器2就不会再继续发错误包了,错误就会终止。
不过现在网络传输的误码率都极低,所以IP层没必要再做一次校验!
以上可以分析出,此项功能是特指网络(IP)层的一个包校验机制,个人认为,作为个人用户,那么可以不勾选此项。防火墙丢包测试地址为
http://www.hackerwhacker.com/freetools.php第三项。
(三)顺带对加密通讯说一下个人的理解(与COMODO无关的题外话)
注明:以前我曾经有过对包校验的错误理解,提到了它和网络加密通讯的联系。而包校验应该和加密通讯是没有必然的联系的。
当然既然已经提到过加密通讯的问题,那么通过以下两个图来谈一下加密通讯问题:
引用:
SSL 的英文全称是 "Secure Sockets Layer " ,中文名为 "安全套接层协议层 ",它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写,技术上称为安全套接字,可以简单为加密通讯协议,使用SSL可以对通讯(包括电子邮件)内容进行高强度的加密,以防止黑客监听您的通讯内容甚至是用户密码。
上图浏览器里,如果我们某款软件有数字签名,但颁发者或签名者还不在列表里,那么我们就需要对这样的数字签名文件进行安装,使它的签字人名称,签署机构等要素添加到浏览器里,当然,也可以通过浏览器进行导入,这样,这些软件与指定官方站点的通讯将在加密状态下执行,客户端将访问的是HTTPS 443端口。
(四)“监控程序用TCP/IP协议之外的NDIS驱动”选项(Network Driver Interface Specification【
NDIS】 网络驱动程序接口规范
)
1、“杂项”一图中,如果不选择第四项,且没有对其他协议应用的需求,那么我们应该怎么来去掉这些毫无必要,且惹祸上身的TCP/IP协议之外的协议和服务呢,如下图:
2、上图中,作为单机用户,没有特殊需要,就保留internet协议(TCP/IP)和“Qos数据包计划程序”就可以了。当然,对于“Qos数据包计划程序”的使用与否,需要用户根据具体情况,自己作出对比,比如迅雷下载达到最大速度时,再进入一个数据流量相对较大的网页,看看开放与关闭“Qos数据包计划程序条件下”,迅雷速度的变化大小以及网页浏览进入的快慢。默认情况下,数据包计划程序将系统限制在 20% 的连接带宽之内。感觉此项还是有相当的实际作用和价值,网络上很多人说没有必要,感觉是没有结合到各种用户使用需求的人云亦云的说法;
作为局域网用户,如果需要访问其他电脑的资源,如共享别人的文件夹和打印机,那么就保留或添加“MICRSOFT网络客户端”;
同样作为局域网用户,如果需要其他电脑访问你的电脑资源,那么就保留或添加“MICRSOFT文件打印共享”
3、同时,我们还可以在D+程序规则中找到all applications,在它的文件夹/文件保护里的阻止项里添加3rd Party Protocol Drivers FD(第三方协议驱动),以作为所有程序的全局规则,以阻止对这三个设备驱动接口的修改。
\Device\NPF_*————管理此设备驱动接口的驱动文件路径在c:\windows\system32\driver\npf.sys 一些木马会修改该驱动设备,进行ARP欺骗攻击;
\Device\Ndisuio————管理此设备驱动接口的驱动文件是ndisuio.sys属于NDIS User Mode I/O (NDISUIO)协议驱动,用于支持无线设备,例如蓝牙之类。
\Device\NdisTapi————管理此设备驱动接口的驱动文件是NDISTAPI.sys。TAPI也叫“电话应用程序接口”,属于NDIS驱动
NDISTAPI.sys驱动实现机制上存在漏洞,本地攻击者可能利用此漏洞对系统执行拒绝服务攻击;同时,NDISTAPI.sys驱动是内核态组件,但允许非特权用户的访问,因此任意用户态应用程序都可以向这个设备写入数据。
当我们没有用到以上非TCP/IP协议的NIDS驱动程序时,建议用如上方法,对如上三个“第三方协议驱动接口”加以D+全局性阻止。
三、COMODO组建网关服务器选项
四、请玩D+的朋友当心,删除文件保护、注册表保护、COM保护里的所有组名,即使自己手动添加同样的组名和组项后,同样会造成保护功能的失效。但修改组名不会造成这样的问题。
五、对恶意软件的行为启发报警(
此项补充要感谢huai168an网友的测试和大力的技术帮助)
在Paronoid mode、safe mode和clean PC mode这三种模式下,COMODO都会对嫌疑恶意软件进行行为启发报警,以指明某程序存在恶意行为。
但不同的模式,对有嫌疑的程序的界定有所不同。经过验证,当COMODO确认某程序为疑似的恶意破坏程序时,它对这样的程序监控的机制将更加严格。当然,防火墙部分的custom policy mode和safe mode也会对嫌疑恶意程序的网络通讯进行行为启发报警,不同模式,界定不同。
如图:
(完)
[
本帖最后由 伯夷叔齐 于 2008-7-11 15:26 编辑 ]
