第四部分 预设规则
1.预设规则的原则
前面已经讲过默认的Trusted 对大多数程序太松,默认的Limited 又太紧。
我们接下来要做到就是削减Trusted的权限,提高Limited的权限。
另外,再增加两个预设规则,本地程序和网络程序。
如果Comodo安装在干净的系统,那么不需要上网的本地程序,基本不会对我们构成威胁。
网络程序一旦联网随时可以威胁系统安全,需要制定和本地程序不同的严格规则。网络程序也被称作 Threat Gates(威胁入口),限制网络程序及其生成物就是我的策略。
此外,我们还需要稍微修改一下默认所有程序规则。
目前的想法是:explorer、默认浏览器、系统启动常用的一些程序(windows 和system32 下) 使用Custom Policy,剩下其它程序都可以使用后面的预设规则。预设规则也会根据以后的软件加入而不断扩充,不断添加新规则。
2. 需要留意的弹出警告
这些行为比较特殊,是增权和削权的主要对象。
启发分析报可疑行为,基本上可以判断是病毒,只有极少的是HIPS/Firewall 测试程序。最好阻止一切行为,结束进程,然后上传VirScan、VirusTotal扫描。
注意:在Comodo V3, 点击Cancel表示阻止一次!
图27
对于不认识的程序,修改Windows系统程序、explorer、安全软件、IE、其它浏览器内存空间,也要留意。
对于安装驱动要十分小心,因为一般程序是不会安装驱动的,除非安全软件和安装特定的设备驱动。
不认识的程序安装驱动一律阻止,一旦安装加载驱动,程序将获得和HIPS一样的底层权限,拥有这种权限的程序可以使HIPS的保护部分或全部失效。
访问物理内存,一般程序也不会有的行为。直接访问物理内存也可以获得很高的系统特权。一般直接阻止。
底层磁盘,一般程序也用不到,直接阻止。QQ、PPStream、PPLive、搜狗之类的也阻止,不影响使用。
底层键盘,不认识的程序,直接阻止。防止键盘记录。
对于不认识的程序,修改注册表自启动、服务驱动、映像劫持 直接阻止。
对于COM接口 Pseudo COM Interfaces - Privileges 提升权限,一般程序很少用到,最好阻止。尤其是:
LocalSecurityAuthority.Debug 提升权限到Debug直接阻止,非常重要,除非是完全信任的程序。
LocalSecurityAuthority.SystemTime 修改系统时间直接阻止。 通常只允许rundll32 修改系统时间。
LocalSecurityAuthority.Restore 系统还原,非系统程序直接阻止。
Pseudo COM Interfaces - Privileges 下的所有项,对于不认识的程序,直接阻止。
Service Control Manager (/RPC Control/ntsvcs) 涉及到对服务的管理,不认识的程序直接阻止。
我的预设规则
1. 所有程序默认规则,主要用于安装新软件,学习新软件的规则。询问方式,需要用户参与。
All Application Default
图 All Application Default
禁止运行 AD_Blacklist folders I 临时文件、回收站、系统还原目录下的程序。
允许访问 %windir%/system32/ctfmon.exe 内存空间
允许 AD_Windows Hooks
阻止COM LocalSecurityAuthority.Debug、LocalSecurityAuthority.SystemTime
FD 允许 FD_Temporary Files、FD_UserProfile Allow、FD_WinDir Allow
FD 阻止 FD_UserProfile Block、FD_COMODO Files/Folders、FD_Sysbackup、FD_3rd Party Protocol Drivers
All Application Default
Default Action
Modify | Allow
Modify | Block
Run an executable
Ask
AD_Blacklist folders I
Interprocess Memory Access
Ask
%windir%/system32/ctfmon.exe
Windows/WinEvent Hooks
Ask
AD_Windows Hooks
Process Terminations
Ask
Device Driver Installations
Ask
Window Messages
Ask
Protected COM Interfaces
Ask
LocalSecurityAuthority.Debug
LocalSecurityAuthority.SystemTime
Protected Registry Keys
Ask
Protected Files/Folders
Ask
FD_Temporary Files
FD_UserProfile Allow
FD_WinDir Allow
FD_UserProfile Block、
FD_COMODO Files/Folders
FD_Sysbackup
FD_3rd Party Protocol Drivers
Loopback Networking
Ask
DNS Client Service
Ask
Physical Memory
Ask
Computer Monitor
Ask
Disks
Ask
Keyboard
Ask
2, 削减了权限的信任程序规则,主要用于非系统级的,完全信任的程序。
All Applications Trusted
图 All Applications Trusted
允许运行 :%windir%/explorer.exe、%windir%/system32/mshta.exe、AD_Whitelist
阻止运行: AD_Blacklist folders I、AD_Blacklist folders II
阻止插入: AG_Windows System Applications、AG_Windows Updater Applications、AG_COMODO Firewall Pro
阻止终止:AG_Windows System Applications、AG_COMODO Firewall Pro
阻止安装驱动
阻止COM:LocalSecurityAuthority.Debug、LocalSecurityAuthority.SystemTime
RD阻止:COMODO Keys、Debug Keys
FD允许:
FD_Temporary Files
FD_UserProfile Allow
FD_Application Data
FD_Downloads
FD_My Documents
FD_WinDir Allow
FD_Program Files
FD_NonSystem II
FD_My Protected Files
FD_Browser Allow
FD_Thunder Allow
FD阻止:
FD_Executables
FD_Important Files/Folders
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_Sysbackup
FD_NonSystem I
阻止物理内存
阻止底层磁盘
All Application Trusted
Default Action
Modify | Allow
Modify | Block
Run an executable
Ask
%windir%/explorer.exe
%windir%/system32/mshta.exe
AD_Whitelist
AD_Blacklist folders I
AD_Blacklist folders II
Interprocess Memory Access
Allow
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
Windows/WinEvent Hooks
Allow
Process Terminations
Allow
AG_Windows System Applications
AG_COMODO Firewall Pro
Device Driver Installations
Block
Window Messages
Allow
Protected COM Interfaces
Allow
LocalSecurityAuthority.Debug
LocalSecurityAuthority.SystemTime
Protected Registry Keys
Allow
COMODO Keys
Debug Keys
Protected Files/Folders
Allow
FD_Temporary Files
FD_UserProfile Allow
FD_Application Data
FD_Downloads
FD_My Documents
FD_WinDir Allow
FD_Program Files
FD_NonSystem II
FD_My Protected Files
FD_Browser Allow
FD_Thunder Allow
FD_Executables
FD_Important Files/Folders
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_Sysbackup
FD_NonSystem I
Loopback Networking
Allow
DNS Client Service
Allow
Physical Memory
Block
Computer Monitor
Allow
Disks
Block
Keyboard
Allow
3. 本地程序,不需要上网
All Applications Local
图 All Applications Local
允许运行:AG_Whitelist
阻止运行:AD_Blacklist folders I、AD_Blacklist folders II、AD_Blacklist Programs
允许修改内存:
%windir%/system32/ctfmon.exe、%windir%/explorer.exe
阻止修改内存:
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
阻止Hooks
允许:AD_Windows Hooks 、AD_All Hooks
允许结束进程
阻止结束:
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
阻止安装驱动
允许Windows消息
允许COM
阻止:Internet Explorer/Windows Shell、Pseudo COM Interfaces - Privileges、Windows Management
RD阻止
FD允许
Allowed Files/Folders
FD_Temporary Files
FD_UserProfile Allow
FD_Downloads
FD_WinDir Allow
FD_My Documents
Blocked Files/Folders
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopaback Networking 阻止
DNS 阻止
物理内存 阻止
Disk 阻止
All Application Local
Default Action
Modify | Allow
Modify | Block
Run an executable
Ask
AD_Whitelist
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
Interprocess Memory Access
Block
%windir%/system32/ctfmon.exe
%windir%/explorer.exe
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
Windows/WinEvent Hooks
Block
AD_Windows Hooks
AD_All Hooks
Process Terminations
Allow
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
Device Driver Installations
Block
Window Messages
Allow
Protected COM Interfaces
Allow
Internet Explorer/Windows Shell
Pseudo COM Interfaces - Privileges
Windows Management
Protected Registry Keys
Block
Protected Files/Folders
Allow
FD_Temporary Files
FD_UserProfile Allow
FD_Downloads
FD_WinDir Allow
FD_My Documents
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopback Networking
Block
DNS Client Service
Block
Physical Memory
Block
Computer Monitor
Allow
Disks
Block
Keyboard
Allow
4. 网络程序(Threat Gates)
图 All Applications Network
All Applications Network
允许运行:
AG_Network Applications
AG_Whitelist
阻止运行:
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
阻止修改内存
允许:
%windir%/system32/ctfmon.exe
%windir%/explorer.exe
C:/Program Files/PPLive/PPLive.exe
阻止:
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
阻止Hooks
允许:AD_Windows Hooks 、AD_All Hooks、C:/Program Files/PPLive/SynacastList.ocx
允许结束进程
阻止结束:
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
阻止安装驱动
允许Windows消息
阻止COM
允许:/RPC Control/ntsvcs
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
阻止:Pseudo COM Interfaces - Privileges
RD阻止
允许:*/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ProxyEnable
*/Software/Microsoft/Internet Explorer/Toolbar/Locked
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{889D2FEB-5411-4565-8998-1DD2C5261283}/*
FD允许
Allowed Files/Folders
FD_UserProfile Allow
FD_Downloads
FD_WinDir Allow
FD_Browser Allow
FD_Thunder Allow
Blocked Files/Folders
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_UserProfile Block
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopaback Networking 允许
DNS 允许
物理内存 阻止
Disk 阻止
All Application Local
Default Action
Modify | Allow
Modify | Block
Run an executable
Ask
AG_Network Applications
AD_Whitelist
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
Interprocess Memory Access
Block
%windir%/system32/ctfmon.exe
%windir%/explorer.exe
C:/Program Files/PPLive/PPLive.exe
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
Windows/WinEvent Hooks
Block
AD_Windows Hooks
AD_All Hooks
C:/Program Files/PPLive/SynacastList.ocx
Process Terminations
Allow
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
Device Driver Installations
Block
Window Messages
Allow
Protected COM Interfaces
Block
/RPC Control/ntsvcs
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
Pseudo COM Interfaces - Privileges
Protected Registry Keys
Block
*/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ProxyEnable
*/Software/Microsoft/Internet Explorer/Toolbar/Locked
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{889D2FEB-5411-4565-8998-1DD2C5261283}/*
Protected Files/Folders
Allow
FD_UserProfile Allow
FD_Downloads
FD_WinDir Allow
FD_Browser Allow
FD_Thunder Allow
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_UserProfile Block
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopback Networking
Allow
DNS Client Service
Allow
Physical Memory
Block
Computer Monitor
Allow
Disks
Block
Keyboard
Allow
5. 受限程序,可以作为All Application 规则使用,尽可能做到无提示、通用,并且能阻止几乎所有的病毒威胁。有点策略限制Sandbox 内置规则的意思。
All Applications Limited
图 All Applications Limited
Ask 阻止运行:
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
阻止修改内存
允许:
%windir%/system32/ctfmon.exe
C:/Program Files/PPLive/PPLive.exe
阻止:
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
%windir%/explorer.exe
%programfiles%/Internet Explorer/iexplore.exe
D:/Program Files/Opera 9.5/Opera.exe
D:/Program Files/Opera/Opera.exe
C:/Program Files/Mozilla Firefox/firefox.exe
阻止Hooks
允许:
AD_Windows Hooks
AD_All Hooks
允许结束进程
阻止结束:
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
阻止安装驱动
允许Windows消息
阻止COM
阻止:Pseudo COM Interfaces - Privileges
RD阻止
允许:HKUS/*/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ProxyEnable
*/Software/Microsoft/Internet Explorer/Toolbar/Locked
FD允许
Allowed Files/Folders
FD_UserProfile Allow
FD_WinDir Allow
FD_Browser Allow
Blocked Files/Folders
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_UserProfile Block
FD_My Protected Files
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopaback Networking 允许
DNS 允许
物理内存 阻止
Disk 阻止
Keyboard 阻止
All Application Local
Default Action
Modify | Allow
Modify | Block
Run an executable
Ask
AG_Network Applications
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
Interprocess Memory Access
Block
%windir%/system32/ctfmon.exe
C:/Program Files/PPLive/PPLive.exe
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
%windir%/explorer.exe
%programfiles%/Internet Explorer/iexplore.exe
D:/Program Files/Opera 9.5/Opera.exe
D:/Program Files/Opera/Opera.exe
C:/Program Files/Mozilla Firefox/firefox.exe
Windows/WinEvent Hooks
Block
AD_Windows Hooks
AD_All Hooks
Process Terminations
Allow
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
Device Driver Installations
Block
Window Messages
Allow
Protected COM Interfaces
Block
Pseudo COM Interfaces - Privileges
Protected Registry Keys
Block
HKUS/*/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ProxyEnable
*/Software/Microsoft/Internet Explorer/Toolbar/Locked
Protected Files/Folders
Allow
FD_UserProfile Allow
FD_WinDir Allow
FD_Browser Allow
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_UserProfile Block
FD_My Protected Files
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
Loopback Networking
Allow
DNS Client Service
Allow
Physical Memory
Block
Computer Monitor
Allow
Disks
Block
Keyboard
Block
为了减少本文读者手工输入规则的时间,我把分组文件和D+预设规则放上来。
能不能用看RP了,因为Comodo的规则都和具体分区挂勾的
我按照一般用户(95%+)的分区方式整理,只有下面这种分区形式才能用:
C:/ --> /Device/HarddiskVolume1
D:/ --> /Device/HarddiskVolume2
导入前,先要备份原来的规则
[运行→regedit.exe]
[导出→HKEY_LOCAL_MACHINE/SYSTEM/Software/Comodo/Firewall Pro]
Disable Defense+ ,退出Comodo,双击导入。
启动Comodo,还原Defense+的模式,然后,打开Computer Security Policy,点击Apply。
因为修改了已有组的名字,如果组规则不正常的话,需要删除原来的组,重新设置。
象(Windows System Applications、Windows Updater Applications、COMODO Firewall Pro)。
第五部分 规则释疑
为了让大家更好的设置自己的规则,我想有必要解释一下以上的预设规则。然后,华丽的结束Defense+ 的讨论。
再强调一下,别人的规则只是个参考,自己的规则是最好的。
要定制自己的规则,先要养成看日志的好习惯:
1. Defense+ -> Common Tasks -> View Defense+ Events
2. 在Comodo的安装目录下 "C:/Program Files/COMODO/Firewall/cfplogvw.exe" 建立一个桌面快捷方式,在设置规则的时候,经常打开看看。
Comodo的日志不咋地,目前,Defense+ 只记录被阻止的操作,对于建立例外规则够用而已。
我的规则建立在以下假设的基础上,为了简化规则,我假设系统是干净的,所有程序安装在系统盘 Program Files下面,一般的程序,我朴素的都禁止修改非系统盘的文件,所以,如果,你的程序安装在非系统盘,那么需要去掉 FD_NonSystem相应的盘符,否则你的程序将不能正常运行。All Applications 永远放在最下面。
Defense+ 规则应该主要以阻止一切未知,放行个别已知为主,以这个为基础。 由于我们会受到个人安全知识、Defense+ 目前架构局限性限制,在某些特定规则上将采取阻止个别已知有害操作,放行所有其它操作。
同一保护项目的规则执行顺序:
1.例外规则 Modify Allow 里允许的操作
2.例外规则 Modify Block 里阻止的操作
3.全局操作
All Applications Default
作为默认所有程序规则的替换规则,做了一点点修改,不做太严格的限制,主要用于安装新软件,学习新软件的操作,主要以询问用户为主,需要用户对弹出警告做出选择。
Run an executable
Ask
AD_Blacklist folders I?:/RECYCLE?/*
?:/System Volume Information/*
*/Local Settings/Temp/*
*/Local Settings/Temporary Internet Files/*
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/*
C:/OperaCache/*
阻止所有程序运行 回收站、系统恢复、临时文件目录下的程序。
如果在安装新程序时,需要运行 C:/Documents and Settings/当前用户名/Local Settings/temp 下的程序,要在规则移除*/Local Settings/Temp/* 。
Interprocess Memory Access
Ask
%windir%/system32/ctfmon.exe
允许内存访问 %windir%/system32/ctfmon.exe
ctfmon 几乎每个程序都要提示一下,干脆直接允许,避免麻烦。
Windows/WinEvent Hooks
Ask
AD_Windows Hooks
允许 AD_Windows Hooks
%windir%/system32/msctf.dll
%windir%/system32/browseui.dll
%windir%/system32/ieframe.dll
Protected COM Interfaces
Ask
LocalSecurityAuthority.Debug
LocalSecurityAuthority.SystemTime
COM 接口阻止,如果需要的话,可以根据日志添加个别程序允许规则:
LocalSecurityAuthority.Debug
LocalSecurityAuthority.SystemTime
Protected Files/Folders
Ask
FD_Temporary Files
FD_UserProfile Allow
FD_WinDir Allow
FD_UserProfile Block、
FD_COMODO Files/Folders
FD_Sysbackup
FD_3rd Party Protocol Drivers
FD 允许
FD_Temporary Files 允许临时文件目录下的文件操作
FD_UserProfile Allow 允许在Documents and Settings 用户目录下的COOKIEs、收藏夹、最近访问的文件...
FD_WinDir Allow 允许Windows系统目录下的一些文件操作
FD 阻止
FD_UserProfile Block 禁止 Documents and Settings 用户目录下的其它文件操作
FD_COMODO Files/Folders 禁止修改Comodo防火墙文件
FD_Sysbackup 禁止修改系统备份目录和文件
FD_3rd Party Protocol Drivers 禁止增加、修改第三方驱动
All Applications Limited
当经过一段时间的学习和设置(也许十天半月,也许一个月),所有常用的程序都有了合适的规则,Comodo基本不再提示以后,可以使用一条严厉的All Applications规则 All ApplicationsLimited。如果安装新程序时,需要切换回 All Applications Default。
目的是在限制所有未知程序权限同时,允许一些正常的操作,并且不需要打扰用户
Run an executable
Ask
AD_Blacklist folders I
AD_Blacklist folders II
AD_Blacklist Programs
主要是阻止临时文件目录和一些普通用户不常用,而病毒、木马经常利用的程序运行
Interprocess Memory Access
Block
%windir%/system32/ctfmon.exe
C:/Program Files/PPLive/PPLive.exe
AG_Windows System Applications
AG_Windows Updater Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
%windir%/explorer.exe
%programfiles%/Internet Explorer/iexplore.exe
D:/Program Files/Opera 9.5/Opera.exe
D:/Program Files/Opera/Opera.exe
C:/Program Files/Mozilla Firefox/firefox.exe
防止所有程序,尤其是以下程序被修改内存、插入线程:
AG_Windows System Applications 系统程序
AG_Windows Updater Applications 系统升级程序
AG_COMODO Firewall Pro 防火墙
AG_Filseclab 杀毒软件
AG_DefenseWall 沙盘
%windir%/explorer.exe 资源管理器
%programfiles%/Internet Explorer/iexplore.exe IE
D:/Program Files/Opera 9.5/Opera.exe 常用浏览器
D:/Program Files/Opera/Opera.exe 其它常用浏览器
C:/Program Files/Mozilla Firefox/firefox.exe 其它浏览器
一个正常的程序被插入进程,插入远线程以后,会改变正常的行为,有异常行为:
杀毒软件的升级程序本来只连接升级服务器,现在可能会连接一些非法站点;
资源管理器现在也许会自动删除Ghost文件 *.gho
Windows/WinEvent Hooks
Block
AD_Windows Hooks
AD_All Hooks
全局钩子只允许AD_Windows Hooks、AD_All Hooks
AD_All Hooks AD_所有钩子
%windir%/system32/*.dll
%programfiles%/*/*.dll
%programfiles%/*/*.exe
%programfiles%/*/*.ocx
为了避免一个一个的添加,我使用了通配符,很大的范围。由于有FD的保护,这些文件作为钩子是相对安全的。除此之外,我想不到更加简单的办法。
Process Terminations
Allow
AG_Windows System Applications
AG_COMODO Firewall Pro
AG_Filseclab
AG_DefenseWall
禁止终止系统程序和安全软件,可以终止其它软件。
Device Driver Installations
Block
Window Messages
Allow
阻止安装驱动
允许发送Windows消息 (主要是因为常见的通过消息是为了关闭安全软件,前面已经有了保护,这里放行)
Protected COM Interfaces
Block
Pseudo COM Interfaces - Privileges
阻止所有COM 接口,尤其是 Pseudo COM Interfaces - Privileges
Protected Registry Keys
Block
HKUS/*/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ProxyEnable
*/Software/Microsoft/Internet Explorer/Toolbar/Locked
注册表全部阻止,可以根据日志进行排除
Protected Files/Folders
Allow
FD_UserProfile Allow
FD_WinDir Allow
FD_Browser Allow
FD_WinDir
FD_Executables
FD_Important Files/Folders
FD_UserProfile Block
FD_My Documents
FD_NonSystem I
FD_Sysbackup
FD_Startup Folders
FD_COMODO Files/Folders
FD_3rd Party Protocol Drivers
FD_My Protected Files
文件保护有些绕口:
1. 允许修改 UserProfile、Windows、浏览器需要的例外文件
2. 阻止以下目录和文件:
FD_WinDir Windows目录下的所有文件
FD_Executables 任何目录下的可执行文件
FD_Important Files/Folders 重要的系统文件和目录
FD_UserProfile Block UserProfile下的其它文件
FD_My Protected Files 我的文档和桌面
FD_NonSystem I 禁止修改非系统盘文件
FD_Sysbackup 禁止修改系统备份文件,包括*.gho
FD_Startup Folders 禁止修改程序 开始文件夹
FD_COMODO Files/Folders 禁止修改Comodo文件
FD_3rd Party Protocol Drivers 禁止安装第三方驱动
FD_My Protected Files 禁止修改用户私有文件
3. 除以上之外,全局允许。
Loopback Networking
Allow
DNS Client Service
Allow
Physical Memory
Block
Computer Monitor
Allow
Disks
Block
Keyboard
BlockLoopaback Networking 允许
DNS Client 允许
进一步的网络活动,可以用防火墙拦截。
物理内存 阻止
Computer Monitor 允许
Disk 阻止
Keyboard 阻止
其它规则,我就不仔细讲了,道理都是一样的。
最后 Defense+ 规则,会类似这样,你可以将这些使用同样预设规则的程序编成一个组,目前这样做意义似乎不大,但是以后就难说了,这代表一种有效的组织规则的理念。
简单介绍一下My Quarantined Files
My Quarantined Files 会彻底隔离一个文件,包括读取、运行操作,而且不受规则(Policy)影响。
我不喜欢这样一个不受规则制约的东西,不过,它也有好处,可以保护我们平时不会修改,又需要保护的文件。
它可以隔离已经运行的病毒,尤其是那种会不断重生的病毒文件。
可以在Defense+ -> Common Tasks -> View Active Process Lists
点击病毒进程,右键选择 Terminate (结束) 或者
点击病毒进程,右键选择 Terminate & Quarantine(结束并且隔离)
对Defense+ 的讲解到此结束,Defense+ 也在发展,到时候再补充。
接下来将是防火墙部分。
附:鉴于猪三式的穿透系统还原,破坏硬盘主引导区(KillMBR)恶意软件的抬头:
有必要在 FD_My Protected Files 添加:
/Device/Harddisk0/DR0
/Device/Harddisk1/DR1
用Device保护和low Disk 构成双保险。