為了解釋簡潔,本文用了五個小章節來解釋如何使用comodo,主要是規則。對於comodo各種界面上各種選項的解釋,不是本文的內容。請參考論壇上的相關教程帖子。以V3為例,本文提到的基本原則是所有版本都適用。至於各個版本的差異所帶來的變化,我們只需要做出相應的改變即可。
第壹章:基本介紹。
如何使用魔島?這個問題看妳的安全需求了。如果妳的安全需求不高,就用壹個像樣的軟件殺手,使用默認的安全模式。如果妳的安全需求有點高,那就自己打磨吧。
怎麽打磨?就是根據自己的需求來規劃和修改規則。
怎麽規劃版面?這體現在個人的整體規劃能力和邏輯思維能力上。說白了,就是根據自己對HIPS的認識和相關了解,構思了壹個防禦方案,然後編輯。
如果沒必要,就從壹個大家都知道的地方開始吧——選擇壹個comodo自帶的防禦方案(或策略),經過壹些簡單的修改和規則,打磨出自己的規則。
讓我們選擇主動作為策略。單擊COMODO-主動安全,然後單擊激活。當策略名稱後出現“活動”字樣時,表示該方案已啟用(見下圖):
& lt/FONT & gt;
我選擇這個是因為它的監測項目非常全面(見下圖)。圖中選中的項目是受監控的項目:
& lt/FONT & gt;
開始工作之前,先做壹個簡單的分析:
1和魔島的監控是怎麽工作的?
所有的hip都是按照規則來判斷和過濾的,comodo也不例外。請打開“D+高級設置”中的“計算機安全規則”,這是D+規則的總監控室和指揮中心,所有對程序行為的判斷都是基於裏面的規則。當壹個程序行為發生時,如果在comodo的監控範圍內,comodo會調用其中的規則進行比較並執行——如果有規則,就按規則處理,如果沒有規則,就按全局規則處理。所謂全局規則,就是其底層的“所有應用*”的規則。因為*代表任何程序,所以它是適用於所有程序的規則。當我們打開這個全局規則進行查看時,會發現裏面的選項都是查詢,這樣當comodo調用這個規則進行判斷時,就會彈出壹個查詢窗口供用戶選擇。當用戶在彈出窗口勾選“記住我的選擇”時,comodo自動在“電腦安全規則”中添加壹條規則作為用戶的設置;如果不勾選“記住我的選擇”,用戶的選擇將僅對該操作有效,comodo不會在“計算機安全規則”中添加規則,下次面臨同樣問題時,comodo仍會彈出窗口供用戶選擇。(相關圖片如下):
& lt/FONT & gt;
D+的操作判斷基於《計算機安全規則》中的規則。其中的規則是基於程序的,每個程序都有壹個規則。每個應用程序規則都包含3D內容-毛豆的HIPS在壹個程序規則中管理所有3D行為。
打開每個應用規則後,將顯示以下屏幕:
& lt/FONT & gt;
“訪問”是對壹個程序的授權——允許它做什麽,不允許它做什麽。
“保護設置”就是對程序的保護——不允許其他程序對它做這些事情,相當於把它放在壹個“保險箱”裏。
壹般來說,對於系統的主進程、殺毒軟件等重要進程,可以做“保護設置”,放在“保險箱”裏,防止惡意程序破壞。
現在,讓我們暫時忘記“保護設置”,專心於“訪問權限”的設置——大部分操作設置都是在其中進行的。
點擊“訪問權限”彈出編輯界面,顯示3D的內容。如果妳習慣了其他臀部單獨設置3D,那妳來魔島就要改變習慣了。所有的3D規則設置都是在壹個程序規則的編輯屏幕上完成的,其實很方便。
仔細看剪輯畫面,會發現大部分都是AD項目,FD和RD項目各有壹個:
& lt/FONT & gt;
AD設置中受保護的com接口、RD設置中受保護的註冊表、FD設置中受保護的文件/目錄是指D+通用設置中我的受保護文件、我的受保護註冊表、我的受保護COM接口中設置的保護項(見下圖):
& lt/FONT & gt;
您可以通過常規設置中的受保護的文件、受保護的註冊表和受保護的COM接口來增加監控範圍。註意:當您添加相關的保護設置時,您必須註意,只有在“組(G)...不會起作用,只有引入受保護的項目才有用。新手剛開始學習使用comodo的時候,按照官方默認的保護內容就可以了。
請註意,當我們自己將程序分組設置為用於計算機安全規則時,該程序分組會添加到我的受保護文件中(見下圖):
& lt/FONT & gt;
關於把節目分組來引用的問題,後面再說,暫時先放在這裏。
2.comodo的規則流程和邏輯關系是什麽?
Comodo的D+在執行規則判斷時,會先檢查“通用設置”中的“我的阻止文件”中是否有要保護的文件。如果有文件,它將禁止任何程序訪問這些文件-禁止讀取,修改,創建或刪除它們。Comodo基本不可讀,除了“我的屏蔽文件”的內容。如果您有私人文件需要保護,請將它們放入“我的阻止文件”中。註意,放在這個區域的文件禁止任何程序訪問,包括妳自己。如果您想訪問它們,請刪除相應的規則或暫時禁用D+。
檢查“我的阻止文件”後,切換到“計算機安全規則”查找並匹配規則。按照從上到下的順序搜索匹配,按照程序路徑快速搜索規則,檢查是否找到,如果有合適的規則就執行,如果沒有找到就繼續向下搜索,如果壹直沒有找到就按全局規則(所有應用*)處理(見下圖):
& lt/FONT & gt;
找到合適的應用規則後,按照本程序規則中設置的內容進行處理。每個應用規則中同壹項目的相關條款具有以下優先級別:
修改/允許內容>修改/阻止內容>允許/阻止>查詢(見下圖):
& lt/FONT & gt;
同壹項目的規則執行應按照上圖所示的優先順序執行。“修改”中的內容可以覆蓋前面設置的內容(詢問、允許、阻止),類似於例外排除。例如,當我們設置阻止壹個應用程序訪問其他程序的內存時,如果我們想添加幾個允許它修改內存的程序,我們可以打開“修改”的編輯屏幕,添加例外權限。因為“修改”中的內容優先級更高,所以習慣上稱為“優先許可”和“優先阻止”。
如果妳善於將優先關系應用於組合,妳就可以制定出令人滿意的規則,這將在後面討論。這裏註意優先級3的“允許”和“阻止”是壹個級別的,不存在誰先誰後的問題,選擇哪個就執行哪個。
當我們開始制定壹套簡單的規則時,“計算機安全規則”中實際上只有兩條與程序相關的應用規則,對程序起作用。壹個是應用程序的規則,另壹個是全局規則。它們之間的關系和規則執行的順序如下:
& lt/FONT & gt;
綜上所述,《計算機安全規則》中的規則是按照從上到下的順序執行的。在同壹個應用規則中,操作的優先級順序是優先級允許>優先級阻止>允許/阻止>詢問。如果有兩個或兩個以上的規則與同壹個程序相關,則在按照自上而下的關系執行了上述規則的“允許/阻止優先級”和“允許/阻止優先級”的精確操作後,將執行以下規則的相關操作。如果上面的規則已經允許了相關的行為,那麽下面的規則將為相同的行為設置壹個阻止,下面的規則就是廢。仔細了解壹些邏輯關系,有助於妳寫出正確有效的規則。
3.哪些項目影響方案的強度?
在我們正式開始潤色規則之前,我們先來壹個概述,看看什麽會影響防禦計劃的強度。
壹般來說,有壹些因素:
●使用的模式:瘋狂模式、安全模式、幹凈PC模式、學習模式,安全程度逐漸降低。禁用時,D+關閉,完全沒有保護。
剛開始打磨自己的規則,建議使用安全模式。
●保護內容:壹般設置中的文件保護、註冊表保護、COM接口保護定義了這三項的監控範圍。在comodo支持的範圍內,監控越廣,安全系數越高,但不是絕對成正比。安全防護要考慮效率問題,成本高其實不劃算。壹般情況下只需要保衛重點部位,處理重要問題。
新手可以按照comodo自己的內容,後期進行修改。
●數字簽名:數字簽名被盜和假冒的情況時有所聞。追求高安全性,這個物品應該盡量限制使用或者不使用。您可以從“常規設置”中的“我的受信任的軟件供應商”列表中刪除壹些列表,也可以在D+設置中禁用受信任的數字簽名。
& lt/FONT & gt;
●可執行映像控制的設置:設置被監控的可執行文件和控制級別,可以在可執行文件加載到內存之前進行攔截,也可以攔截惡意程序讀取緩存中的內容。
開始時,可以默認使用控制級別和文件檢查。打磨快完成時,提高控制水平,增加文件檢驗項目。
& lt/FONT & gt;
●規則設置:最根本的因素是規則是否強大,是否安全,是否好用。規則的防禦性思維,規則之間的邏輯關系和流程,規則的瑕疵和錯誤……這些都會影響規則的質量。
這是大致的輪廓。當我們制定規則,實施管理的時候,不要忘記這些關系。