声明:本文属ubuntu原创,首发于卡饭Comodo版,转贴请保留作者和出处,严禁用于商业用途。
这是一篇关于Comodo从入门到精通的绝佳文章,转载过来与大家分享^_^ 目前U版一共写了六个部分,以后可能还会有更新^_^
第一部分 Comodo Defense+ 简介
第二部分 规则架构
第三部分 物以类聚,人以群分:分组(Groups)
第四部分 预设规则
第五部分 规则释疑
第六部分 [防火墙]网络基础知识
第一部分 Comodo Defense+ 简介
天地尚不能久,而况於人乎?
1. Defense+ 简介
Comodo Defense+ 是一个典型的HIPS(Host Intrusion Prevention System),中文名是主机入侵防御系统,还可以叫系统防火墙。传统防火墙控制的是网络通讯,而系统防火墙控制系统行为。HIPS 可以拦截恶意软件的危险行为,然后根据规则直接阻止,或者通过提示窗口询问用户。
HIPS 由于不依赖特征码,相对于传统的杀毒软件,在对付0day 威胁、未知病毒上有巨大的优势。HIPS 可以阻止杀毒软件无法检测的病毒进入你的系统,可以阻止病毒的运行,即使病毒运行,HIPS还有机会可以阻止病毒对系统的破坏行为,这是杀软做不到的。
Comodo Defense+ 是和SSM、ProSecurity、EQSecure类似的HIPS,完全可以作为整个安全体系的第一道防线,通过规则,主动拦截各种可能的入侵。
Defense+ 也有不足,尽管Defense+ 已经使用了尽量浅显易懂的语言,警告提示还是要求用户有一定的系统知识和安全知识,才能做出正确的选择。普通用户需要一段时间的学习才能掌握和使用 Defense+ 。从易用上,Defense+ 还不够简单、不够智能,不够成熟;从功能划分和规则定制上,Defense+ 还不够灵活和细腻,还需要一定的时间去改进。
目前,通过内置的白名单和Clean PC Mode,普通用户通过学习是可以驾驭Defense+ 的。
Defense+ 不能取代所有的安全软件,完整的防御体系应该由三部分组成:
Prevention(防毒)、Detection(杀毒)、Cure(清毒)
2. Defense+ 初步:规则设置界面
Defense+ 的设置界面,Security Policy 是安全策略,这里用规则代替,比较易懂:
Defense+ -> Advanced -> Computer Security Policy (Defense+ 规则)
用户当前的所有Defense+规则都可以在这里找到和设置
Defense+ -> Advanced -> Predefined Security Policy (Defense+ 预设规则)
用户可以设置预设规则,一个预设规则可以分配给多个有类似行为的程序。(规则复用)
图1
Computer Security Policy (计算机安全策略)
打开规则设置界面,可以看到程序名和规则名。
一个程序组的所有成员可以继承使用同一种规则。
一个预设规则可以分配给多个程序(规则复用)。
图2 Computer Security Policy
Application System Activity Control (程序系统行为控制)
双击一个程序,程序系统行为控制(前面讲过HIPS 就是对程序的各种行为进行控制)
这里可以使用预设规则和自定义规则。
规则由两部分组成:Access Rights(访问权限)和Protection Settings(自我保护设置)
简单的说访问权限就是行为控制,对程序的子程序和操作对象进行控制。
自我保护就是对其它程序的行为作用于本程序进行控制,对自身进程完整性的保护。
图3 Application System Activity Control
Protection Settings(自我保护设置)
要保护杀毒软件进程不被非法终止,可以设置杀毒软件程序规则
设置Process Terminations (进程终止) Active为 Yes,来监视和保护进程终止。
图4 Protection Settings(自我保护设置)
Access Rights(访问权限,行为控制)
Access Rights 里的Access Name就是具体的行为,通过Default Action 可以进行控制。
英文原版:
图5e
我翻译的中文版:
图5c
可以看到能够控制的行为有15项之多,Comodo将这些放到一个界面里来设置,不需要来回切换,很方便和直观。
Run an executable
Interprocess Memory Access
Windows/WinEvent Hooks
Process Terminations
Device Driver Installations
Window Messages
Protected COM Interfaces
Protected Registry Keys
Protected Files/Folders
Loopback Networking
DNS Client Service
Physical Memory
Computer Monitor
Disks
Keyboard
第二部分 Comodo Defense+ 规则架构
1. 工欲善其事,必先利其器
要完全释放Defense+的威力,必须自己动手设置规则。预设规则首当其冲。
预设规则是Defense+规则的精华,我们手中的名剑,杀敌的利器,战略武器库。
Defense+ 默认的预设规则,Trusted 太松,Limited 太紧,不够和谐,我们要做的就是完善它。我们要做的就是使大部分程序可以用预设规则一步搞定,这样就会减少提示,让普通人也可以使用 Defense+ 。
增加和改造预设规则是自定义规则的关键一步。
知己知彼,百战不殆
2. Defnese+ 的规则优先级
在设置规则前,要搞清楚规则的优先级。
Defense+ 的规则优先级是从上至下匹配,如果两条精确匹配规则(包括例外规则)都和行为匹配,上面第一条精确匹配规则(包括例外规则)被执行,规则匹配结束。如果不存在精确匹配规则,Defense+ 将弹出警告窗口。等待用户选择后,结束。
什么是精确匹配规则?
对于访问权限,是当前程序操作其它子进程和对象,需要匹配当前程序和它操作的对象。然后再检查默认行为(Default Action)。
只有Allow和Block 是精确匹配规则,Allow和Block的权限高于Ask。Ask会被直接忽略。
对于自我保护,当前程序是其它进程的操作对象,需要检查目标程序是否为本程序,保护类型(Protection Type)和保护Active(Yes); 没有自我保护规则的程序直接被忽略。目标的自我保护规则优先于其它程序的访问权限规则。
特殊的精确匹配规则(例外规则)
对于访问权限,本程序Modify... 里具体的Allow和Block规则,优先于外面的Ask、Allow、Block全体规则。Modify... 内Allow 的优先级高于Block。Modify里的规则属于例外规则。
对于自我保护,本程序Modify...里具体的Exceptions规则,优先于外面的Active规则,Exception 例外程序,不受自我保护规则的制约。
例外规则也遵守从上至下匹配的原则。
如果两条规则都和行为匹配,那么只有上面的精确匹配规则(包括例外规则)被执行,下面程序的例外规则将被忽略。
All Applications * 很重要,代表所有程序,它也遵守规则流程,所以为了制定严格的所有程序规则,必须将它移动到最下面。All Applications * 会在特定的情况下会使用特殊的规则处理逻辑,非常重要。
例1 同一行为,Block Ask的优先级:
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,禁止explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask
#2 explorer.exe Run an executable Block
结果是:Defense+ 阻止cmd运行,而不会提示。 Block > Ask
图6
图7
例2 同一行为,Allow Ask的优先级:
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask
#2 explorer.exe Run an executable Allow
结果是:Defense+ 允许cmd运行,而不会提示。 Allow > Ask
图8
例3 两条规则都适合,由上至下匹配:
All Applications *,将 Run an executable设置为Block
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Block
#2 explorer.exe Run an executable Allow
结果是:Defense+ 阻止cmd运行。
图9
例4 两条规则都适合,由上至下匹配:
All Applications *,将 Run an executable设置为 cmd.exe Allow
同时设置explorer.exe ,explorer.exe Block。
#1 All Applications * Run an executable Allow cmd.exe
#2 explorer.exe Run an executable Block
结果是:Defense+ 允许cmd运行。
图10
图11
例5 自我保护规则优先于其它程序的访问控制规则
设置Process Explorer可以结束一切进程,保护notepad.exe 不被结束。
#1 procexp.exe Process Terminations Allow 访问控制规则
#2 explorer.exe 没有自我保护
#3 notepad.exe 自我保护 Process Terminations Yes 自我保护规则
结果是:explorer 被结束,而notepad.exe 进程被保护。
图12
图13
例6 例外规则优先于全体规则
notepad.exe FD 全体规则设置为Allow,Modify...里Block %windir%/system.ini
结果是 netepad.exe 不能修改system.ini
图14
例7 自我保护例外规则优先于自我保护规则
设置Process Explorer可以结束一切进程
设置任务管理器可以结束一切进程。
保护 notepad.exe 被终止,将Process Explorer 设置为Exceptions 。
#1 procexp.exe Process Terminations Allow
#2 taskmgr.exe Process Terminations Allow
#3 禁止notepad.exe 被终止,procexp.exe例外。
结果是 taskmgr.exe 不能终止notedpad.exe; procexp.exe 可以终止notepad.exe
图15
例8 例外规则也遵守从上至下匹配的原则。
允许 All Applications 运行cmd.exe
禁止explorer.exe 运行cmd.exe
#1 All Applications * Run an executable Ask Modify... Allow cmd.exe
#2 explorer.exe Run an executable Ask Modify... Block cmd.exe
结果是 explorer.exe 可以运行cmd.exe
图16
图17
例9 例外规则内,Allow > Block
explorer.exe Run an executable Ask Modify... Allow cmd.exe Block cmd.exe
结果是 explorer.exe 可以运行cmd.exe
图18
图19
官方没有公布规则优先级的资料,以上均来自个人使用总结,有不对的地方请指出。
善守者,藏于九地之下,善攻者,动于九天之上
3. Defense+ 的环境变量和通配符
要提高规则的效率,要提高规则的适应性,必须了解Defense+ 的环境变量和通配符。
环境变量
使用环境变量可以增强规则的通用性,便于分享规则。同时也可以减少规则输入的时间。
系统的环境变量,可以通过 DOS窗口,set命令查看。Defense+ 只支持部分环境变量。
Defense+ 支持的环境变量:
假设操作系统的安装目录为C:
%windir% = C:/Windows
%SystemRoot% = C:/Windows
%temp% = C:/Documents and Settings/用户名/Local Settings/Temp
%AllUsersProfile% = C:/Documents and Settings/All Users
%UserProfile% = C:/Documents and Settings/用户名
%AppData% = C:/Documents and Settings/用户名/Application Data
%ProgramFiles% = C:/Program Files
%CommonProgramFiles% = C:/Program Files/Common Files
此外Defense+ 还支持/Device/HarddiskVolume? 这种特殊写法。
通配符
我知道的通配符就是*和? 。* 是比较常用的,可以代表任意字符,可以表示所有文件、注册表项目、COM接口。通过和/ 的组合,可以表示目录和注册表的层次。
? 一般代表单独的字符,用的比较少,?:可以用来表示盘符。
Defense+ 的通配符目前不支持单独的目录操作,目录也是文件。* 都是包括所有子目录的。
例子:
C:/* 表示C盘下的所有文件
C:/*.exe 表示C盘下的所有exe文件
C:/*/* 表示C盘第一层目录下的所有文件
%windir%/system32/* 表示C:/Windows/System32 下的所有文件
C:/test/test1/*.* C:/test/test1 下所有带后缀名的文件和带. 的目录,对于test1目录操作不保护。
C:/test/test* C:/test 目录下的以test开头的文件和目录,保护目录操作,如不能重命名test1 目录
?:/autorun.inf 表示所有根目录下的autorun.inf
?:/* 表示所有文件,包括目录
?:/*.* 表示所有带后缀名的文件和带. 的目录
*.exe 表示全盘所有exe文件
*.dll 表示全盘的所有dll文件
?:/Documents and Settings/*/Cookies/*.txt 表示类似C:/Documents and Settings/All Users/Cookies 和C:/Documents and Settings/用户名/Cookies 下的所有txt文件
*/Software/Microsoft/Windows/CurrentVersion/Run*
表示HKLM | HKCU/Software/Microsoft/Windows/CurrentVersion/ 下 所有以Run 开头的键值和项,及项下面所有子项,子键。
官方没有公布通配符和环境变量的资料,以上均来自个人使用,有不对的请指出。
以下只是我自己在对Defense+的理解和经验的基础上,根据我的需要而制定规则的尝试。
我的规则只能作为参考,切勿生搬硬套。 学习别人的规则,动手制定适合自己的规则是最好的。
Defense+ 的界限就是我的界限,我的规则不能突破Defense+ 对我的限制。
完美是不存在的,但通过Comodo不断更新,我可以不断超越,接近"完美" 。
第三部分 物以类聚,人以群分:分组(Groups)
致谢:部分文件分组和规则来自Spbic和Happyday2 的EQSecure规则,RD规则大部分来自Tony 的GSS规则,在此表示谢意。
要高效的设置Defense+规则,必须先分组。对不同的程序进行分组,对不同的文件进行分组,对不同的注册表项目进行分组、对不同的COM接口进行分组。
通过改变组成员的组成,通过给组分配不同的预设规则,通过组合不同的对象组,可以制定非常灵活的规则,在现有架构下尽量达到我的要求。
图20
1. My Protected Files (FD)
在Defense+ -> Advanced -> My Protected Files -> Groups... 可以看到Defense+预设的一些文件组。接下来,我们要做的就是在这里添加大量的组和成员,完善已有的组。
图21
在此之前,我先介绍一下My Protected Files
简单的说,Defense+ 只保护My Protected Files里的文件。换句话说,我们要保护什么文件和目录,必须添加到My Protected Files 。
我的建议,对于新人,可以到Defense+ Settings 里禁用文件保护,文件保护会给新人造成很多麻烦。尤其Defense+ 的文件保护是全局性质的,如可执行文件,这对于以HIPS为辅助的新人,过于严厉。我建议或者禁用文件保护,或者删掉Executables ,自己添加需要保护的目录。
作为高级用户,我个人是全局保护所有文件,外加重点保护某些目录和文件。
我的My Protected Files 保护项目列表:
*/*.*
表示所有带后缀名的文件,还有带.的目录。 简称所有文件。主要是因为现在Defense+ FD还不支持目录,变通的方法。如果使用?:/* 会有很多目录操作提示,太麻烦,也不需要。病毒一般都是文件操作,新建目录没关系,借助Pending Files 追踪可执行文件,也可以看到新建的目录,然后资源管理器删除掉。
FD_WinDir Windows目录
%windir%/* 监视在Windows目录下创建文件和目录。系统所在目录属于重点保护目录,所以连目录操作也包括进来,你还可以模仿添加自己需要重点保护的目录。
FD_Executables 可执行文件
在原有基础上,补充了很多后缀名, 属于重点保护文件。具体后面介绍。
FD_Important Files/Folders 重要的文件和目录
在原有基础上,补充了一些文件和目录,属于重点保护文件和目录。具体后面介绍。
FD_Startup Folders 开始菜单启动目录
FD_COMODO Files/Folders COMODO安装目录
FD_3rd Party Protocol Drivers 第三方协议驱动
FD_My Protected Files 私人文件
图22
2. File Groups(文件分组)
我的文件分组,主要用于文件保护FD(Files Proetction)、应用程序保护AD(Applications Protection) 和 程序组AG(Applications Groups),所以我会给组名加上前缀,这样便于区分和使用。
FD_... 表示这个组用于文件保护FD
AD_... 表示这个组用于应用程序保护AD
AG_... 表示一个程序组,具有相似的行为,可以使用相同的规则
有些组可能暂时用不上,因为我尝试过不同思路。 这些可以保留,也许以后会用到。
有些是不能照搬的,模仿和拓展思路,自己添加和修改就可以咯。
我的文件分组列表:
All Applications 所有程序
*
FD_Executables FD_可执行文件
*.exe
*.dll
*.sys
*.ocx
*.drv
*.lmz
*.olb
*.vxd
*.inf
*.js
*.vbs
*.vbe
*.bat
*.cmd
*.com
*.pif
*.scr
*.cpl
*.chm
*.hta
*.htr
*.hlp
*.msc
*.msi
*.msp
*.wsf
*.wsh
*.jar
*.jse
*.wmf
*.shs
*.ins
*.hiv
可执行文件保护,增加了很多后缀名。
FD_WinDir FD_Windows目录
%windir%/*
FD_Important Files/Folders FD_重要的文件和目录
%windir%/system32/*
%windir%/system32/drivers/etc/*
%windir%/servicing/*
%windir%/system.ini
%windir%/win.ini
%windir%/wininit.ini
%windir%/winstart.bat
%windir%/Tasks/*
/Device/HarddiskVolume?
/Device/HarddiskVolume?/autoexec.bat
/Device/HarddiskVolume?/config.sys
/Device/HarddiskVolume?/boot.ini
/Device/HarddiskVolume?/bootfont.bin
/Device/HarddiskVolume?/ntdetect.com
/Device/HarddiskVolume?/ntldr
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/*
*.gho
*/autorun.inf
%ProgramFiles%/DefenseWall/*
%ProgramFiles%/EQSysSecure/*
%ProgramFiles%/Filseclab/*
%ProgramFiles%/Internet Explorer/*
%ProgramFiles%/Returnil/*
%ProgramFiles%/Windows Media Player/*
FD_重要的文件和目录 这里可以加入ghost文件、杀软目录、autorun.inf、病毒通常建新文件的目录
临时文件目录
FD_Temporary Files FD_临时文件
C:/OperaCache/*
%temp%/*
?:/Documents and Settings/*/Local Settings/Temporary Internet Files/*
?:/RECYCLE?/d*
?:/RECYCLE?/*/d*
临时文件目录:Opera缓存目录、系统临时目录、IE临时目录、回收站
FD_UserProfile Allow FD_用户文档和设置目录 允许
?:/Documents and Settings/*/Cookies/index.dat
?:/Documents and Settings/*/Cookies/*.txt
?:/Documents and Settings/*/Favorites/*.url
?:/Documents and Settings/*/Recent/index.dat
?:/Documents and Settings/*/Recent/*.lnk
?:/Documents and Settings/*/UserData/index.dat
?:/Documents and Settings/*/UserData/*.xml
?:/Documents and Settings/*/Local Settings/History/*/index.dat
?:/Documents and Settings/*/Local Settings/History/History.IE5/MSHist*
用户的Documents and Settings 下允许创建Cookies、收藏夹、最近的文档、历史信息
FD_UserProfile Block FD_用户文档和设置目录 阻止
?:/Documents and Settings/*/Cookies/*
?:/Documents and Settings/*/Favorites/*
?:/Documents and Settings/*/Recent/*
?:/Documents and Settings/*/UserData/*
?:/Documents and Settings/*/Local Settings/History/*
用户的Documents and Settings 下Cookies、Favorites、Recent、UserData、History禁止创建其它类型文件
FD_Application Data FD_AppData目录
?:/Documents and Settings/*/Application Data/*
?:/Documents and Settings/*/Local Settings/Application Data/*
FD_WinDir Allow FD_Windows目录 允许
%windir%/msgtn.ini
%windir%/psnetwork.ini
%windir%/powerplayer.ini
%windir%/Sti_Trace.log
%windir%/WindowsUpdate.log
%windir%/Debug/UserMode/ChkAcc.log
%windir%/Debug/UserMode/ChkAcc.bak
%windir%/inf/*.pnf
%windir%/LastGood/TMP*.tmp
%windir%/Prefetch/*.pf
%windir%/system32/cid_store.dat
%windir%/system32/catroot2/dberr.txt
%windir%/system32/catroot2/edb*.log
%windir%/system32/catroot2/tmp.edb
%windir%/system32/drivers/SET*.tmp
%windir%/system32/drivers/disk.sys
%windir%/system32/drivers/usbstor.sys
*/Thumbs.db
*/Thumbs.db:encryptable
允许修改的Windows目录下的文件,例外规则
FD_Browser Allow FD_浏览器 允许
%temp%/opr???.tmp.exe
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/FlashGot.exe
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/prefs*.js
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/sessionstore*.js
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/extensions/*/install.js
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/extensions/*/chrome/*.jar
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/extensions/*/components/*.js
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/extensions/*/defaults/preferences/*.js
%userprofile%/Application Data/Macromedia/Flash Player/macromedia.com
允许浏览器修改的文件,例外规则
FD_Thunder Allow FD_迅雷 允许
%programfiles%/Thunder/ComDlls/TDAtOnce*.dll
%programfiles%/Thunder/ComDlls/ThunderAgent*.dll
%programfiles%/Thunder/ComDlls/XunLeiBHO*.dll
%programfiles%/Thunder/Program/Update/DsXlCom*.exe
%programfiles%/Thunder/Program/Update/PPlayerSetup*.exe
%programfiles%/Thunder/Program/Update/Update.dat
%programfiles%/Thunder/Program/UpdateShell.dll
%windir%/system32/pub_store.dat
允许迅雷修改的文件,例外规则
FD_Downloads FD_下载目录
F:/downloads/software/*
F:/leaktests/*
F:/virus/*
H:/eMule/*
允许浏览器和下载工具访问的目录
FD_My Documents FD_我的文档目录和桌面
%userprofile%/My Documents/*
%userprofile%/Desktop/*
D:/My Documents/*
FD_Program Files FD_程序目录
%programfiles%/*
D:/Program Files/*
FD_Startup Folders FD_开始菜单启动
?:/Documents and Settings/*/Start Menu/Programs/Startup/*
?:/Documents and Settings/*/「开始」菜单/程序/启动/*
?:/Documents and Settings/*/「開始」功能表/程式集/啟動/*
%windir%/system32/GroupPolicy/Machine/Scripts/Startup/*
%windir%/system32/GroupPolicy/User/Scripts/Logon/*
FD_COMODO Files/Folders FD_COMODO安装目录
C:/Program Files/COMODO/Firewall*
C:/Documents and Settings/All Users/Application Data/Comodo*
FD_3rd Party Protocol Drivers FD_第三方协议驱动
/Device/NPF_*
/Device/Ndisuio
/Device/NdisTapi
FD_Sysbackup FD_系统备份
G:/*
I:/*
*.gho
系统备份目录
FD_NonSystem I FD_非系统盘 I
D:/*
E:/*
F:/*
H:/*
J:/*
非系统盘,包括根目录
FD_NonSystem II FD_非系统盘 II
D:/*/*
E:/*/*
F:/*/*
H:/*/*
J:/*/*
非系统盘,不包括根目录
FD_My Protected Files FD_私人文件
%programfiles%/cFosSpeed/*
%ProgramFiles%/WinRAR/*
C:/BOOT/*
D:/Downloads/*
D:/My Documents/*
D:/Opera/*
FD_Pictures FD_图形文件
*.jpg
*.png
*.bmp
FD_SystemDriver FD_系统盘
C:/*
FD_NamedPipe FD_命名管道
/Device/NamedPipe/lsass
/Device/NamedPipe/ntsvcs
/Device/NamedPipe/Win32Pipes
/Device/NamedPipe/Adobe LM Service
/Device/NamedPipe/pgpserv
/Device/NamedPipe/ROUTER
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
FD_Devices FD_设备驱动服务
/Device/Harddisk
/Device/CdRom
/Device/LanmanRedirector
/Device/USBFDO-0
/Device/USBFDO-1
/Device/Tcp
/Device/Udp
/Device/Ip
/Device/RawIp
/Device/Afd
/Device/PhysicalMemory
/Device/Harddisk0/DR0
/Device/Harddisk1/DR1
/Device/MountPointManager
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
AD_Blacklist folders I AD_黑名单目录 I
?:/RECYCLE?/*
?:/System Volume Information/*
*/Local Settings/Temp/*
*/Local Settings/Temporary Internet Files/*
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/*
C:/OperaCache/*
禁止运行临时文件目录、回收站、系统还原目录下的程序
AD_Blacklist folders II AD_黑名单目录 II
%temp%/*
%windir%/downloaded program files/*
%windir%/temp/*
禁止运行临时文件目录下的程序
AD_Blacklist Programs AD_黑名单程序
*.com
*/cmd.exe
*/ntvdm.exe
*/attrib.exe
*/cscript.exe
*/wscript.exe
*/mshta.exe
*/ntoskrnl.exe
*/regedit.exe
*/regsvr32.exe
*/taskkill.exe
*/at.exe
*/hh.exe
*/sc.exe
*/format.*
*/debug.exe
*/Cacls.exe
*/command.com
*/conime.exe
*/net.exe
*/net1.exe
*/netsh.exe
*/netstat.exe
*/telnet.exe
*/tftp.exe
*/tasklist.exe
*/diskpart.exe
*/mmc.exe
*/msconfig.exe
*/ntsd.exe
*/schtasks.exe
*/replace.exe
*/realsched.exe
*/TIMPlatform.exe
*/QQUpdateCenter.exe
禁止运行一些常被病毒调用的程序
AD_All Hooks AD_所有钩子
%windir%/system32/*.dll
%programfiles%/*/*.dll
%programfiles%/*/*.exe
%programfiles%/*/*.ocx
简化全局钩子规则
AD_Windows Hooks AD_Windows钩子
%windir%/system32/msctf.dll
%windir%/system32/browseui.dll
%windir%/system32/ieframe.dll
官方规则的三个Windows 钩子
AD_Whitelist AD_白名单
%windir%/notepad.exe
%windir%/system32/calc.exe
%windir%/system32/control.exe
%windir%/system32/ctfmon.exe
%windir%/system32/drwtsn32.exe
%windir%/system32/dumprep.exe
%windir%/system32/dwwin.exe
%windir%/system32/freecell.exe
%windir%/system32/mspaint.exe
%windir%/system32/notepad.exe
%windir%/system32/sndvol32.exe
%windir%/system32/sol.exe
%windir%/system32/spider.exe
%windir%/system32/taskmgr.exe
%windir%/system32/userinit.exe
%windir%/system32/verclsid.exe
%windir%/system32/winmine.exe
允许常见的Windows程序
AG_Windows System Applications AG_Windows系统程序组
System
%windir%/system32/smss.exe
%windir%/system32/csrss.exe
%windir%/system32/winlogon.exe
%windir%/system32/services.exe
%windir%/system32/spoolsv.exe
%windir%/system32/lsass.exe
AG_Windows Updater Applications AG_Windows升级程序组
%windir%/system32/svchost.exe
%windir%/system32/wuauclt.exe
%windir%/system32/wupdmgr.exe
AG_COMODO Firewall Pro AG_COMODO防火墙
%programfiles%/COMODO/Firewall/cfp.exe
%programfiles%/COMODO/Firewall/cmdagent.exe
%programfiles%/COMODO/Firewall/cfplogvw.exe
%programfiles%/COMODO/Firewall/cfpupdat.exe
%programfiles%/COMODO/Firewall/cfpsbmit.exe
%programfiles%/COMODO/Firewall/cfpconfg.exe
%programfiles%/COMODO/Firewall/crashrep.exe
AG_Filseclab AG_杀毒软件
%programfiles%/Filseclab/Twister/Twister.exe
%programfiles%/Filseclab/Twister/psview.exe
%programfiles%/Filseclab/Twister/PowerRmv.exe
%programfiles%/Filseclab/Twister/spifix.exe
%commonprogramfiles%/Filseclab/FilUp.exe
%commonprogramfiles%/Filseclab/FilMsg.exe
%commonprogramfiles%/Filseclab/CertReg.exe
%commonprogramfiles%/Filseclab/CabArc.Exe
%commonprogramfiles%/Filseclab/SimpMsg.exe
%commonprogramfiles%/Filseclab/UserReg.exe
杀软分组示例
AG_DefenseWall AG_沙盘
%programfiles%/DefenseWall/defensewall.exe
%windir%/system32/defensewall_serv.exe
沙盘分组示例
AG_EQSecure AG_其它HIPS
%programfiles%/EQSysSecure/EQSysSecure.exe
%programfiles%/EQSysSecure/EQService.exe
其它HIPS分组示例
AG_Network Applications AG_网络程序组
%programfiles%/WinRAR/WinRAR.exe
%programfiles%/Thunder/Thunder.exe
%programfiles%/Thunder/Program/Thunder5.exe
%userprofile%/Application Data/Mozilla/Firefox/Profiles/*/FlashGot.exe
D:/Program Files/Opera 9.5/opfinder.exe
D:/Program Files/Opera 9.5/oget/oget.exe
D:/Program Files/Opera 9.5/oget/flashgot.exe
%windir%/system32/winhlp32.exe
%programfiles%/Internet Explorer/iexplore.exe
D:/Program Files/Opera/Opera.exe
D:/Program Files/Opera 9.5/opera.exe
%programfiles%/Mozilla Firefox/firefox.exe
%programfiles%/Mozilla Firefox/updater.exe
%programfiles%/Mozilla Firefox/xpicleanup.exe
%programfiles%/TVKoo/viviplay.exe
%programfiles%/TVKoo/Update.exe
%programfiles%/SopCast/SopCast.exe
%programfiles%/SopCast/adv/SopAdver.exe
%programfiles%/PPStream/PPStream.exe
%programfiles%/PPLive/PPLive.exe
%programfiles%/TVAnts/Tvants.exe
%programfiles%/TVUPlayer/TVUPlayer.exe
%programfiles%/TVUPlayer/AutoUpgrade.exe
%programfiles%/Lingoes/Translator2/Lingoes.exe
%programfiles%/Lingoes/Translator2/lgsupd.exe
%programfiles%/feidianTV/P2PPlayer.exe
%programfiles%/feidianTV/UpgradeP2PClient_211.exe
%programfiles%/eMule/emule.exe
%programfiles%/BitSpirit/BitSpirit.exe
%programfiles%/BitSpirit/SPParser.exe
网络程序调用的子程序
AG_Safe'n'Sec AG_智能HIPS
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/protect.exe
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/safensec.exe
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/snsassist.exe
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/snsmcon.exe
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/snsnotify.exe
%programfiles%/S.N.Safe&Software/Safe'n'Sec Pro/snsupd.exe
犀牛分组示例
图23
My Protected Registry Keys(RD)
注册表保护,也是要先在My Protected Registry Keys 添加相应的项和键
我的注册表保护列表:
Automatic Startup 自动运行
Important Keys 其它重要项
System Drivers Services 系统设置驱动服务
Internet Explorer Keys IE浏览器
Special Registry 特殊项
Security Policies 安全策略
Terminal Server
File Associations 文件关联
Networking 网络相关
COMODO Keys COMODO
Debug Keys 映像劫持
Protocols 网络协议
Shell Icons 系统图标
图24
我的注册表分组列表:
Automatic Startup 自动运行
*/Software/Microsoft/Windows/CurrentVersion/Run*
*/Software/Microsoft/Windows NT/CurrentVersion/Windows/Run*
*/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run*
*/Software/Microsoft/Command Processor/AutoRun
*/Software/Microsoft/Windows NT/CurrentVersion/Windows/Load
*/Software/Policies/Microsoft/Windows/System/Scripts/*
*/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell/*
*/Software/Microsoft/Windows NT/CurrentVersion/IniFileMapping/*
*/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/*
*/Software/Microsoft/Windows NT/CurrentVersion/WOW/boot/*
*/Software/Microsoft/Windows NT/CurrentVersion/WOW/NonWindowsApp/*
*/Software/Microsoft/Windows NT/CurrentVersion/WOW/standard/*
*/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/*
*/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved/*
*/Software/Policies/Microsoft/Windows/System/Scripts/Startup
*/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Startup
*/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Startup
*/Software/Microsoft/Internet Explorer/URLSearchHooks/*
HKLM/System/ControlSet???/Control/Session Manager/BootExecute
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/*
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Accessibility/Utility Manager/*
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/*
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks/*
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKLM/Software/Wow6432Node/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKLM/Software/Microsoft/Active Setup/Installed Components/*/StubPath
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL
HKLM/SYSTEM/ControlSet???/Control/Session Manager/PendingFileRenameOperations
HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/PendingFileRenameOperations
HKEY_CURRENT_USER/Control Panel/Desktop/SCRNSAVE.EXE
HKLM/SYSTEM/ControlSet???/Control/WOW/*
HKLM/SYSTEM/CurrentControlSet/Control/WOW/*
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows/*
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/*/Shell/*
Important Keys 其它重要项
HKLM/SYSTEM/ControlSet???/Services/*
*/Software/Classes/?/shellex/ContextMenuHandlers/*
*/Software/Classes/*file/shell/*/command/*
*/Software/Classes/.exe/*
*/Software/Classes/.bat/*
*/Software/Classes/.com/*
*/Software/Classes/.cmd/*
*/Software/Classes/.reg/*
*/Software/Classes/.scr/*
*/Software/Classes/.vbs/*
*/Software/Classes/.vbe/*
*/Software/Classes/.pif/*
*/Software/Classes/.jar/*
*/Software/Classes/.js/*
*/Software/Classes/.pif/*
*/Software/Classes/.cpl/*
*/Software/Classes/.txt/*
*/Software/Classes/.ini/*
*/Software/Classes/.lnk/*
*/Software/Classes/.html/*
*/Software/Classes/.htm/*
*/Software/Classes/.doc/*
*/Software/Classes/.xls/*
*/Software/Classes/.ppt/*
*/Software/Classes/.rtf/*
*/Software/Classes/.hta/*
*/Software/Classes/.gif/*
*/Software/Classes/.jpg/*
*/Software/Classes/.png/*
*/Software/Classes/.mdb/*
*/Software/Classes/.eml/*
*/Software/Classes/.mp3/*
*/Software/Classes/.shs/*
*/Software/Classes/.wsh/*
*/Software/Classes/.rar/*
*/Software/Classes/.zip/*
*/Software/Classes/.jpeg/*
*/Software/Classes/.Folder/*
*/Software/Classes/Shell*
*/Software/Classes/Unknown/Shell*
*/Software/Classes/Folder/Shell*
*/Software/Classes/?/Shell/*
*/Software/Classes/mailto/shell/open/command/*
*/Software/Classes/*/ShellNew
*/Software/Classes/*/Shell/*/Command*
*/Software/Classes/Directory/Shell*
*/Software/Classes/*/NeverShowExt
*/Software/Classes/*/AlwaysShowExt
*/Software/Microsoft/Driver Signing/Policy
*/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts/.exe/*
*/Software/Classes/CLSID/{7EFFAAFF-EA0A-1A3A-CBCD-F13522D53649}/InProcServer32/*
*/Software/Policies/*
HKUS/*/Environment/Path
HKUS/*/Control Panel/Desktop/SCRNSAVE.EXE
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler/*
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/*
HKLM/Software/Classes/Folder/shellex/ColumnHandlers/*
HKLM/Software/Classes/Protocols/Filter/*
HKLM/Software/Classes/Protocols/Handler/*
System Drivers Services 系统设置驱动服务
HKLM/SYSTEM/ControlSet???/Services/*
HKLM/SYSTEM/CurrentControlSet/Services/*
HKLM/SYSTEM/ControlSet???/Control/SafeBoot/*
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/*
HKLM/System/ControlSet???/Control/BackupRestore/*
HKLM/System/CurrentControlSet/Control/BackupRestore/*
HKLM/System/ControlSet???/Control/ComputerName/*
HKLM/System/CurrentControlSet/Control/ComputerName/*
HKLM/SYSTEM/ControlSet???/Control/GroupOrderList/*
HKLM/SYSTEM/CurrentControlSet/Control/GroupOrderList/*
HKLM/SYSTEM/ControlSet???/Control/Lsa/*
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/*
HKLM/System/ControlSet???/Control/MprServices/*
HKLM/System/CurrentControlSet/Control/MprServices/*
HKLM/System/ControlSet???/Control/Print/Monitors/*
HKLM/System/CurrentControlSet/Control/Print/Monitors/*
HKLM/SYSTEM/ControlSet???/Control/ServiceGroupOrder/*
HKLM/SYSTEM/CurrentControlSet/Control/ServiceGroupOrder/*
HKLM/System/ControlSet???/Control/Class/{4D36E96B-E325-11CE-BFC1-08002BE10318}/*
HKLM/System/CurrentControlSet/Control/Class/{4D36E96B-E325-11CE-BFC1-08002BE10318}/*
HKLM/Software/Microsoft/Ole*
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Svcho