COMODO设置的注意事项以及设置项之间的逻辑关系(修正).pdfVIP

一、关于数字签名文件加入到 COMODO 信任软件商的作用 （一）为什么添加数字签名 在运行这些已经列入 “safe list”的程序的时候，COMODO 将不会报警而自动生成允许规则。一旦程 序的哈希值被恶意软件修改，那么 COMODO 也将报警。 （二）添加签名与“映像执行控制”报警的关系 以下，我们就来看看 IMAGE EXECUTION CONTROL SETTINGS 通过什么机制报警。先来引用一下 “火鸟” 版主在教程里的一段对 image execution control settings 的解释： 引用U 版的话 “在每一个可执行文件被载入内存前给予验证、提示。 程序平时是以文件形式保存在硬盘，在运行时载入内存。我们一般把可执行文件叫做程序的映像 (image) 。 一个进程是一个正运行的应用程序的实例； 进程是进程映像 (Process Image)的执行过程，也就是正在执行的进程实体。 Image Execution 是对可执行文件载入内存进行控制，会影响 Policy 里的 Run an executable” 什么意思呢？就是如果选了 Aggressive，即使你的可执行文件在策略中已经允许运行了，但是 comodo 还是会报警提示。在可执行文件尝试加载入内存或缓存时会被 comodo 拦截。 normal 就是在可执行文件尝试加载入内存会被 comodo 拦截，但加载入缓存是不会拦截的，这是 comodo 的默认设置，建议不要改动。 如图： 说明：在 “干净模式”或 “安全模式”下初次运行程序建立规则或运行已建立规则的程序时，COMODO 将计算载入到内存的执行文件的哈西函数，通过对照在 COMODO 收录到 “安全列表”里的已知程序和 已认可的程序的哈西函数，以负责验证载入内存的每个执行文件。但如果D+是设置到 Paranoid Mode 模式，那么 “哈希检测”将无法生效，在程序运行建立规则时，COMODO 将报警每一个程序行为，哪 怕在 “safe list”里它被认为是安全的。 （三）安全列表（safe list）的范围 收录到 “安全列表”里的已知程序和已认可的程序包括： 1、COMODO 白名单 “已知”安全的程序； 2、签名添加到 “信任软件商”的 “认可”程序； 3、在 “SAFE模式”和 “PC CLEAN模式”下，当未被 “确认”的程序报警时，作为信任程序（Trusted application）或作为系统程序（windows system application ）添加到规则的程序； 4、添加到 “my own safe files”里的程序，当某程序添加到 “my own safe files”后，那么这个 程序包括它的子文件夹的组件，也一起处于 “safe list”监视状态中； 在 safe mode 或 clean PC mode 下，所有 “safe list”下的程序，将受 COMODO 的全面保护，以监控 哈希值是否被恶意程序修改。 （四）程序D+列表中程序规则的排序和 “safe list”的关系 1、我们可以看到，在 SAFE MODE 或 CLEAN PC MODE 下，只要已列入 COMODO 的 “safe list”，那么 规则就自动生成，且全部都生成到 all applications 之下（除作为 Trusted application 和 windows system application 添加的程序之外），如果选择预设的 trusted application 或 windows system application，那么程序也将添加到 “safe list”里，同时此程序的所有行为，将被 COMODO 自动允 许且生成规则，除以预设 Trusted application 和 Windows system application 方式添加的规则在 列表最上面逐次建立外，这些自动生成的规则将在 D+程序列表的最后面逐次建立； 2、而对于报警后仅仅允许执行单项行为并记忆的未知程序，或 clean PC 模式下的属于 “my pending files”的程序，那么D+规则将在列表的最上面逐次建立。 如图 （五）程序D+列表中程序规则排序和优先级的关系 1、all applications 是 D+的全局规则，对所有 “unrecognized”（未认可）程序，正是基于它限定 的全局性模糊（ask）规则，都需要询问； 2、上图中，凡是自动建立的规则，对于程序的每个行为，都是以 “允许”和 “例外允许”的方式建 立，那么程序需要运行的行为，都是