COMODO使用攻略.doc

毛 豆 使 用 全 攻 略 玩转Hips必备小常识：1、“3D”防御体系：AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。【释疑】：举个最简单的例子，病毒最喜欢的栖息地就是system32文件夹，对于普通用户而言是不敢随意动里面的文件的！比如病毒kafan.exe想调用IE(属于AD范畴)，并且修改注册表强制添加启动项等（属于RD范畴），然后再system32文件夹中创建kanfan.exe病毒文件（属于FD范畴）！如果我们制定相关的规则，如：利用Comodo保护IE的重要键值，那么当病毒kafan.exe想修改注册表的时候就会出现相应的提示或者直接拒绝；如果对system32文件夹进行保护，比如通过全局规则禁止*.exe在sysetem32文件夹下运行或创建，那么kanfan.exe就根本无法在system32文件夹下创建！如果对IE进行保护，那么通过相应的规则则可以拒绝kafan.exe调用IE，所以如果我们设置的恰当的话，通过3D立体防御可以非常好的保护我们的爱机！ 2、“HIPS”是何物：HIPS 全称是主机入侵防御系统 ( Host Intrusion Prevention System)，简单点说就是防止系统被非法入侵的一套防御体系！Comodo将自己的HIPS 命名为Defense+ (简称D+) 揭开Comodo的神秘面纱 1、Comodo被国内玩家亲切的称为“毛豆”，打磨毛豆规则的过程称为“啃毛豆”，相当的有意思！呵呵~2、下面我们将熟悉Comodo的界面，由于我用的是V3，所以就以V3为例，V4.0包括最新的V4.1的设置大同小异！而且我们是用Comodo的Firewall(防火墙)和Defense+(简称D+)，至于Comodo的Av(反病毒)我们一般来说不用（比较鸡肋，误报也很多），搭配上自己喜欢的Av就可以形成一套比较完整的防御体系：Av + Firewall + Hips（可自由定制） 这里我们将重点探究Defense+(简称D+)（优点：可定制，功能强大） 下面我们具体讲解下D+的相关设置：1、查看Defense+事件：简单点说就是日志，我们可以通过点击该选项查看Av、D+、FW（防火墙的简称）的相关事件！比如我们设置了相关规则，当我们运行某个程序如Word的时候，发现Word的某项功能不能使用怎么办？不着急，我们可以通过查看日志，发现具体的是触发了哪项规则才导致了这种情况，然后修改相应的规则就可以了！ 2、我的受保护文件：用通俗点的话来说就是“文件保险箱”，我们可以将需要保护的文件或者文件夹放在里面，可以防止未经授权的访问！比如系统文件夹、重要的资料、系统关键部位等，我们就可以对其进行保护！（具体怎么设置，下面将会有具体表述） 3、我的被拦截文件：通过名称我们就可以非常容易的看出，就是使得某些文件或者文件夹拒绝被访问！比如常规运行、打开、复制、删除、重命名等！这个也被叫做“黑名单”，也就是说如果我们不希望某些程序（病毒\木马生成物等）运行或者某些文件夹被访问的时候，就可以将添加相应的规则，使得这些程序或者文件夹拒绝访问！ 4、我的待处理文件：防御功能安装后，将监视您的系统运行状况。科摩多首先将对自身安全性进行检查，随后对对所有新的可执行程序进行检测，如果该程序不安全，将被其列入“我的待处理文件” 由用户来判定其安全性任何可执行程序如果遭到修改，都会被列入“我的待处理文件”。将文件加入这个列表后，当一个未知进程访问这个文件的时候，Defense+ 模块将会发出警告。当然，您也可以通过设置“信任软件”来实现这个功能，但相比之下，这个功能对软件目录内的文件控制更加细致。将会显示出系统中正在运行的进程及其父进程。通过查找父进程，Defense+功能可以确定其子进程是否为可信进程，并做出相应响应。使用高级别系统权限进行识别和防御木马，恶意代码，后门等攻击信任厂商是指通过数字方式，签名第三方软件，验证它的真实性和完整性的那些公司。这个签名然后由一个叫做可信证书授权者的机构加签。默认的情况下，Defense+ 将会检测软件软件厂商的签名和可信证书授权者的加签。然后它会自动将软件添加到本地用户的可信厂商列表。自动保护注册表关键键，防止篡改。（破坏，修改或删除行为）在计算机安全规则区域，您可以查看、管理和编辑Defense+设置应用程序安全规则可以定义一个安全规则集，可设置选项包括访问控制权限 Defense+ 设置?这些设置将会被保存，并可重用。每条规则中包含了多条规则，每条规则可设置触发器/设置/参数。预定义安全规则 是一个针对进程控制其内存访问，其它进程访问，注册读写的设置规则3、可