毛豆COMODO使用心得

聯(lián)系方式：huliansheng1987@139.com高級群:112472986(請注明：kafan)【卡飯論壇】首發(fā)！如有轉(zhuǎn)載，請注明出處！謝謝合作~毛豆使用全攻略

-By純黑色玩轉(zhuǎn)Hips必備小常識：

1、“3D”防御體系：AD(ApplicationDefend)應(yīng)用程序防御體系、RD(RegistryDefend)注冊表防御體系、FD(FileDefend)文件防御體系。

【釋疑】：舉個最簡單的例子，病毒最喜歡的棲息地就是system32文件夾，對于普通用戶而言是不敢隨意動里面的文件的！比如病毒kafan.exe想調(diào)用IE(屬于AD范疇)，并且修改注冊表強制添加啟動項等（屬于RD范疇），然后再system32文件夾中創(chuàng)建kanfan.exe病毒文件（屬于FD范疇）！如果我們制定相關(guān)的規(guī)則，如：利用Comodo保護IE的重要鍵值，那么當病毒kafan.exe想修改注冊表的時候就會出現(xiàn)相應(yīng)的提示或者直接拒絕；如果對system32文件夾進行保護，比如通過全局規(guī)則禁止*.exe在sysetem32文件夾下運行或創(chuàng)建，那么kanfan.exe就根本無法在system32文件夾下創(chuàng)建！如果對IE進行保護，那么通過相應(yīng)的規(guī)則則可以拒絕kafan.exe調(diào)用IE，所以如果我們設(shè)置的恰當?shù)脑?，通過3D立體防御可以非常好的保護我們的愛機！2、“HIPS”是何物：HIPS全稱是主機入侵防御系統(tǒng)(HostIntrusionPreventionSystem)，簡單點說就是防止系統(tǒng)被非法入侵的一套防御體系！Comodo將自己的HIPS命名為Defense+(簡稱D+)揭開Comodo的神秘面紗1、Comodo被國內(nèi)玩家親切的稱為“毛豆”，打磨毛豆規(guī)則的過程稱為“啃毛豆”，相當?shù)挠幸馑?！呵呵~

2、下面我們將熟悉Comodo的界面，由于我用的是V3，所以就以V3為例，V4.0包括最新的V4.1的設(shè)置大同小異！而且我們是用Comodo的Firewall(防火墻)和Defense+(簡稱D+)，至于Comodo的Av(反病毒)我們一般來說不用（比較雞肋，誤報也很多），搭配上自己喜歡的Av就可以形成一套比較完整的防御體系：Av+Firewall+Hips（可自由定制）這里我們將重點探究Defense+(簡稱D+)（優(yōu)點：可定制，功能強大）

下面我們具體講解下D+的相關(guān)設(shè)置：

1、查看Defense+事件：簡單點說就是日志，我們可以通過點擊該選項查看Av、D+、FW（防火墻的簡稱）的相關(guān)事件！比如我們設(shè)置了相關(guān)規(guī)則，當我們運行某個程序如Word的時候，發(fā)現(xiàn)Word的某項功能不能使用怎么辦？不著急，我們可以通過查看日志，發(fā)現(xiàn)具體的是觸發(fā)了哪項規(guī)則才導致了這種情況，然后修改相應(yīng)的規(guī)則就可以了！2、我的受保護文件：用通俗點的話來說就是“文件保險箱”，我們可以將需要保護的文件或者文件夾放在里面，可以防止未經(jīng)授權(quán)的訪問！比如系統(tǒng)文件夾、重要的資料、系統(tǒng)關(guān)鍵部位等，我們就可以對其進行保護?。ň唧w怎么設(shè)置，下面將會有具體表述）3、我的被攔截文件：通過名稱我們就可以非常容易的看出，就是使得某些文件或者文件夾拒絕被訪問！比如常規(guī)運行、打開、復(fù)制、刪除、重命名等！這個也被叫做“黑名單”，也就是說如果我們不希望某些程序（病毒\木馬生成物等）運行或者某些文件夾被訪問的時候，就可以將添加相應(yīng)的規(guī)則，使得這些程序或者文件夾拒絕訪問！4、我的待處理文件：防御功能安裝后，將監(jiān)視您的系統(tǒng)運行狀況?？颇Χ嗍紫葘ψ陨戆踩赃M行檢查，隨后對對所有新的可執(zhí)行程序進行檢測，如果該程序不安全，將被其列入“我的待處理文件”由用戶來判定其安全性！任何可執(zhí)行程序如果遭到修改，都會被列入“我的待處理文件”。5、我的安全文件：將文件加入這個列表后，當一個未知進程訪問這個文件的時候，Defense+模塊將會發(fā)出警告。當然，您也可以通過設(shè)置“信任軟件”來實現(xiàn)這個功能，但相比之下，這個功能對軟件目錄內(nèi)的文件控制更加細致。6、查看活動進程列表：將會顯示出系統(tǒng)中正在運行的進程及其父進程。通過查找父進程，Defense+功能可以確定其子進程是否為可信進程，并做出相應(yīng)響應(yīng)。使用高級別系統(tǒng)權(quán)限進行識別和防御木馬，惡意代碼，后門等攻擊。7、我的信任軟件商：信任廠商是指通過數(shù)字方式，簽名第三方軟件，驗證它的真實性和完整性的那些公司。這個簽名然后由一個叫做可信證書授權(quán)者的機構(gòu)加簽。默認的情況下，Defense+將會檢測軟件軟件廠商的簽名和可信證書授權(quán)者的加簽。然后它會自動將軟件添加到本地用戶的可信廠商列表。8、我的受保護注冊表鍵值：通過相應(yīng)的規(guī)則，Comodo可以自動的保護注冊表關(guān)鍵鍵，防止未經(jīng)授權(quán)的篡改。（破壞，修改或刪除行為）9、我的受保護的COM端口：COM是微軟公司提供的一種程序接口模型，用于獨立應(yīng)用程序之間的交互，這種技術(shù)廣泛應(yīng)用于ActiveX和OLE之中，黑客可以利用惡意程序調(diào)用存有缺陷的COM接口進行攻擊。Comodo會自動對COM接口進行保護，防止被惡意代碼修改，劫持或掛接。

以上設(shè)置都是在【常規(guī)設(shè)置】里面，那么下面的【高級設(shè)置】里究竟又可以設(shè)置些什么內(nèi)容呢？下面我將帶大家走進D+殿堂的更深處...

1、計算機安全規(guī)則：在計算機安全規(guī)則區(qū)域，您可以查看、管理和編輯Defense+設(shè)置應(yīng)用程序安全規(guī)則！簡單點說就是我們可以對相應(yīng)的規(guī)則進行更加深入的編輯，如禁止內(nèi)存間訪問、運行應(yīng)用程序、訪問受保護的文件等，這里是打磨Comodo規(guī)則進階必經(jīng)階段！

2、預(yù)定義安全規(guī)則：從名稱上我們就可以看出，我們可以定義一個安全規(guī)則集，可設(shè)置選項包括訪問控制權(quán)限D(zhuǎn)efense+設(shè)置

這些設(shè)置將會被保存，并可重用。每條規(guī)則中包含了多條規(guī)則，每條規(guī)則可設(shè)置觸發(fā)器/設(shè)置/參數(shù)。'預(yù)定義安全規(guī)則'是一個針對進程控制其內(nèi)存訪問，其它進程訪問，注冊讀寫的設(shè)置規(guī)則。（不建議新手涉及該規(guī)則）

3、可執(zhí)行鏡像控制：映像劫持保護設(shè)置是Defense+模塊的引擎的一個部分。如果Defense+安全級別設(shè)置在“學習模式”或“干凈PC模式”，則這個模塊將負責對每一個載入內(nèi)存的映像進行認證。Comodo會在程序被載入內(nèi)存前與安全列表內(nèi)的已知程序比較其哈希值,如果成功匹配，則說明此進程是安全的；如果沒有匹配項，則被標記為“未知進程”，我們就將收到警報。

4、Defense+設(shè)置：啟用Defense+，在任何一個未知的可執(zhí)行程序（.exe,.dll,.sys,.bat等）試圖運行時收到警告，只有那些您給予了運行權(quán)限的程序才能執(zhí)行。一個程序可通過不同方式的賦予他們運行權(quán)限，包括：在計算機安全規(guī)則中手動賦予他們可執(zhí)行權(quán)限、通過在Defense+警告將該程序處理為可信任程序或者該程序在Comodo的安全列表中,Defense+也自動保護系統(tǒng)關(guān)鍵文件和目錄，例如阻止非授權(quán)的注冊表訪問。該保護增加了Comodo的另一層Defense+體系，來阻止惡意軟件運行和阻止任何進程修改重要的系統(tǒng)文件。

******************************************************************************

接下來，我們就將正式開始打磨規(guī)則！

******************************************************************************寫在前面的話：規(guī)則制定重在條理清晰，目標明確，若遇到問題可向Comodo區(qū)的高手詢問，盲目的制定規(guī)則或者套用他人的規(guī)則有的時候會起到反效果！所以要更好的打磨規(guī)則就必須要先了解規(guī)則，整體規(guī)劃，以免迷失在規(guī)則的森林里...

☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆

（左鍵單擊打開“我的保護文件”）

這里面就是我們進行保護的文件，也就是把文件放進了“保險箱”中，可以阻止未經(jīng)授權(quán)的訪問！下面我們就來具體的談?wù)勅绾螌ξ覀兊奈募M行保護！~首先我們必須明確，毛豆的規(guī)則是非常多的，所以我們就有必要進行分組，這就好比如一個班級要分成幾個組的道理是一樣的，看起來清爽，查找規(guī)則也比較方便！

下面我們解釋下以下幾個選項的含義：

1、添加：我們可以單擊“添加”選項卡，這個時候我們可以選擇“文件組”、“正在運行的程序”、“瀏覽”，下面我們解釋下這幾個選項的含義：

①“文件組”：我們可以通過右邊的“組”選項卡新建或者移除組！具體的可以見下圖，里面有默認的文件組，當然我們也可以添加或者刪除文件組，而且如何合理的建立文件組對我們以后的規(guī)則打磨起到一個提綱挈領(lǐng)的作用，所以這里大家要認真聽，認真學吖！~

（對于各項名詞的解釋，請參見右圖的1、2、3、4、5）

上圖中，我們可以看到默認的我的文件組-可執(zhí)行文件（這里是我修改過后的規(guī)則），我們可以看到對于“可執(zhí)行文件”，有好多種類型，我們可以到網(wǎng)上搜一下可執(zhí)行文件的后綴就可以查到N多后綴名，然后將其添加進來就行了！

【釋疑】添加的步驟：右擊“可執(zhí)行文件”，可以看到三個選項“添加...”、“編輯...”、“刪除”；若選擇“添加...”，則我們可以自由添加形如*.exe形式的可執(zhí)行文件類型；若我們選擇“編輯...”，則我們可以隨意修改已經(jīng)建立的形如*.exe的可執(zhí)行文件的類型，將其修改為我們需要的類型；若我們選擇“刪除”，則我們可以刪除我們不希望出現(xiàn)的可執(zhí)行文件類型，比如我們不希望有*.bat可執(zhí)行文件類型，則我們只需要選擇“刪除”將其刪除掉就可以了！

②“正在運行的程序”：顧名思義是指系統(tǒng)中正在運行的程序，這個沒有什么可以多說的！

③“瀏覽”：這里是指我們可以自定義添加的文件，只要定位到相應(yīng)的文件就可以了！

2、編輯：指的是我們選中任意一條規(guī)則，然后單擊“編輯”選項就可以隨意的進行修改了?。ㄈ绻撘?guī)則被納入相應(yīng)的“組”中，那么我們就必須要到相應(yīng)的“組”類別中去修改！這是后話，但是這里先交代一下，避免很多童鞋不知所云！呵呵~）

3、移除：指的是我們可以移除任意一條規(guī)則，只要選中相應(yīng)的規(guī)則，然后輕輕地單擊“移除”選項，那么該規(guī)則就會KO掉啦~呵呵~

4、清理：指的是我們自定義規(guī)則的時候，因為安裝、卸載文件等導致有的規(guī)則失效了怎么辦？難道我們要一個一個的去嘗試？NO！我們只需要輕輕地單擊“清理”選項就OK了，毛豆會自動幫我們剔除已經(jīng)失效的規(guī)則！

5、組：這個東西可是相當?shù)闹匾倪?！如果不好好的整理好組，占領(lǐng)這塊寶地的話，那么我們以后的戰(zhàn)役將會非常的吃力，有的時候甚至會出現(xiàn)反效果！童鞋們要認真聽啦！~

上圖我們可以看到“我的文件組”的一個大致框架！拖動滾動條我們就可以看到毛豆自帶的幾個文件組，我們?nèi)绾巫约盒陆ㄒ粋€組呢？請看下圖：

我們可以看到左邊包含4個選項，利用第一個“添加”選項就可以添加一個新的組；至于下面的三個選項：編輯、移除、清理，我們在前面已經(jīng)介紹過，這里我們就不再贅述！

下面，我們將具體的講解下如何添加一個新的組：

【步驟】右鍵單擊“添加”，這個時候我們就可以選擇第一個“一個新的組”來新建一個組！

（這里有個小技巧：不能輸入中文怎么辦？只要在Word中復(fù)制好中文然后粘貼就OK了！~）

當我們新建好一個組后，拖動滾動條拉至最下方就可以看見我們剛才新建的組了！如下圖：

然后我們在組名上右擊，可以進行“添加”、“編輯”、“移除”幾項操作！這些名詞的含義我們在前面已經(jīng)介紹過了，這里我們從簡介紹！比如上圖中我們的組名為：→★FD-網(wǎng)馬防護(低權(quán)限)㊣，右擊添加傲游（定位到該文件就可以了）！這個時候童鞋們也許就有疑問了，添加了傲游又能怎么樣呢？！貌似我們什么工作都沒做啊！好，這個問題提的非常好！下面我們就來介紹下這里添加了一個組以后，我們可以做哪些工作！記住了，這里的知識非常的關(guān)鍵吖~~要認真聽啦，童鞋們...這里不是那么容易聽懂的，要自己多琢磨琢磨！~

選擇：Defense+，進入相應(yīng)界面！

選擇左邊的“高級設(shè)置”，進入相應(yīng)界面并選擇“計算機安全規(guī)則”

這里我們看到很多我們曾經(jīng)運行過的程序，如下圖所示：

然后我們會發(fā)現(xiàn)這里有個“傲游”，也就是我們剛才添加的那個組！咦？為什么這里有了傲游，我們還要添加剛才的那個組呢？別著急，聽我慢慢道來！

這個時候我們選擇右邊的“添加”，會出現(xiàn)下面的界面：

這個時候選擇“應(yīng)用”，你會發(fā)現(xiàn)添加該組？咦，奇了怪了！哦，原因在于剛才里面也有了個傲游（如下圖），怎么辦？移除這里這個礙事的規(guī)則（右擊“移除”）！呵呵~

接下來我們就可以順利的添加剛才我們添加的組了！這個時候你會發(fā)現(xiàn)我們剛才添加的組它是放在最后最后的！郁悶~怎么老喜歡往后放啊，放在前面看的多清楚多顯眼??！赫赫，這里童鞋們又得認真聽啦~別聽不懂啦?。?！拖動滾動條，我們會發(fā)現(xiàn)下圖的“所有應(yīng)用程序”！

額，這個就是傳說中的“全局規(guī)則”！咦？全局規(guī)則，什么意思??！簡單點說就好像班主任制定的相應(yīng)的班規(guī)，如不許干嘛干嘛等！也就是說全班的童鞋都必須要遵守這個規(guī)則！嗯，說到這里問題就來啦！~如果是任課老師呢？他們就不必遵守這些規(guī)則，但也不能違背該規(guī)則！所以這里就出現(xiàn)了一個非常非常重要的邏輯關(guān)系！如果你把規(guī)則移動到“全局規(guī)則”之上，那么該規(guī)則就比“全局規(guī)則”具有更高的優(yōu)先級！同理，如果規(guī)則在“全局規(guī)則”之下，那么該規(guī)則的優(yōu)先級就沒有“全局規(guī)則”的優(yōu)先級要高，就更低一級了！所以我們就可以得到下面的結(jié)論：

優(yōu)先級是從上到下依次遞減的！

我們明白了這個道理又有什么用呢？好，下面我們將具體的介紹下如何利用這個原理！

我們把剛才新建的那個組拖動到“全局規(guī)則”之上，那么這個時候如果我們在運行傲游的話，同樣會彈出提示，這個時候我們選擇允許（這里我們的默認環(huán)境是“安全模式”），這個時候我們會發(fā)現(xiàn)，在最下面又出現(xiàn)了一條關(guān)于傲游的規(guī)則，如下圖所示：

但是這個時候我們也添加了一條關(guān)于傲游的組（或者說規(guī)則），兩者同時存在！唯一不同的是一條規(guī)則是在全局規(guī)則之下，一條規(guī)則是在全局規(guī)則之上！通過我們剛才得出的原理：在“全局規(guī)則”之上的規(guī)則具有更高的優(yōu)先級，所以這個時候我們就可以動手開刀啦！向傲游痛下殺手！~嘎嘎~且看，且聽...

這個時候我們只能在“→★FD-網(wǎng)馬防護(低權(quán)限)㊣”上右擊，不能在下面的規(guī)則上面右擊，為什么？問題出在上面地方？？童鞋們知道么？對了，因為這是我們新建的一個組，那么我們就可以通過剛才新建“組”的方法來修改該規(guī)則，明白了么？如下圖所示：

->->，然后我們就可以修改了！這下明白了吧！~

在“→★FD-網(wǎng)馬防護(低權(quán)限)㊣”上右擊，我們會得到下圖：

這個時候我們可以修改的是“訪問權(quán)限”與“保護設(shè)置”，這里我們強調(diào)下：

1、“訪問權(quán)限”：只的是對該程序訪問其他程序進行相關(guān)的限制！

2、“保護設(shè)置”：只的是保護該程序，防止其他程序?qū)υ摮绦蜻M行非法篡改！

（這里童鞋們必須要明確以上兩點，而且別搞混了??！呵呵~喝杯茶慢慢理解~）

********************************友情提示**************************************

看到下面的圖，童鞋們可別暈菜??！~好戲才剛剛開始...

******************************************************************************

且聽我慢慢道來...

慢慢道來...

慢慢道來...

慢慢道來...

慢慢道來...

下面我們就進行相關(guān)設(shè)置，點擊“訪問權(quán)限”，我們可以看到相應(yīng)的界面：

這里童鞋們注意此圖！下面我們具體講解下AD、FD、RD的范疇！怎么？！忘記了？額~忘記的也太快了吧！趕緊到文章的開頭去看看吧~OhmyGod！...

接下來我們具體的講解下各個名詞的含義，童鞋們也要打起精神來一起學習??！

1、“運行一個可執(zhí)行程序”：顧名思義就是運行一個程序唄！當然，這里包括啟動和創(chuàng)建一個進程！

2、“進程間內(nèi)存訪問”：包括讀取和修改內(nèi)存兩方面！從某種程度上來說是一個非常危險的動作！這里我們舉個簡單的例子：如果木馬kafan.exe進程允許訪問Maxthon.exe（傲游）進程，那么這個時候你猜猜kafan.exe會做什么？額~對了大肆修改...插入惡意代碼...指向黑客指定網(wǎng)頁下載木馬...額~多么恐怖的一件事情??！所以一般來說，還是禁用的比較好！有的童鞋也也許就有疑問了，如果有的程序必須要這樣做，但是我們卻禁止了它訪問內(nèi)存，那么我們該怎么辦?。?！那不是搞大發(fā)了，出問題啦！沒事，我們在開始的時候不是講了D+的日志么？！我們可以通過查看日志來查看到底問題出在什么地方?。ㄟ@里我們略寫）

3、“窗口或者事件鉤子”：鉤子的作用是截?。ㄖ噶?、信息、數(shù)據(jù)），那么可想而知后果就是竊密、盜號，劫持等！鉤子通常是dll文件，所以我們可以通過對dll文件的保護來達到防御部分木馬的效果?。ㄟ@里我們略過，目前的介紹還沒到那個階段，別急！呵呵~）

4、“進程終止”：是指允不允許相應(yīng)的程序去結(jié)束其他的程序！一般來說，誰會做這種事情呢？額~除了cress.exe、冰點、Xt等！~如果一個程序A無故的將B結(jié)束掉，而且A又是一個未知程序，你想想是一個什么樣的情形呢？呵呵！所以，一般來說還是不允許的好！~

5、“設(shè)備驅(qū)動程序安裝”：額，沒事誰會安裝驅(qū)動呢？除了安裝新的驅(qū)動程序或者安裝監(jiān)控類軟件會安裝驅(qū)動外，還有啥東東會偷偷安裝驅(qū)動呢？對了，病毒木馬等！所以，對于一般的程序還是阻止該選項吧！

6、“窗口消息鉤子”：指的是窗口消息，一般來說是沒什么危害的！

7、“受保護的COM接口”：程序通過COM接口使用相關(guān)組件，可以關(guān)閉系統(tǒng)、修改系統(tǒng)時間、調(diào)試提權(quán)、后臺調(diào)用IE等進程偷偷上傳、下載...

8、“受保護的注冊表鍵值”：都已經(jīng)允許該程序訪問受保護的注冊表了，那它還不是想干什么就干什么?。『呛莮知道該怎么做了吧？阻止吧...

9、“受保護的文件\目錄”：和上面注冊表的情形一樣！如果受保護的文件\目錄都可以隨意修改、刪除、創(chuàng)建，那么系統(tǒng)還有什么安全性可言呢？那還不是隨便搞搞就把系統(tǒng)搞癱啦！至于什么賬號啦、密碼啦就更不在話下了！小Case...

10、“本地環(huán)回網(wǎng)絡(luò)”：因為其輸入AD范疇，也就是說這個是與網(wǎng)絡(luò)有關(guān)的應(yīng)用程序保護范疇！簡單點說某個文件搞了很多小動作然后想偷偷的訪問網(wǎng)絡(luò)，你說怎么辦？直接阻止就OK了，不多說一句廢話！~

11、“域名解析客戶端服務(wù)”：這個說不大清楚，指的是域名解析活動...(額，自己百度下)

12、“內(nèi)存”:一個接口允許在特定的內(nèi)存地址中存放一定量的數(shù)據(jù)，如果某個程序大量的占用、寫入數(shù)據(jù)怎么辦？額...結(jié)果就會導致緩沖區(qū)溢出！再然后呢？系統(tǒng)被迫執(zhí)行某些惡意代碼...對于不了解的程序能禁止就禁止，萬一一個不小心搞錯了怎辦？好辦??！童鞋們難道忘記D+的日志？！對了，我們通過查看日志來確定問題出在什么地方，然后作出相應(yīng)的修改就可以了！~呵呵聰明吧！~（學會看日志非常的重要...）

13、“屏幕監(jiān)視器”：一般來說截圖工具和一些游戲會用到，如果這些功能你都不使用，那么所有的一律禁用！

14、“磁盤”：？除了wmiprvse.exe和磁盤清理、碎片整理工具外，其余的一律阻止！

15、“鍵盤”：鍵盤記錄器大家都不陌生吧？偷偷的記錄你的賬號和密碼！當然除了病毒\木馬會干這些勾當外，一些正常的程序如Word、瀏覽器中輸入賬號信息什么的也是需要允許該項目的，所以這里就需要童鞋們慢慢的打磨啦！呵呵~

啰嗦了這么長時間，下面我們就來具體的操作下，讓童鞋們更好的感覺感覺！呵呵~

從圖中我們可以看出，這個權(quán)限可是夠低的了！當然，細心地童鞋們還是能看出來一個非常嚴重的問題的！那就是為什么允許其允許一個可執(zhí)行程序呢？額！相當危險的?。?！別著急，聽我慢慢道來！

這里只有“詢問”和“阻止”兩個選項，所以安全性還是可以的！接下來童鞋們也會發(fā)現(xiàn)后面有個“修改”，這是啥東東？！好，現(xiàn)在我就帶著大家去解開其神秘的面紗！~

仔細看下圖，我們會發(fā)現(xiàn)這里有“允許的應(yīng)用程序”、“被阻止的應(yīng)用程序”，有何區(qū)別？

顧名思義，一個允許一個是不允許！簡單點說，利用傲游上網(wǎng)的時候會下載一些東西，這個時候就要調(diào)用迅雷，所以迅雷應(yīng)該放行！其余同理可得！~那么不允許的又是什么情況呢？想必童鞋們都知道網(wǎng)頁掛馬吧？危害非常的大！所以我們這里必須要禁止其訪問臨時文件夾中的可執(zhí)行程序！同時禁止訪問受保護的文件重要的目錄的！徹底封死網(wǎng)馬運行的可能性！

這里我們通過添加一個組（如圖所示），禁止其允許相應(yīng)的程序！這個時候童鞋們會發(fā)現(xiàn)，哇！原來組是那么的有用！當我們要允許或者阻止某些行為的時候，只要進行簡單的添加組就可以完成了！而且并不是機械的重復(fù)再重復(fù)！現(xiàn)在童鞋們知道組是非常有用的了吧！

再看下圖：

對臨時文件夾進行保護，禁止傲游運行臨時文件夾中的可執(zhí)行文件！換句話說，就算網(wǎng)馬偷偷的下載到了臨時文件夾中，但是有了該規(guī)則，網(wǎng)馬也無法運行！呵呵~豈不快哉？！

這只是一個簡單的應(yīng)用，童鞋們可以根據(jù)上面的做法，制定相應(yīng)的規(guī)則，打磨屬于自己的毛豆規(guī)則！呵呵！這可是非常有成就感的事情啊~

那么如果我們選擇了“保護設(shè)置”呢？！又是一個什么情況呢？

接下來，我就帶著大家來領(lǐng)略如何利用規(guī)則來控制應(yīng)用程序的訪問！如下圖所示：

這里就有必要的說明一下，以上這些名詞代表什么含義了！

1、“進程間內(nèi)存訪問”：前面已經(jīng)介紹，這里不再贅述！簡單點說，禁止其他未經(jīng)授權(quán)的程序訪問傲游！安全性提高了不少！

2、“窗口或者事件鉤子”：同上！我們簡單的說下，Comodo和殺毒軟件通過下鉤子對系統(tǒng)進行監(jiān)控，而如果是其他的程序呢？呵呵~不用多想，直接阻止就OK了！~

3、“進程終止”：防止程序被其他程序結(jié)束！比如殺毒軟件等，我們就要對其進行保護，防止進程被未經(jīng)授權(quán)的程序結(jié)束掉！當然，這里（指傲游這個例子）最好添加個排除，那就是任務(wù)管理器！因為萬一傲游卡死了怎么辦？呵呵！~怎么排除？！忘記了么？后面的“修改”，結(jié)果如下圖：

4、“窗口消息鉤子”：可選可不選，沒多大影響！呵呵~

以上關(guān)于傲游的這個例子我們前面也強調(diào)了，這個是在全局規(guī)則之上的，那么究竟什么是全局規(guī)則呢？接下來我就帶著大家來領(lǐng)略“全局規(guī)則”的風采！

在“全局規(guī)則”上右擊（指的是“所有應(yīng)用程序”），然后選擇“編輯”，界面如下圖：

這個時候是不是又出現(xiàn)了這個熟悉的界面？嗯，對的！

這個時候我們就可以根據(jù)前面的知識來自己制定規(guī)則了！但是這里我們必須說明的是：

這一列新手最好別動！

那么到這里也許童鞋們就有疑問了？！既然不能改這里，那怎么自己定義規(guī)則啊？！后面不是有個“修改”么？對了，改的就是這里！

一般來說，剛?cè)腴T的最好只改以下幾個選項：

1、

2、

3、

好，這里我就帶著大家來修改第一個選項“運行一個可執(zhí)行程序”：

這個時候有“允許”和“阻止”兩個選項卡！仿造前面的設(shè)置，我們可以設(shè)置一些我們不希望運行的程序！因為是所謂的“全局規(guī)則”，所以在這里設(shè)置被阻止的應(yīng)用程序是最方便的也是最簡潔的！好，這個時候我們可以看到下面的界面：

我們?nèi)绾翁砑幽兀繉α?，右邊有個“添加”選項，我們可以自己添加一個組就OK了！會新建組、添加組么？如果忘記了，趕緊回頭看看怎么去弄組！呵呵~

【釋疑】這里我簡單解釋下：圖中給出了自己添加的一個組，那么這是什么意思呢？就是全局上禁止*.bat文件運行、全局上禁止*.cpl...等類型的文件運行！比如我們不希望system32下存在exe文件運行（多半是木馬或者病毒），那么我們就可以添加這樣一條規(guī)則：c:windows\system32\*.exe，這條規(guī)則的意思就是禁止c:windows\system32\文件夾下的任何exe文件運行！呵呵~稍微懂點了么？要知道怎么添加保護，具體禁止哪些文件夾中的哪些類型的文件，就必須要簡單的了解下病毒、木馬的一些常用手段！這是后話，現(xiàn)在我們暫時不表！呵呵~慢慢來，不能指望一口吃個胖子嘛！\(^o^)/~

好，這里我再帶著大家來修改第二個選項“設(shè)備驅(qū)動程序安裝”：

一般來說，新手只要阻止autorun.inf安裝驅(qū)動就行了！因為很多優(yōu)盤病毒經(jīng)常會利用autorun.inf偷偷的安裝驅(qū)動！所以，我們可以這樣做：

添加這樣一條規(guī)則：（也可以添加一個自己設(shè)定的組）

【釋疑】這里我簡單解釋下：為什么?:\autorun.inf，因為優(yōu)盤病毒可以感染任何一個盤符，所以我們就用？來代替盤符，代表所有的本地磁盤！明白了么？比如我們不希望kanfan.exe運行！那么我們只要在全局規(guī)則里面添加這樣一條規(guī)則就行了！對了，知道在什么地方添加么？恩，因為exe是可執(zhí)行文件，所以我們是在：

在“阻止的應(yīng)用程序”里面添加規(guī)則：?:\kafan.exe就OK了！明白了么？呵呵，是不是非常簡單?。『昧?，到這里童鞋們就可以自己根據(jù)掌握的知識打磨自己的規(guī)則了！

好，這里我再帶著大家來修改第三個選項“受保護的文件\目錄”：

在前面我們介紹如何添加我們不允許非法訪問的文件\目錄！這里我們再簡單的提下：

----------------------->

然后添加規(guī)則或者自己設(shè)定的“組”就OK了！明白了么？好了，打開：

然后點擊“修改”我們就可以進行相應(yīng)的設(shè)置了！下面我們講解下：

這里我想說的就是我們一般在“允許的文件/文件夾”添加安軟的路徑，比如：

這里面學問大的是“阻止的文件/文件夾”，它的意思是阻止文件\文件夾訪問我們受保護的文件或文件夾，下面我們一起來看看：

這里我簡單的解釋下：（由于是測試，所以這里面的阻止文件很少，只是起到教學的作用）

這里有好幾個組（如果不熟悉建立、添加組的童鞋要多復(fù)習復(fù)習啦！~呵呵）

第一個組的含義：阻止以下文件訪問我們受保護的文件\目錄！

PS：準確的說放在這里有點不合適，呵呵~將就將就理解下吧！~呵呵

第二個組的含義：阻止以下文件被修改、重命名、刪