一、关于数字签名文件加入到COMODO 信任软件商的作用 (一)为什么添加数字签名 在运行这些已经列入“safe list”的程序的时候,COMODO 将不会报警而自动生成允许规则
一旦程序的哈希值被恶意软件修改,那么COMODO 也将报警
(二)添加签名与“映像执行控制”报警的关系 以下,我们就来看看 IMAGE EXECUTION CONTROL SETTINGS 通过什么机制报警
先来引用一下“火鸟”版主在教程里的一段对 image execution control settings 的解释: 引用U 版的话“在每一个可执行文件被载入内存前给予验证、提示
程序平时是以文件形式保存在硬盘,在运行时载入内存
我们一般把可执行文件叫做程序的映像(image)
一个进程是一个正运行的应用程序的实例; 进程是进程映像(Process Image)的执行过程,也就是正在执行的进程实体
Image Execution 是对可执行文件载入内存进行控制,会影响 Policy 里的Run an executable” 什么意思呢
就是如果选了 Aggressive,即使你的可执行文件在策略中已经允许运行了,但是 comodo还是会报警提示
在可执行文件尝试加载入内存或缓存时会被 comodo 拦截
normal 就是在可执行文件尝试加载入内存会被 comodo 拦截,但加载入缓存是不会拦截的,这是 comodo的默认设置,建议不要改动
如图: 说明:在“干净模式”或“安全模式”下初次运行程序建立规则或运行已建立规则的程序时,COMODO将计算载入到内存的执行文件的哈西函数,通过对照在 COMODO 收录到“安全列表”里的已知程序和已认可的程序的哈西函数,以负责验证载入内存的每个执行文件
但如果 D+是设置到 Paranoid Mode模式,那么“哈希检测”将无法生效,在程
