一、关于数字签名文件加入到COMODO 信任软件商的作用 (一)为什么添加数字签名 在运行这些已经列入“safe list”的程序的时候,COMODO 将不会报警而自动生成允许规则。一旦程序的哈希值被恶意软件修改,那么COMODO 也将报警。 (二)添加签名与“映像执行控制”报警的关系 以下,我们就来看看 IMAGE EXECUTION CONTROL SETTINGS 通过什么机制报警。先来引用一下“火鸟”版主在教程里的一段对 image execution control settings 的解释: 引用U 版的话“在每一个可执行文件被载入内存前给予验证、提示。 程序平时是以文件形式保存在硬盘,在运行时载入内存。我们一般把可执行文件叫做程序的映像(image) 。 一个进程是一个正运行的应用程序的实例; 进程是进程映像(Process Image)的执行过程,也就是正在执行的进程实体。 Image Execution 是对可执行文件载入内存进行控制,会影响 Policy 里的Run an executable” 什么意思呢?就是如果选了 Aggressive,即使你的可执行文件在策略中已经允许运行了,但是 comodo还是会报警提示。在可执行文件尝试加载入内存或缓存时会被 comodo 拦截。 normal 就是在可执行文件尝试加载入内存会被 comodo 拦截,但加载入缓存是不会拦截的,这是 comodo的默认设置,建议不要改动。 如图: 说明:在“干净模式”或“安全模式”下初次运行程序建立规则或运行已建立规则的程序时,COMODO将计算载入到内存的执行文件的哈西函数,通过对照在 COMODO 收录到“安全列表”里的已知程序和已认可的程序的哈西函数,以负责验证载入内存的每个执行文件。但如果 D+是设置到 Paranoid Mode模式,那么“哈希检测”将无法生效,在程序运行建立规则时,COMODO 将报警每一个程序行为,哪怕在“safe list”里它被认为是安全的。 (三)安全列表(safe list)的范围 收录到“安全列表”里的已知程序和已认可的程序包括: 1、COMODO 白名单“已知”安全的程序; 2、签名添加到“信任软件商”的“认可”程序; 3、在“SAFE 模式”和“PC CLEAN 模式”下,当未被“确认”的程序报警时,作为信任程序(Trusted application)或作为系统程序(windows system application)添加到规则的程序; 4、添加到“my own safe files”里的程序,当某程序添加到“my own safe files”后,那么这个程序包括它的子文件夹的组件,也一起处于“safe list”监视状态中; 在 safe...
