分析自己的D+日志.pdf

comodo 的 D+日志系统相信很多人都会用，但是还有些 Fans 对日志理解还不是太强，还对日志系统运用的不 熟或者惧怕出错而不看日志。因为 Fans 提出的相关问题也给我一个提示，如何来让 Fans 利用日志更快的定 位程序异常情况，从而有效的使程序正常运作。这就是今天我要说的地方。此次说明为大体说明，很多不 同类型的日志事件行为在这也无法一一说明，给的是个方向、方法。comodo 还是要通过自己的学习来加深 理解。我们先来看下自带帮助文件中关于 D+日志的一段说明：The Defense+Events area contains logs of all actions taken by Defense+.A Defense+Event is triggered whenever an applications behavior contravenes your Computer Security Policy.(For example,if a particular application makes an attempt to access another applications memory space,modify protected files or the registry etc).“D+事件”区包括由 D+执行的所有动作日志。无论何时一个程序行为违反了您的计算机安全规则时将触发 一个 D+事件。（例如，一个特别的程序试图访问另一个程序的内存空间，修改保护的文件或者注册表键等）。其实帮助文件说的清楚了，D+记录的是违背安全规则的事件，是程序规则中非允许的相关事件。看下日志图 下面主要将的是对“action”（行为）做较为详细的讨论 先看下各个 action 大体对应的规则项（注意：给出具体项不代表日志中的 action，只是给出对应关系，不 要误解）上一图为日志事件 下一图为对应规则项 还有几项就不列出了，注意直接键盘访问、直接截屏访问、直接鼠标访问等重要的行为，见到这些要格外小心。对于一些“action”你会发现它不变化，而有些，看很相似如 这两种“action”有什么区别？我们来做个简单的试验 在 D 盘根目录下有个 aa.doc 文件，保护它（添加到“我保护的文件”中）用一个 TXT 文件来删除它，得到一个日志记录 此时可以看出“action”为“modify file”换个方法，将 aa.doc 放入“我隔离的文件”中去，然后用同样的方法来删除它并得一个日志 删除失败得到一个日志记录 这时“action”为“block file”这两个试验的效果是一样的，只是日志事件的行为不同，是不是有所启发呢！一个试验不放心，再来个小试验 手动删除 bb.doc 文件，看下图 日志记录为“modify file”再将 bb.doc 放入隔离文件中看看情况 删除看日志 好了，这是程序对文件的访问权限的设置不同导致日志事件的“action”也不同。就字面意思来说，一个是“修改文件”一个是“阻止文件”。可以看出“modify file”阻止事件是通过保护文件的方式来实现的，是程序对保护文件进行相关权限的操作时产生的。而“block file”说明是程序对隔离文件操作时产生的日志事件。虽然这两种方式可以表达出同一结果（如上面的例子，都无法删除相关文件），但是根据它们的行为进行区分，这样可以更快的来找出程序异常的原因。下面附几张恶意软件清理工具所生成的日志。以下就列出 3 款工具：360 安全卫士、金山清理专家、windows 清理助手。comodo 中有相应的黑名单（可以查看局长的“毛豆通缉令-FD 黑名单”http:/ 360（扫描引擎是 360 自带的，没用用安天的引擎）金山清理专家 windows 清理助手 对于一些安软或杀软生成的日志分析，大家还是自行把握，它们的差异性很大。本人不做评论，图片中的只是相关说明。好了，就这么多了，希望 Fans 可以自己来分析自己的日志，这样上手 comodo 就更加快捷。如果没有涉及到的日志类型，大家自己去查看。当然大家也可以跟帖，说下其它类型的日志事件，如 hook 事件有 block hook，install hook。以上内容如有错误请达人指出，谢谢。