【阅读前的重要提示】

本文主要针对对操作系统和反病毒知识有一定了解的计算机爱好者交流所创作，E文比较苦手及对操作系统知识没有足够基础的朋友，建议无视，以免浪费你们的时间；对一些操作系统老手，为方便阅读，本文对部分英文进行了翻译，翻译得如果不当请见谅……

【引子】

卸载毛豆个人防火墙安装毛豆CIS后（强烈鄙视煤球没提前介绍，导致我多做了无用功），想看看它的D+究竟有多强。就从测试冰刃主程序（有SYSTEM权限，毛豆会不会察觉呢？）的运行说起吧。

【前期准备工作】

首先必须修改对毛豆CIS的相关设置，以使毛豆监控更加全面和敏感：

1、运行桌面上毛豆CIS的快捷方式（缺省安装的话，则为“COMODO Internet Security（毛豆互联网套装）”），显示出毛豆CIS的主界面：

图1：

1.JPG (91.70 K)

2008-10-26 21:32:41

2、单击“MISCELLANEOUS（杂项）”，再单击“SETTINGS（设置）”，按下图做好设置（勾选项目后，单击“APPLY”使修改生效，下同）：

图2：

2.JPG (90.97 K)

2008-10-26 21:32:41

图3：

3.JPG (27.56 K)

2008-10-26 21:32:41

3、单击“DEFENSE+（防御增强模块）”，之后单击左侧窗格的“ADVANCED（高级）”：

图4：

4.JPG (102.21 K)

2008-10-26 21:32:41

图5：

5.JPG (90.94 K)

2008-10-26 21:32:41

4、单击图5中的“DEFENSE+ SETTINGS（防御增强模块设置）”，完成如下设置：

图6：

6.JPG (40.47 K)

2008-10-26 21:32:41

图7：

7.JPG (48.53 K)

2008-10-26 21:32:41

【操作实况】

现在开始。让我们给冰刃主程序加载的活动来一层层剥皮：

5、找到冰刃软件：

图8：

8.JPG (32.14 K)

2008-10-26 21:36:56

6：双击冰刃软件文件夹后，毛豆CIS立刻弹出对话框，说冰刃是病毒，汗（冰刃：你毛豆CIS权限已经很大了，看我权限大点就不顺眼么？别窝里斗行不……）！注意这里要单击“Ignore（忽略）”后，选择“Permanently（永久忽略）”，否则这个对话框永远也不会消失，晕……：

图9：

9.JPG (72.14 K)

2008-10-26 21:36:56

7、双击运行冰刃主程序（这里要注意对图中标记进行相关设置），对所有确认对话框一律在勾选“allow the request(允许此请求)”项目后，再单击“OK（完成）”（恭喜你，噩梦开始了……）：

（1）释放驱动映像文件c:\windows\system32\drivers\isdrv122.sys：

图10：

10.JPG (109.24 K)

2008-10-26 21:36:56

（2）创建受保护的注册表启动项（驱动程序）：

图11：

11.JPG (107.49 K)

2008-10-26 21:36:56

（3）创建上述驱动程序的下级注册表值项“type”：

图12：

12.JPG (107.69 K)

2008-10-26 21:36:56

（4）创建驱动程序的下级注册表值项“Error Control”：

图13：

13.JPG (107.93 K)

2008-10-26 21:36:56

（5）创建驱动程序的下级注册表值项“Start”：

图14：

14.JPG (107.92 K)

2008-10-26 21:36:56

（6）创建驱动程序的下级注册表值项“Image Path”：

图15：

15.JPG (107.95 K)

2008-10-26 21:36:56

（7）在安全模式的注册表项下创建驱动程序映像文件的注册表项：

图16：

16.JPG (108.28 K)

2008-10-26 21:36:56

（8）通过将驱动程序注册为设备驱动的方式（内核驱动），获得系统最高权限：

图17：

17.JPG (115.50 K)

2008-10-26 21:36:56

（9）创建驱动程序的下级注册表子项“Enum”：

图18：

18.JPG (107.81 K)

2008-10-26 21:42:03

(10)冰刃主程序icesword.exe运行完毕，出现大家久违的窗口。

图19

19.JPG (99.22 K)

2008-10-26 21:42:03

【总评】

1、只有在第4步将“defense+”设置为“Paranoid Mode(偏执狂模式)”之后，才能领略到步骤7中暴风骤雨般弹出对话框的魅力，其他模式下，弹出对话框数量将随着“Defense+ Security Lever（D+安全级别）”的变低而出现锐减。当然，如果设置过低的安全级别，虽然你方便了，但对冰刃主程序加载后在系统里究竟干了什么，估计仍然一头浆糊，因此说，求知的人只能选择迎难而进，方能获得比一般人更多的知识和经验。

2、在步骤7中，我对冰刃创建和修改系统注册表相关键值进行了一些个人的解释，限于个人水平，一些解释可能不当，如有发现，请与本人联系纠正，顺便提前感谢一下。

3、从步骤7来看，毛豆CIS在冰刃主程序运行后生成映像文件、生成或修改注册表键值、极高进程权限提示方面实现了全面监控，基本做到了滴水不漏，本人也深深为之震撼（可能是头一次认真研究HIPS软件的缘故吧，不过毛豆表现的确让人满意）。

4、结合本文联想一下，如果你想对一个不熟悉的程序甚至病毒进行研究，除了解正常程序或病毒的加载内容，还可以在适当的时候选择“Block the request”的话，可阻止病毒的继续伤害，因此毛豆是一个不错的选择。但如果被研究的对象是可疑文件甚至恶性病毒，建议在虚拟机或其他还原软件下运行，否则可能对操作系统造成致命伤害。

【注】

本文是本人第一次耐着性子研究HIPS软件的肤浅体会，为了第7步所有截图我被迫重启十多次电脑（系统自带画图程序会被毛豆提示对话框屏蔽，所以不能连续截图，只能重启电脑使冰刃驱动加载复元后，再重新截图），且亦属于个人心得。如需转载请注明本文作者为卡卡论坛的“超级游戏迷”；