【拨乱反正】关于智能易用的comodo新版的一些误会和错误认识的澄清

柯林

●5.8卡机：只要不是软件冲突和错误设置，根本不会存在卡机问题。我从win7到xp上，从未遇过。

●5.8卡网速：跟上面的卡机问题一样，根本不成立。5.8之前的版本还推荐毛豆的DNS，5.8已经不推荐了，绝不会存在卡网问题。

●5.8是个半成品：这是一个偏激的认识，我本人就有过这样的看法，事实上是不正确的，5.8正式版确确实实是正式版，而非beta版。有些问题，是由于我们的认识不对和错误设置产生的，与毛豆无关。

●D+非得疯狂模式不可：事实上没有多少作用。在启用沙盘的情况下，病毒及恶意程序被沙盘自动隔离，疯狂模式作用的对象是信任文件（正常程序），这是自我为难。在禁用沙盘的情形下，D+全局规则的作用发挥，主要是依据受保护文件的名单进行监控的，如果不补强受保护名单，疯狂与安全并无多大区别，而补强受保护名单的情形下，疯狂与安全基本上差不多。无论是对沙盘还是自定义规则而言，对于一个依照规则办事的HIPS来说，受保护内容就是它办事的规则依据。

●沙盘没多大用：这是错误的。沙盘的作用体现在两点：一是自动隔离病毒，全盘监控，实现安全与易用的智能化。二是对入沙程序的权限进行了剥夺和限制，让它产生危害的可能性大大的降低（手动自定义需要制定一大堆规则才能完成对程序的权限进行限制，对入沙程序指定一个权限级别就解决了）。一些极个别的特例的样本行为，其实与沙盘无关。

●禁运是致胜法宝：不错，站在一个傲视样本的角度来看，禁运很管用。但是，换一个角度来看，其实是一种假象，一种自我欺骗。难以解决的问题是，使用禁运策略时，只能把未识别文件当作病毒拒绝访问，而其中，可能包含着一些被误判的文件，使用这种策略，将使一些背景和名气不够显赫的程序无法运行。潜在的风险是，当你下载卡饭的病毒样本测试时，你知道这是病毒，当你从别处下载一个文件时，你根本不知道它是不是毒，一旦用户急于想运行它一下而移动到信任区，是毒的话，悲剧可能就产生了。禁运实际上不是根本的解决之道，限制乃至于准确拦截，才是正确的方法。所以，千万不要轻视沙盘的作用，在开启沙盘的情形下，如果云验证和杀软都不能确诊它是个病毒，最起码还有个最后防线——沙盘来限制和隔离。

●5.8的墙是抽风墙：其实不是墙抽风，而是像我这样的人脑袋抽风，没有真正认识5.8的墙。

●5.8的墙不受用户控制：这是严重离谱的说法，俺就是这胡话的挑头者。实际上，5.8的墙，采用了新的玩法。为了追风——像NIS等防火墙一样达到安静不扰民的效果以博取无知小白的好感，毛豆采用了和NIS等极大多数防火墙一样的做法——对验证为安全的正常程序的网络行为默认放行。要禁止毛豆使用这种默认设置，很简单，删掉防火墙应用程序规则里的所有规则，就会激活毛豆墙的询问机制，无论是采用安全模式还是自定义规则模式，都一样的跳窗询问【具体弹窗情形请参看61楼】。这个时候，需要注意，如果你不想被太多弹窗打扰，可以不点开弹窗上的“更多选择”；一旦点开“更多选择”，你将面临两个选择，要么把程序信任为某个预定义规则来终结弹窗，要么面对无尽的追问——就算是对同一个端口的访问，只要IP地址不同，就会继续追问（实际上这个用处是在极高安全需求的时候对访问地址和端口等参数做精确控制）。
【当你在防火墙设置里勾选“创建安全程序规则”，则弹窗询问会在防火墙应用程序规则里添加信任文件的网络访问规则】
【防火墙行为设置－不显示弹出的警告窗口与后面的允许连接与阻止连接的设置，是对沙盘里的程序的网络访问的规定】

●毛豆经常拦截正常程序：这是不可能的。导致一些名气小（对于毛豆而言名气小）的程序被拦截，实际上是由毛豆安装程序自带的黑白名单收录量有限，而断网运行程序又隔绝了联网验证造成的。解决方法有两个——1、联上网络后，打开D+，点击一下“受信任的文件”；2、先装毛豆，然后在联网的情况下安装你的软件，如果是正常的通过验证的程序，安装完毕，你会发现毛豆已经把你的程序的文件添加进了信任列表（两个小方法，随你喜好选一个）。【对于断网下被投进“无法识别的文件”列表里面被“误判”的文件，不用生气，联网后选中它，点击“查询”，自会联网验证，安全程序会自动移动到信任文件列表】

●白名单很讨厌，信任程序无法无天：这是夸张。跟杀软一样，经审查不属于病毒、木马、恶意程序的文件，当然是信任放行。绝大多数的程序都是良民，极个别有小动作的程序，你可以在D+里制定规则进行管束，只要你的规则存在，白名单的效力自动往后排。毛豆的云时刻监视着计算机里文件的变化，真有信任文件中途变质的，会被逮到，可以放心。

●毛豆套装病毒库更新很慢且经常失败：貌似已成历史。昨晚我装的5.8，八十多兆的病毒库，二十分钟左右就更新完毕，一次完成无错误。

●其他：暂时就这些吧，有想到和需要补充的，请大家完善。

俺只是一名菜鸟小队长，跟着广大菜鸟一起拿个软件来用一下，发表点意见，可能瞎猫碰死耗子蒙对了，也可能瞎子敲鼓胡编乱唱。上面所说的一孔之见，你也就权当一听，对与不对还得你亲身验证和辨析。如果发现说错之处，还请你及时告知，以便改正。

ghfujianbin

柯大说的很中肯 支持一下

紫涵

安全模式下，就算把防火墙里的程序规则全部删除，对于信任的程序也不会跳窗。

柯林

紫涵 发表于 2011-11-25 09:31
安全模式下，就算把防火墙里的程序规则全部删除，对于信任的程序也不会跳窗。

我昨晚试过会跳

myzuzong

紫涵 发表于 2011-11-25 09:31
安全模式下，就算把防火墙里的程序规则全部删除，对于信任的程序也不会跳窗。

不过当信任程序运行在沙盘内时，会弹窗。这样就能够控制恶意程序利用信任程序联网的问题，又避免了每次都要确认信任程序正常联网的问题。

紫涵

柯林 发表于 2011-11-25 09:36
我昨晚试过会跳

可是我的程序规则里面没有一个我现在用的软件的规则，但是他们都能连网。

紫涵

myzuzong 发表于 2011-11-25 09:36
不过当信任程序运行在沙盘内时，会弹窗。这样就能够控制恶意程序利用信任程序联网的问题，又避免了每次都 ...

当你的信任的程序有了规则后，就不会再跳窗了，无论他是不是被病毒调用。

myzuzong

紫涵 发表于 2011-11-25 09:38
当你的信任的程序有了规则后，就不会再跳窗了，无论他是不是被病毒调用。

我说的正是没有规则的情况。

footman

支持下。

在开启沙盒的情况下，在FD和RD分别添加?:\*与*进行全局保护，这样沙盒就更安全了，而且对信任软件也不会真加弹窗的。

柯林

紫涵 发表于 2011-11-25 09:31
安全模式下，就算把防火墙里的程序规则全部删除，对于信任的程序也不会跳窗。

再次验证，会跳，我现在就是安全模式：