新版comodo怎么做HIPS规则？

柯林

新版和旧版大同小异，基本的东西，以前的教程已经讲清讲透了，置顶贴里，从U版到局长到月光斑斑等人的教程，已经说得清清楚楚，看完都会整了。想折腾的不要懒，基本的东西先看看。

受困于新版出问题的，多半是HIPS引起，你要用默认的自动沙盘防御，啥问题也没有才是正常的。HIPS究竟要咋玩？这是老油渣，都炼糊了，没啥好说的，有兴趣的自行讨论吧。我简单说点基本的构思，供新手参考。

HIPS搭配杀软用的，规则随便整点就行，杀软在守门，HIPS补个漏把下关就行了。
不用杀软，纯玩HIPS+防火墙的，这个就不能马虎，有大bug死得难看，不是系统虐惨就是病毒快乐。这种情况应该怎么玩？
如果有好的规则，就套用好的规则用吧，人家该排除的排除了，该扎紧的扎紧了，用就行。
如果自己写，遵行一个守则就行：放过安全的，拦截不可靠的。
具体来说，首先就是放过系统程序。进不去系统，资源浏览器崩溃了，系统嗝屁了，蓝屏了，诸如此类的问题，都是系统程序被误拦，规则太霸道，该排除的系统进程没有排除干净的关系。处理这个问题，你要有耐心，就逐一把那些开机必须运行的系统进程都加以排除，最好建立个文件组，把它们加进去，给个合适的权限。以win7为例，建个“开机运行的系统程序”组，把C:\Windows\SysWOW64\svchost.exe，C:\Windows\SysWOW64\rundll32.exe，C:\Windows\System32\dllhost.exe，C:\Windows\System32\WerFault.exe，C:\Windows\System32\igfxtray.exe（英特尔集成显卡），C:\Program Files\Windows Media Player\wmpnetwk.exe，C:\Program Files\Windows Media Player\wmpnscfg.exe，C:\Windows\System32\mobsync.exe，C:\Windows\servicing\TrustedInstaller.exe，C:\Windows\System32\sdclt.exe，C:\Windows\System32\taskeng.exe，C:\Windows\System32\wermgr.exe，C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe，C:\Windows\System32\SnippingTool.exe，C:\Windows\System32\wisptis.exe，C:\Windows\System32\notepad.exe这些东东添加进去，引用到HIPS规则里给个合适的权限，其中svchost.exe可以单独独立出来处理，另外%windir%\explorer.exe必须要有而且直接套“windows系统应用规则”这个预设规则组就行了。
要求简单，采用月光斑斑的思路，直接写条C:\Windows\System32\*.exe的规则就行了（64位系统再加条C:\Windows\SysWOW64\*.exe），权限设置有两种思路，一种是直接放行（相信自己系统干净，系统程序值得信赖），另一种是基本的放行，重点的项目监控（这种方法相对把稳一些），具体制作的过程中，两种思路可以结合起来用。比如说，14个选项，可以考虑如此设置：
1、运行一个可执行程序，你要相信自己系统干净，而且有能力保持系统干净无毒，那就直接“修改”，“允许的文件/文件夹”里填上C:\Windows\System32\*.exe，省得烦人了；你要没把握，或者求谨慎，没说的，保持默认的询问，啥都不加。
2、进程间内存访问：允许，允许它们去访问别个的内存
3、窗口或者事件钩子：允许，如果要求稳，可以用“询问”，点“修改”，“允许的文件/文件夹”里填上C:\Windows\System32\*.dll即可，也可以啥也不加，由全局规则里的所放行的那8个钩子文件来通关，有额外的再临时添加（这种玩法需要注意的是，显卡进程的钩子文件没在其列，可能需要使用学习模式跑一下，自动加上，不然重启系统后可能卡死）
4、进程终止：允许
5、设备驱动程序安装：询问，你要相信系统干净和求简单，就直接允许，要稳妥，就默认询问，这一项极重要，自己拿捏。
6、窗口消息：允许
7、受保护的com接口：允许，都是系统程序，就不罗嗦了
8、受保护的注册表键：询问，毛豆默认列出的注册表监控项目都是高危或重要的东东，一般的系统程序不需要访问，监控为宜。
9、受保护的文件目录：询问，毛豆默认列出的文件监控项目都是重要的东东，一般的系统程序不需要访问，监控为上。
10、域名解析客户端服务：允许，具体网络访问，由防火墙控制，这里放过系统程序。
11、内存：允许，硬件及内存管理程序会访问物理内存，为求减少弹窗，允许即可。
12、屏幕监视器：允许，系统程序还不允许读屏，玩啥。
13、磁盘：允许，底层磁盘访问，相信系统干净为求清净就允许，求稳妥就询问。这里插句，像%windir%\explorer.exe这个进程如果在这一项上阻止，可能就使用不了右键菜单的格式化磁盘命令了。
14、键盘：允许，系统程序，相信它就允许，要想防止浑水摸鱼求稳妥就询问。
这样写下来，32位系统一条C:\Windows\System32\*.exe的规则搞定，64位系统再加一条C:\Windows\SysWOW64\*.exe的规则搞定，加上毛豆自带的“windows系统应用程序”组和“windows更新应用程序”组，再加一条%windir%\explorer.exe的规则，系统方面就搞定了，可以不嗝屁不打嗝地进系统了。
那么安全性怎么保证呢？这样是不是权限放得有点大呢？想求稳，那就补漏堵缺。重点两个，防止非法钩子钩到它们头上，防止不可信程序侵入它们的内存。打开C:\Windows\System32\*.exe的规则，做自保（点“保护设置”，“进程间内存”，“激活”，“修改”添加：C:\Windows\System32\*.exe，%windir%\explorer.exe，comodo互联网安全套装；“窗口或者事件钩子”，“激活”，“修改”添加：C:\Windows\System32\*.exe，%windir%\explorer.exe，comodo互联网安全套装，C:\Windows\System32\*.dll；“进程终止”，“激活”，“修改”添加：%windir%\explorer.exe，comodo互联网安全套装；%windir%\system32\csrss.exe，%windir%\system32\winlogon.exe，%windir%\system32\taskmgr.exe），这样设置，虽然很强，但要是有遗漏，可能开机卡住，需要进安全模式手动调整。
如果你在C:\Windows\System32\*.exe的规则第1项，添加了允许运行C:\Windows\System32\*.exe的规则的话，为了防止被其它程序滥用，可能需要考虑在全局规则上添加例外阻止运行C:\Windows\System32\*.exe，实际使用中，如果你自己安装使用的某个程序需要调用System32下的某个程序被全局规则的这一项拦截了，需要根据日志添加规则排除。
搞定系统程序，再把自己安装使用的程序放行，“放行安全程序”就算了事了。这个有三种方法，一种是程序分组，各个组分别套用不同的预设规则；一种是直接默认，啥也不管，由全局规则来询问弹窗做回答添加规则；一种是先做个基本放行（不是太重要的项目放掉），剩下的监控。以最后一种方法为例，打开HIPS规则，写一条C:\Program Files\*.exe的规则，2、4、6、7、10、12、14允许，其它询问，其中第7项com端口你要做细的话，就保持询问，例外里添加允许访问的com端口，第14项你要监控也可。
剩下的就是“拦截不可靠的”。玩法两种：一个直接由全局规则来弹窗确认，进行拦截；一个是预防拦截点自动阻截。后面这个怎么玩呢？病毒两大来源，移动磁盘与网络，阻截掉这两个再论其它。
文件评级--文件组，新建一个组“移动磁盘”，写上移动磁盘可能的路径，比如，你机子上有C盘、D盘、E盘，光驱F，移动磁盘路径就是：G:\*,H:\*，I:\*,J:\*,K:\*,M:\*；到HIPS规则里引用这个分组，配给“被隔离的应用程序”这个预设组；如果不放心，再加一把锁，在%windir%\explorer.exe的规则第1项运行一个可执行程序里，例外添加阻止：移动磁盘
网络威胁，两方面，一个是上网程序下载病毒，一个是上网程序直接变“毒物”。前者的防御，浏览器缓存、下载目录、临时目录，这些地方禁止运行程序；后者的防御，尽量剥夺上网程序的权限，不可以触碰危险项，例如安装驱动，访问物理内存，底层磁盘等。二者结合，直接对上网程序做规则，第7项控制com接口，第8项重要的注册表例如自动启动等直接阻止，第9项禁止创建“可执行文件”（这一项会很麻烦，首先，浏览器和迅雷等下载exe文件不可以了，如果你要从网上下载exe格式的安装包，浏览器或迅雷等下载工具做规则允许创建exe文件的目录路径；然后，某些程序运行时，会创建exe文件到临时目录，这个阻止也不影响运行的可以不管它，否则加例外，有些程序会修改自身目录下的dll文件，需要加例外），禁止访问“重要的文件目录”（这一项也可以在全局规则上阻止）
这样搞一搞，算是基本完工了，试试开机关机、运行常用软件，是否没问题，没问题可以告一段落。需要扎紧口袋的，可以全局规则上阻止高危项目（这个玩法，一定要在排除干净系统程序的基础上进行，否则开不了机、蓝屏，就是玩坏了自己，不如默认全局监控的好）。使用全局询问监控的新手，一定要注意，第一危险的东东是第5项安装驱动，驱动一加，什么都浮云了，不是绝对可靠程序绝不允许！其次就是2和3，程序内存被控制，钩子一注入，就可以控制傀儡干坏事了；然后是物理内存与底层磁盘，不明程序坚决阻止！接着就是7、8、9，不可靠的程序，尽量不允许访问就是。控制了这些东东，机子的安全就基本掌握在自己手里。
最后，回头审视，有无漏洞与BUG，有的话，该补的补，该堵的堵。HIPS大概就是这么个玩法，老鸟都懂的，新人多玩玩就熟能生巧了。
像这么一套整下来，基本算是完备了，有木有？如果有遗漏呢，譬如脚本文件bat与VBS呢？好吧，假如一定要求密而不漏，那就试试再加两条。
*.BAT，自定义规则，2、3、5、7、8、9、11、13阻止，其余询问
*.VBS，自定义规则，2、3、5、7、8、9、11、13阻止，其余询问
以上两条，是否起作用，请自己弄脚本文件测试，如果宿主程序cmd.exe与Wscript.exe在搞灰机，自己补漏吧。
这么弄下来，算是完备了，百毒不侵了吗？no！遇上全盘破坏文件的批处理或病毒，你会死得难看的，因为你没做全盘文件保护嘛。有莫必要做呢？加上全盘保护，规则会变得复杂，排除项增加，安全系数高，自己取舍。
还有一个，纯手动HIPS的硬伤——安装程序啊！平常防得再好，安装个鸟东西进来，系统的纯洁性没啦。这问题，对策有三：一个是规则极端严厉变态，毒物进了机子也是废废；一个是上官网下载极度纯洁的程序来安装；还有一个就是所有人都可以使用的手段-查查：自备俩东东PCHunter与绿色大蜘蛛，不放心就拉出来扫扫。

个人工作忙，没时间和兴趣折腾了，一点想法，大致的框架性的东西，说出来交流下，给需要的参考，有说得不对的地方，还请大家谅解。喜欢折腾的有什么想法，请展开讨论吧。

ps：近来事多，忙起来了，会少上论坛，呵呵

YSJ

规则，我还是用默认的+增强点，少折腾，少操心 才是比较好的

z2009

看了头晕，我还是默认吧

韭菜

请教个问题，阻止的入侵记录里满满都是这个，有什么解决办法，或者怎么看日志时排除这条。

缺缺

惭愧啊，本人比较懒基本上没精力去打磨一个程序一个程序的加规则，自V3以来都是用论坛里的规则然后修改路径套用排除 ,毛豆不像MD和EQ弄规则相对于简便而且直观，还是自己懒，，，
V7以后基本上都没有什么规则用了 所以默认多，我都觉得要打磨还是尽量512新版的HIPS真的只是辅助了，，，
不过谁有新规则如果好用我也会试试的，柯达有空出一个默认套用的呗，基本上你那几个教程贴设置就够了，好多人跟我一样懒，很少会去看了研究基本上有个规则出来套用就行了！

缺缺

韭菜 发表于 2015-5-6 19:50
请教个问题，阻止的入侵记录里满满都是这个，有什么解决办法，或者怎么看日志时排除这条。

， syntpenh.exe     cis.exe  这俩，，，找到你HIPS规则里的访问进程的这个在访问内存里面排除就行，，，
懒规懒，，最基本的排除如果都不弄，很头疼的，，，

韭菜

缺缺 发表于 2015-5-6 21:56
， syntpenh.exe     cis.exe  这俩，，，找到你HIPS规则里的访问进程的这个在访问内存里面排除就行，， ...

是阻止syntpenh.exe 访问 cis.exe内存的意思吧？

如果是，已经加上还是有这个消息

缺缺

  不是阻止额是允许的文件， 允许访问CIS.EXE 。但是排除要看进程和运行的软件，一般在应用软件运行正常的情况下通常阻止的一些特殊动作能阻止就阻止，比如浏览器的一些操作，如果不熟悉进程操作就要多用搜索了！
  

柯林

韭菜 发表于 2015-5-6 22:57
是阻止syntpenh.exe 访问 cis.exe内存的意思吧？

如果是，已经加上还是有这个消息

comodo的日志，只记录阻止的信息，你设了阻止，它阻止了，然后记下信息，很正常。忽视日志即可。

柯林

缺缺 发表于 2015-5-6 21:54
惭愧啊，本人比较懒基本上没精力去打磨一个程序一个程序的加规则，自V3以来都是用论坛里的规则然后修改路径 ...

没时间，也没兴趣搞这个，让有兴趣的人去搞。

以我个人的观点，现在弄这个已经没有意义。毛豆再不是最初那个纯靠手动HIPS来防御的毛豆，而是包含云和智能防御为一体的杀软套装，已经转行为智能杀软。它的杀毒和云不是吃素的。一般人你一年到头遇得到几个毒？这些毒，基本上会是99%的几率被本地病毒库与云联手干掉，连沙盘都没多少机会出手，更别提防火墙了，所以官方默认防火墙自动允许安全的程序联网窗都不弹一个。这种情况下，HIPS有多大意义？