（第三季）智能无忧模式（第一版）

柯林

杀毒+HIPS+防火墙+沙盘，HIPS安全模式+防火墙安全模式，全程智能无打扰，禁后台安装、无耻推广，虐一切小毒！

手控安装：想要装软件，就移动鼠标调成“安装模式”；平常就“日常应用防御模式”

具体设置，不说了，一扯一大篇，都是老生常谈，没意义。放上规则（64位win10系统），需要的导入看看

========= 基本用法图示===========
所有操作，就是调整两条规则的位置，就这么简单！
安装程序，更新系统，请调整为“安装模式”：


日常应用，日常看门护院，请保持在“日常应用防御模式”：


如果觉得上面这种调来调去的太麻烦，怕万一调了后忘记改回而失去拦截作用，有更简单的用法：界面上关闭HIPS，安装程序，完毕启用安全模式即可（如果习惯用这种方法，最后那条“允许安装”的规则可以删除）。
同理，如果下载的程序，想要入沙看表现，被规则阻挡，无法很好地跑沙，两种处理方法：其一，调成安装模式跑沙；其二，关闭HIPS右键入沙。
------------------------------------------

附件：（3.29更新）

------------------------------------------------------

关于提高沙盘等级，是导致防御力提高，还是下降？有待探讨。在得出明确结论前，建议沙盘使用默认设置---完全虚拟化（部分限制级别）；默认沙盘规则上，加一条本地磁盘未知程序入沙，就很强了。

HIPS部分，浏览器之类暴露在网络防御前沿的程序，有没必要在HIPS规则上进行降权限制，值得探讨，可以参考以前的帖子（最远可追溯到U版的《打磨comodo做有意义的事》一贴）进行限制。

KK院长

收下了，好东西。

兔兔兔斯基

32位的系统可用不

柯林

兔兔兔斯基 发表于 2016-3-25 18:01
32位的系统可用不

里面有一些64位路径的，可能麻烦

柯林

KK院长 发表于 2016-3-25 16:41
收下了，好东西。

小修订一点

兔兔兔斯基

柯林 发表于 2016-3-25 18:18
里面有一些64位路径的，可能麻烦

哦，那就算了

电脑发烧友

关于直接在名称这里写通配符有用么，求测试？

眼睛贝贝

下载试试看

柯林

电脑发烧友 发表于 2016-3-25 20:39
关于直接在名称这里写通配符有用么，求测试？

你把规则删掉，或者把规则里面设置的东西删掉，看日志记录就知道了

补充下：因为是放出的规则，所以采用相对路径，自己用，用绝对路径就好

其实毛豆默认的分组，都是通配符路径，包括所有应用程序*，既然它们可以引用，逻辑上就已证明，通配符路径可用

猎人

收下，这段时间从卡巴转毛豆单奔了。

qhq

感谢分享，对于懒得自己设的人很实用

柯林

qhq 发表于 2016-3-25 23:16
感谢分享，对于懒得自己设的人很实用

第一版最后更新下，初步就这样，要不要再打磨得细一点，看有无时间再说。

导演AZ

今天什么风  两位大大都推帖子辣

柯林

导演AZ 发表于 2016-3-25 23:38
今天什么风  两位大大都推帖子辣

啥意思？我只是偶然兴起，捣腾下，本来想整个简单智能疯狂模式，整到一半，忽然“醒悟”——弄那么复杂干什么呢，弹窗弹弹弹的没几个人喜欢，就用默认的加把锁，装不上软件，有沙盘全局虚拟，再补强补强，随便怎么捣腾都中不了毒，不就ok了？

导演AZ

柯林 发表于 2016-3-25 23:48
啥意思？我只是偶然兴起，捣腾下，本来想整个简单智能疯狂模式，整到一半，忽然“醒悟”——弄那么复杂干 ...

嗯  有时候人呢 他无聊的时候 就会想折腾 忙的时候 一个弹窗都会让他气的肺都吐出来  要不要来个两套模式    柯大有没有兴趣
今天太晚了  明天下载你的规则 好好学习下

HEMM

柯林 发表于 2016-3-25 23:48
啥意思？我只是偶然兴起，捣腾下，本来想整个简单智能疯狂模式，整到一半，忽然“醒悟”——弄那么复杂干 ...

http://bbs.kafan.cn/thread-2034559-1-1.html
林姐姐~试试这个，沙盘放过了，也布吉岛信誉是肿么了。
应该怎么防御住才能不哭鼻子

柯林

HEMM 发表于 2016-3-26 00:00
http://bbs.kafan.cn/thread-2034559-1-1.html
林姐姐~试试这个，沙盘放过了，也布吉岛信誉是肿么了。
...

它怎么让你哭鼻子了？

矮疙瘩不让下载

柯林

HEMM 发表于 2016-3-26 00:00
http://bbs.kafan.cn/thread-2034559-1-1.html
林姐姐~试试这个，沙盘放过了，也布吉岛信誉是肿么了。
...

已测，屁用没有，就用1楼的规则测的
矮疙瘩不让下载，用IE下载，在下载目录无法运行，解压都解压不出来
挪到D盘上，建个文件夹，解压运行，毛豆入沙，等五六分钟动静无有，重启
检查explorer之类，无异常模块，那个位置，没什么dll，更无什么文件被加密、
纯粹浪费精力，这类测试已经木有什么意义，结果一样的

柯林

HEMM 发表于 2016-3-26 00:00
http://bbs.kafan.cn/thread-2034559-1-1.html
林姐姐~试试这个，沙盘放过了，也布吉岛信誉是肿么了。
...

严谨的测试，应该首先说明环境，然后才是过程与结论，以便让其他人重现，才能得出明确结论。
本人64位win7专业版10586（2016年最新版），单用CIS（8.2.0.4978），1楼所示规则，测试了并没什么卵用，双击自动入沙，病毒体在沙盘内都释放不出来，拿什么来插入？：


系统有健壮系统，有筛子系统，从win98到win10，IE从5.5到11都有，不说明情况，是扯淡。互联网上每天新增成千上万的威胁，样本区那种个人“擒获”的一两个东东，放在大军里面就是沧海一粟的影子，根本就不具有什么代表性，更不具备什么否定意义。从严谨的角度讲，如果是挂马，应该提供挂嘛网址，让相同配置的人，以同样的方式进入，以验证问题，看是否同样中马，是否防御不住是个例还是共性，才能引申出安全警报。否则就随手传那么一个上来，以个体经历宣称“炸了”，这只是具有实验室性质，按流行性威胁论处还早的很。
所以，样本区那些什么包，什么检测率，看看就好。

系统越新越先进，抱残守缺没有出路：

大名鼎鼎的ARK工具都无法加驱，有几个病毒有合法签名可以加驱的？即使可以，规则允不允许还是另一说。没有驱动助攻，病毒能有多NB？剩下也只有钩子和内存访问而已。所以说，抵制win10的童鞋，是不明智的。

柯林

补充楼上，精确拦截点测试，对于产品是否需要细化与提高有意义，对于使用者没有多大意义甚至是毫无意义。

就好比：非法入境者一律关起来，坏事都做不了，还管它挖鼻孔是该罚还是该杀，站着放屁是该关还是枪毙，那是看守所领导愿不愿意“过问”的事，对“墙”外的芸芸大众及其安全毫无意义。