查看: 14317|回复: 55
收起左侧

[讨论] 简简单单耍豆子

  [复制链接]
柯林
发表于 2017-5-17 10:53:10 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2017-5-18 18:21 编辑

很久没用豆了,昨天装上用了下,感觉还行(64位系统win8.1)——有人说,毛豆杀毒次,其实,有了自动沙盘,杀不杀毒的都可以忽略了(沙盘有阻止运行功能,运行不起来没毛用,运行了入沙也没毛用,再阻止个联网,基本歇菜了),加上强大防火墙,这好用的产品不多!
-------------------------------------------------------------------
这年头,人都时间有限,简简单单用起是最爽的,谁都没工夫折腾——新豆豆不用怎么折腾,简单就好:
1、有自动沙盘就够了,HIPS可以忽略(真的作用不大,付出与收获不成正比)
2、理解清楚新版功能,真的可以求简单
至于怎么理解,理解的对不对,个人抛砖引玉,和豆油探讨下,说得不对之处,你多包涵,毕竟很久不玩。
------------------------------------------------------------------
一、功能预览:(看了图示,已经很全了,HIPS忽略是可以的——自动沙盘就够了)

二、自动沙盘改名叫containment(康塔因闷它),名字啥意思,自己百度下,个人鸟语不好。
理解自动沙盘对日常使用够用,基于两点:一是沙盘靠规则吃饭;二是默认自带沙盘规则已经很牛叉。
理解以上,从沙盘规则入手(基本功能及用法):

图示很清楚,沙盘规则,始终是针对程序而设置(你要限制哪个程序,哪个位置的程序?限制它从什么地方来?哪个用户创建的它们?它的信誉度如何?存在了多少天?),相关细节已经规定得很清晰。弄清楚规则设置,理解默认自带规则,以及自己补充必要规则,就很简单。
-------------------------------------------------
默认规则解读:
1、阻止恶意程序:只要是云鉴定为恶意程序,不管它位于哪里,是哪种格式,由谁创建……一律阻止运行!


2、阻止可疑位置的程序运行(回收站里的程序,毛豆病毒隔离区里的程序,阻止运行):

3、阻止隔离空间里的程序运行(VTRoot文件夹里的程序被阻止运行---注意该位置与重定向的程序所在位置不同):


4、忽略metro应用(系统自带功能--指定程序及位置,忽略--->放行(不管怎么都不入沙)):

5、新落户质疑(不管谁创建的该程序,只要它存在(机子?互联网?)的时间少于三天,无法确定安全的,默认入沙):

6、切断心腹之痛(联网中毒怎么办?插个U盘中毒怎么办?这条管制:凡是不可信的程序,无论来自于互联网、局域网,还是移动磁盘,一律强制入沙):

7、小杂碎管制:(剩下那些杂七杂八的问题,咋办?由这一条进行处理---说实话,这一条我不懂:按照个人理解的沙盘权限继承及管制原则,沙盘只针对父进程,而非子进程,以此解读,这条当为:某个不可靠的程序(信誉未知),所创建的文件,如果包含规则中指定的可执行文件,那么这些文件的执行也将被入沙?(这样解读是不是过了?如果这解读成立,这就是最NB的防网马、恶意代码注入的规则):

8、局域网用户补漏(对于局域网用户,共享文件者,如果共享空间里跑进一个病毒,咋办?——凡是位于共享空间里的不可信文件,一律入沙):

自带规则就这8条,已经很NB,很变态,足以横扫一切常见病毒侵入方式,真的够用了。有漏洞木有呢?有一点:假设病毒有合法签名怎么办?万一验证不严谨,一个疏忽就判白,不就死翘翘?理论上存在,实际如何,未知。从补漏的角度来说,当然可以对此适当加强:
------------------------------------------------------------
补漏规则:如果程序有合法签名(比如网页上下载的病毒,邮件传来的带毒附件,解压缩到临时文件夹里的病毒),以常见途径说,阻断用户路径即可(病毒90%是exe格式,针对exe格式一般就行了,不放心再加上scr文件与com文件,批处理bat做数字签名个人印象中似乎少见,可以忽略)
建组,管制:

引用分组做规则,并把它移动到合适位置(下图桔色框之下)【看流氓程序还怎么后台搞事,呵呵】自己安装使用的程序(比如谷歌浏览器,比如某些游戏,自己添加例外放行)【这条设置,影响程序的安装、卸载,你要安装或卸载程序,需要把该条临时禁用,否则都是虚拟运行】(相关:U盘病毒有合法签名呢?如果它运行后,需要释放病毒体到用户目录下,那也被此条拿住;如果运行后直接搞事,这条也不起作用,看毛豆自带的第5条怎么说,实在太担心,自己补一条移动盘程序一律入沙好了,一般没必要如此大惊小怪)


顺便,防火墙里也引用下做个阻止联网规则(这一下,流氓程序断网了)【某些时候,这一条也影响程序安装,比如需要联网下载安装包的,也需要临时禁用才可以顺利安装程序】

一般这样弄下,就可以了,如果追求更猛的效果(即使木马病毒入了沙,即使盗了信息,也让它发不出去),那就在防火墙的应用程序规则里加一条垫底规则:所有应用程序*的IP协议进出拦截!(看谁还在偷偷联网?---自己需要上网的程序,手动添加允许规则(打开操作界面上的任务/防火墙任务,点击允许应用程序,自己添加就是了)

设置IP协议拦截,有点猛了,一般设置TCP/UDP协议就可以了【喜欢掌控设置询问,讨厌打扰直接设成阻止】:


自己用到的程序放行:方法1、进程表里找到目标添加排除:

方法2、阻止列表里直接添加放行(防火墙阻挡里选“解除阻止”)

----------------------------------------------------

额外:对于经常网购的,把你常去的网购站点(比如淘宝)加入购物保护:


================================
就这么简单弄弄就行!只要不乱移除阻止对象,入沙提示弹窗,不要乱点”信任该程序“,一般不会出啥问题,杀毒可以直接忽视,沙盘+防火墙已经杠杆的(当然有点总是好的)。某些时候,出于安全考虑,可以切换到虚拟桌面使用(非常时候),常规应用,管制好浏览器就行--上不安全的站点,请点击桌面右上角,毛豆浮动框上的入沙浏览器。

小结:新版豆豆真的是大众化产品,基本不用设置,默认都能保护一般人的日常使用安全,随便捣腾下就更好了。
第一次安装使用,病毒库未更新完成前,可能有点不顺畅,一旦更新完毕,就好了。
为保证豆豆功能正常,尽量不要和有冲突的第三方安软同用,一般单用CIS就够了。
初次使用,可能觉得豆豆的分组很乱(确实乱,文件,程序,全弄一堆了),其实,只要仔细看看沙盘里面的规则,就知道默认自带的那些分组,究竟是怎么用了,自己使用起来也就会清晰明了。有需要的时候,根据自己的目的,新建必要的组来加以使用即可。

==========================


注意管理:你点击移除阻止的程序,都被毛豆自动添加到沙盘规则库里做了例外允许,如果它是一个病毒,可就栽了!所以,没事的时候,点开沙盘规则库、防火墙应用程序规则,看看,有无不当之处?这就是毛豆的日常使用维护。

---------------------------------
就这样啦!很久不玩,有弄错的地方,请多原谅,并恳请交流。那些拿不准的地方,还得靠大家验证。一起开心嗨皮












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
一下子丫 + 1 赞一个!
sanhu35 + 1 分类很好
YSJ + 1 赞一个!

查看全部评分

一下子丫
发表于 2017-5-17 10:55:29 | 显示全部楼层
本帖最后由 一下子丫 于 2017-5-17 11:19 编辑

沙发围观~,
就是玩游戏神烦,其他还好。
SSL可是comodo主营产业吧?
con16
发表于 2017-5-17 11:03:56 | 显示全部楼层
其實HIPS還是要開,用來保護毛豆本體
最近官網論壇又有人在問CIS自保問題
毛豆也是建議開HIPS自保
柯林
 楼主| 发表于 2017-5-17 11:14:07 | 显示全部楼层
con16 发表于 2017-5-17 11:03
其實HIPS還是要開,用來保護毛豆本體
最近官網論壇又有人在問CIS自保問題
毛豆也是建議開HIPS自保

个人觉得没必要,既然安装的程序已被判白,通常不会出致命问题;如果觉得不放心,有风险,切换到虚拟桌面使用就好了。
feelingdld23
发表于 2017-5-17 12:17:50 | 显示全部楼层
看来win10完全可以单奔cis10了
wg5999
发表于 2017-5-17 12:30:18 | 显示全部楼层
大哥·我要是用毛豆,怎么使用vm虚拟机呢,打不开哦,求教了
柯林
 楼主| 发表于 2017-5-17 12:37:55 | 显示全部楼层
wg5999 发表于 2017-5-17 12:30
大哥·我要是用毛豆,怎么使用vm虚拟机呢,打不开哦,求教了

看看日志拦截了什么?是不是做了HIPS规则?

如果只开启自动沙盘,请点击界面上的”常规任务--解除阻止应用程序“,进去看到虚拟机进程的话,把它解除,再次运行,应该就可以了。
wg5999
发表于 2017-5-17 12:58:10 | 显示全部楼层
柯林 发表于 2017-5-17 12:37
看看日志拦截了什么?是不是做了HIPS规则?

如果只开启自动沙盘,请点击界面上的”常规任务--解除阻止 ...

木有在阻止,我想应该是在防火墙的问题·那里拦住了,但是日志里面没有任何信息,唉,
wg5999
发表于 2017-5-17 13:00:51 | 显示全部楼层
想求老大帮我把把脉···要是老大你能下载 百度,vmware workstation 最新版的测试下,应该就知道我说的问题了,我的QQ 85 888 4 223 谢谢,
柯林
 楼主| 发表于 2017-5-17 13:01:22 | 显示全部楼层
wg5999 发表于 2017-5-17 12:58
木有在阻止,我想应该是在防火墙的问题·那里拦住了,但是日志里面没有任何信息,唉,

你把虚拟机建个组,防火墙规则里全权允许;防火墙全局规则看看,是不是隐身模式不对?重新设置下隐身模式
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:52 , Processed in 0.130624 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表