水贴---旧观念可以扔了

显示全部楼层 · 发表于 2017-6-6 00:05:00

本帖最后由柯林于 2017-6-6 00:20 编辑

“毛豆必须HIPS，规则设置好了刀枪不入，设置不好，屁用木有……”这样的“神论”经常“回光返照”

童鞋，你可能out了，现在的豆子，真的不需要HIPS与规则，自动沙盘杠杆的——绝大多数软件已能正确识别，入沙不能用的，基本可以扔了（看图示黄线部分---安装在沙盘中的服务都可启用，你还用不了，你是啥子程序？想想都知道）

新版有啥不好？虽然近乎智能傻瓜，其实对用户还是有点要求---毕竟某些时候要弹窗，万一误选可能会有一定隐患（万一的意思，其实它有很多环节检测拦截，能够允许你不入沙的程序，理论上中的概率确实低，可能也就是流氓程序之类的概率大点），要想彻底安心，如上图红框设置看看（直接入沙，不选择，需要例外放行的安装程序之类，自己加规则临时放行，或者把上图红框勾选临时去钩）

同样道理，看图示黄线部分---默认入沙权限（部分限制级别），对于沙盘内安装的服务之类都可以使用，说明限制得不够毒辣，比起纯粹的SB默认设置，过于“人性化”，较真和在乎“铁桶战术”的，自己提高限制级别或补强措施（譬如高危路径入沙，提高限制级别；比如容易“招鬼”的上网程序，设置规则阻止加载或提高入沙限制它创建的可执行文件执行等等……以及防火墙神马的补上，自己折腾），至于每个限制级别有哪些规定和解释，看官方帮助文件吧，可能会有说明（说实话，用毛豆到现在，俺这样的懒人，基本上没看过帮助文件，都是凭”感觉“”瞎搞“）

=============================================
习惯还算正常，环境不是太怪的人---普通用户，说真的，如果没有太好防毒工具可选，comodo好好的，装上就用，默认设置就可以---自动沙盘很好，无须强求HIPS与规则；环境太异类，习惯非一般---喜欢下载和使用大量的破解工具、小众软件、黑作坊产品……然后又嫌入沙不爽、这限制那限制烦的，毛豆不是好选择是对的----何必要为难自己？

=============================================
效果：这个看你的“德性"与”偏好“，在乎查、杀的，毛豆不是强项；在乎”防御为主，查杀为辅“的，毛豆是优选---病毒入沙废，勒索神马的天然克星，至于是否有”漏“---比如某些入沙后的程序”搞怪“，看上面的图和原因----默认入沙”部分限制级别“可能管制不够严厉。

除却以上和bug，系统方面的锅，就不用费神了，哪家都一样---系统废了，软件也over，不易之理，打补丁、升级系统才是正道。

显示全部楼层 · 发表于 2017-6-6 01:16:53

同意，現在安全防護除了AV偵測那邊主要就是自動入沙，一般人夠用了
新手除了用默認設置，我想主要就是學在"protected data folders"加入自訂項目，以及有需要時在VTRoot找回入了沙的檔案

显示全部楼层 · 发表于 2017-6-6 06:56:02

我现在用COMODO，就是开着HIPS同时开着自动允许所有请求
只是加几条规则限制一下部分文件

显示全部楼层 · 发表于 2017-6-6 08:50:21

闪电战发表于 2017-6-6 06:56
我现在用COMODO，就是开着HIPS同时开着自动允许所有请求
只是加几条规则限制一下部分文件

这样也没多大用处，如果要用HIPS，最起码做两点：
1、加全局阻止规则，拦截高危动作，至少如加驱与安装钩子，一律拦截，特别安全的或不得不用的，再酌量放行添加例外。2、comodo做自保，禁止无关程序访问毛豆内存，禁止无聊程序安装钩子到毛豆身上，禁止结束毛豆进程。
至少加以上两点，HIPS才真正有点用处。如果再稍微多弄一点点，比如FD控制规则，乃至于一些AD高危阻断（按分区授权简单几条规则就可以匹配不同位置的程序，做出明确分级），效果会更好。

显示全部楼层 · 发表于 2017-6-6 08:56:47

一般用户不主动往毒窝里钻的平时也就遇到个盗号木马、篡改主页的恶意软件什么的，毛豆沙盘完全够用了。这次勒索病毒虽然传播面广了点，不过是上了永恒老司机的车，真正的威力其实并不大。

显示全部楼层 · 发表于 2017-6-6 10:24:46

柯林发表于 2017-6-6 08:50
这样也没多大用处，如果要用HIPS，最起码做两点：
1、加全局阻止规则，拦截高危动作，至少如加驱与安装 ...

柯大的全局禁運有點可怕，太折騰了。。
是說COMODO自保我記得官方預設的HIPS規則裡有設置，應該不需要另外設置了。。！？默認允許請求的話我記得HIPS上的自保規則一樣有作用在。。。。

显示全部楼层 · 发表于 2017-6-6 10:39:13

諾言敵不過時間发表于 2017-6-6 10:24
柯大的全局禁運有點可怕，太折騰了。。
是說COMODO自保我記得官方預設的HIPS規則裡有設置，應該不需要另 ...

你看疏了，我说的不是全部禁运，而是择重禁运---加驱与钩子！
众所皆知，驱动一加，神马都浮云！钩子一装，随便注入、监控！（还有个内存入侵，主要就这三大条----内存搞上复杂了，可省略或选择性设置）

显示全部楼层 · 发表于 2017-6-6 10:45:28

柯林发表于 2017-6-6 10:39
你看疏了，我说的不是全部禁运，而是择重禁运---加驱与钩子！
众所皆知，驱动一加，神马都浮云！钩子一 ...

確實看疏了

，原諒我昨晚失眠整夜沒睡。。。

显示全部楼层 · 发表于 2017-6-6 12:47:51

看了这个，觉得comodo的沙盒还不错。有空我使用一下看看。

显示全部楼层 · 发表于 2017-6-6 13:15:00

再一次学习！

[其他相关] 水贴---旧观念可以扔了

本帖子中包含更多资源