灌水扯淡---简单玩法篇

柯林

图简单省事，自动沙盘就好，再简单，CCAV就行了。

喜欢HIPS，又喜欢尽可能简单，个人看法，可以用简单分组法尝试：
删掉默认自带的扫尾规则，自己写四条新的【注意：在未放行必要程序之前，以下四条不要忙于使用，否则可能蓝屏死机，请先把后面说的放行类规则先做好，再引用下面四条扫尾规则垫底拦截】【确认机子干净，也可以先设置询问，切学习模式或不切，重启让它自动添加必要规则后整理下】
1、高危拦截：引用分组“所有应用程序*”，勾选：内存访问、安装钩子、驱动安装
2、危行拦截：引用分组“所有应用程序*”，勾选：底层磁盘、物理内存、键盘监听、高危注册表、可执行文件改写、危险com项
3、普行拦截：引用分组“所有应用程序*”，勾选：除了第一项“执行程序”外，其余全勾选
4、禁运大法：引用分组“所有应用程序*”，勾选：第一项“执行程序”
【好久没捣腾规则，意思就这么个意思，至于是不是能这样分，用家自己实验了看看，不行的话，还是全部集中在一条上，明白分类看待就行】
------------------------------------------------------------------------------
分类设置后，看上去清爽了，排查原因也就容易。有拦截，当然就得有排除
新建分组1：绝对可靠程序组：杀毒软件之类绝对可靠的加入，HIPS里引用，全部行为放行
新建分组2、允许安装驱动组：允许使用驱动程序的程序加入，HIPS里引用，放行驱动安装
新建分组3、允许钩子安装组：允许安装钩子的程序加入，HIPS里引用，放行钩子
新建分组4、允许程序访问组：允许访问其它进程内存的程序加入，HIPS里引用，放行内存访问【这一条，对于个别程序，可以在它的规则里单独指定允许访问哪些进程的内存】
新建分组5、允许键盘监听组：允许监听键盘的程序加入，HIPS里引用，放行键盘监听
新建分组6、允许物理内存访问组：允许访问物理内存的程序加入，HIPS里引用，放行物理内存
新建分组7、允许底层磁盘操作组：允许底层磁盘操作的程序加入，HIPS里引用，放行磁盘操作
新建分组8、危险com操作组：允许访问危险com项目的程序加入，HIPS里引用，放行危险com项目【此类操作，也可以单独设置】
新建分组9、下载工具组：迅雷之类的工具加入，HIPS里引用，文件操作允许在它的下载目录里创建exe文件【也可单独设置】
------------------------------------------------------------------------------
单独设置类
为简化操作，也可针对system32路径、C:\Program Files路径，放行一些基本的、不属于危险操作的内容
浏览器、下载工具、播放器、聊天工具……根据所用软件，单独写吧，比如要用浏览器下载exe格式的安装包，在其规则里写上允许下载目录里写入exe文件，诸如此类，根据需要放行【由于上面已经使用了分组分类放行原则，危险动作就不用管了，放行普通动作即可】
注意：扫尾规则4，搞了禁运，所以各个程序允许执行哪些程序，还得各自放行【特别是system32路径下的，不放行可能死机，简约化处理直接放行system32路径即可，有时间你要详细规定也无不可】
---------------------------------------------------------------------------
以上所言，是一种玩法，大致上也算有所条理，看得清爽，喜欢折腾的可以参考。除此而外，一般还有两种玩法：
一种就是分类授权，比如浏览器类、下载工具类……归类套用即可
最好最安全最灵活的一种当然是：一程序一规则，详细设定该程序的行为规范，这个需要打磨的时间就长了去了
------------------------------------------------------------------------
以上废话仅供参考，喜欢怎么玩，自己“随意”，耍去了

k3bc999

柯大辛苦了，很喜欢您的的帖子 目前我用的就是类似于您的高危拦截这种 就是hips监听所有钩子和加驱 完后让我判断，目前不是很理解内存访问 不知道这个会带来什么影响

duguqiuai006

比较简单明了。红色的字没太消化，我再 嚼 下

歌德塔大蜘蛛

把以前的规则又重新总结了一下，简单易用，感谢分享！

WINDIYpurchase

感恩   想用了您的规则会很方便  http://bbs.kafan.cn/thread-2034608-1-1.html   1703的问应该可用吗 默认的那个最严规则新人应该够用吗   

啦啦啦的吗西亚

标准账户里comodo并没有要求提权，卡巴斯基和诺顿也没有。标准账户影响它们的权限吗？为什么标准账户下360杀毒开机就要管理员权限，不给就打不开？

柯林

WINDIYpurchase 发表于 2017-6-29 21:58
感恩   想用了您的规则会很方便  http://bbs.kafan.cn/thread-2034608-1-1.html   1703的问应该可用吗 默认 ...

根据自己需要，打磨下看看。现在没工夫折腾规则，又没用win10，那个就当是雏形，需要的自己完善下。
个人观点，comodo防御，主要还是防御病毒与未知，按照分区防御原则，一般划分为两大区域：已知安全区，主要是两大路径---windows目录或是system32路径，另一个是C:\Program Files与C:\Program Files (x86)路径，要求不高，直接路径放行普通行为即可，要求高，那就按传统方法，一个程序一个程序的规定；未知风险区：上网软件下载目录，用户目录下的Temp目录、电邮等软件的附件解压目录、聊天工具下载目录……归纳的话，可以用C:\Users路径概括，方便但会有误杀（可以做例外排除），剩余的入侵，就是移动磁盘目录、光盘，以及自己下载的带毒安装包。

如何防御？用comodo，大概有两种思路：一个是纯靠HIPS，一个是HIPS与沙盘结合（HIPS过滤高风险，沙盘入沙未知程序，两者结合，规则简单，而风险基本能控制到较低）。还有一个就是comodo默认的纯沙盘，给懒人、不愿折腾的人用。具体玩法，每个人根据自己需要弄，适当打磨打磨，一般可以长期受惠。

补充下，现在勒索类是个趋势，数据无价，备份是最把稳的行为（光盘、U盘、移动磁盘，备份一下）；毛豆防御，自己把重要目录加入数据保护区（对入沙程序致盲），把重要文件类型建个组后引入受保护文件，HIPS里弄规则限定程序访问，也是基本靠谱的行为。当然不要忘了打补丁，软件防御可控制的部分，补丁防御漏洞，各有定位与作用。

柯林

啦啦啦的吗西亚 发表于 2017-6-30 00:06
标准账户里comodo并没有要求提权，卡巴斯基和诺顿也没有。标准账户影响它们的权限吗？为什么标准账户下360 ...

好像这个是国内外软件设计思路的不同，一般国外软件，相对规矩一点，国内的总是要求高权限，不给高权限就罢工，XP时代就有的坏毛病，一直改不了。按照微软的要求，正常程序应该能够在标准权限下顺利运行，至于360为什么这样做，得问数字的官人。

缺缺

我先添加个收藏夹，有空研究，，，

HEMM

真素精彩大作啊~
可惜！你要我从何抄起~
也布吉岛48个组够不够，感觉还需要再加32个组才能填平我内心的忧伤~
大家来玩组规则~