简单1招醍醐灌顶快速打通任督二脉

k2f2l5t2

有时简单的东西却是非常需要的。我们经常要在电脑测试环境下测试未知软件程序，就拿我来说比如win7就是在测试环境Sandboxie沙盘里并且COMODO的HIPS为安全模式。我们经常要在测试环境下测试一下从网上下载的一些各种未知实用绿色软件，在这些整个的大致测试过程中，我们碰到最头疼的最多的也是最常见的莫过于就是某1个软件未知程序测试启动时，毛豆HIPS弹窗显示某个正在尝试修改受保护的注册表键的注册表的HIPS弹窗，由于是未知测试，如果修改受保护的注册表键的注册表的毛豆弹窗点几下或十几下比如就点“允许”也还能忍受的，但是如果点击毛豆注册表的HIPS弹窗“允许”达到了四五十下或五六十下的点击次数确实让人开始抓狂受不了了（HIPS为安全模式），那我们一般都是在毛豆弹窗的“信任为”箭头里去选择，要么选安装或者更新的规则，要么选允许的程序的规则、要么选Windows系统应用程序的规则，要么选被限制的应用程序（未知程序测试一般不要选这个），这样我们选择后，COMODO注册表的疯狂弹窗貌似就没有了或很少了，只要碰到毛豆这样狂弹注册表的弹窗我们就这样选貌似很多也只能这样了，但是这样的选择是完全不对头的，因为我们虽然是在大致测试一些软件，但是每个软件的测试主要还是要看看它其它有什么HIPS弹窗动作的，如果碰到测试某个软件程序COMODO疯狂狂弹注册表的弹窗五六十下的还在继续狂弹，也不知道这个注册表的弹窗弹到什么时候能结束，就这样被逼无奈之下，信任为箭头里去比如选择”允许的程序“的规则后，那这个程序后面很多不是有关注册表的HIPS动作你也就看不到了或者少了虽然注册表这一步也不弹窗了，综合起来考虑那怎么才是更好的办法了？既然毛豆弹窗的信任为的箭头里已经可以选择安装或者更新、允许的程序、Windows系统应用程序等这些规则了（被限制的应用程序在测试未知软件程序测试时最好不要选择这个），那为什么8.4版毛豆官方就不能再做的细腻一点了？这个之间缺少了一个关键的东西，那就是针对最头疼的COMODO疯狂狂弹注册表的，而COMODO狂弹注册表的也是软件程序在测试过程中最头疼和经常碰到的东西，由于是大体大致测试环境中测试一下，那如碰到COMODO疯狂狂弹注册表的HIPS弹窗可以让它先过掉，因为也还不知道这个软件以后到底用不用了，所以没必要先在COMODO狂弹注册表的弹窗这里卡住，如发现毛豆狂弹注册表的弹窗时可以让其先过，主要看看这个软件程序其他的一些HIPS动作这个才是最主要的，等以后需要长期用到这个软件时再细看注册表的HIPS弹窗也不迟呀。所以如下截图方法就是我们自己在HIPS规则里创建一个比如起名为“只允许注册表”规则见图有图有真相，一旦碰到COMODO疯狂狂弹注册表的HIPS弹窗后，可以选择这个自建的“只允许注册表”（名称随便自己起）规则让它先允许过掉注册表的疯狂HIPS弹窗后看后面的HIPS动作，毛豆官方也可以考虑只把这个加入到默认安装的软件里去也是不错的，这样我们在测试环境里再碰到启动未知程序时COMODO疯狂狂弹注册表的HIPS弹窗可以让它先允许过掉注册表的弹窗后（未知测试程序阻止注册表容易出未知问题所以暂时不要），这个程序后面的其他HIPS动作仍然保留，就是我们仍然可以看到这个未知程序后面的其他HIPS的动作，但是如果你象前面一样测试未知程序毛豆疯狂HIPS注册表弹窗被抓狂了后而不得不在“信任为”箭头里去选择安装或者更新、允许的程序、Windows系统应用程序等这些规则，那这个未知测试程序后面的其他HIPS动作就可能没有了或者少了，不知看明白没有。你可以用PotPlayer播放器v1.7绿色中文版测试一下毛豆的HIPS注册表的疯狂弹窗（我都点击允许了80次了毛豆HIPS的注册表弹窗还在弹ing），当然了如果碰到启动未知程序被毛豆信任了，那可能毛豆HIPS弹窗什么都没有或少。好像这里也没发现有人提出过这样的问题和方法或我还没见过。好了，找到这个妙法后后面如果再碰到相似的问题就这样先解决爽多了，突然之间是不是感觉以前的方法是多么的愚蠢和错误啊，因为我以前就是这样的愚蠢和错误了，最近无意中捣鼓出了这个方法后立马爽多了，虽然我所有已知和未知第三方使用软件程序只要能在SB沙盘里正常运行的都强制手动入SB沙的。当然既然COMODO的HIPS规则里有“选被限制的应用程序”，那我们还可以再在HIPS规则里另外手动添加个和上面相反的“只阻止注册表”（名称随便自己起）供我们选择，就是受保护的注册表键这个设置为阻止的而其他都是询问的，这样便于另外的进一步后续保留测试未知程序其他HIPS动作（如果注册表被阻止后也能正常运行的话），这比未知程序毛豆疯狂注册表弹窗时选“被限制的应用程序”要好如果需要用到这个测试的时候，因为适合于较已经熟悉的程序选“被限制的应用程序”，而这个规则里面已经默认设置了受保护的注册表键这个设置为阻止的同时而且这个规则其他的也有阻止和询问，所以无法看清后续未知程序hips的动作。

以上这个整体看上去貌似很简单而且非常实用，解决了1个主要的一直以来头疼的大问题但容易被长期忽视和无视，这个不是和那些为毛豆创建规则同日而语的，也不是我们来给毛豆增加1条规则什么什么的，这个这里是必须的如果你准备注重的话。就这样吧。谢谢。具体以下上图慢品：

dragonwuhui

版主能否设置一下行间距，看起来很累

paink

有点像从别处写好，复制过来的。整理一下段落更让人想看下去。

  觉得说白了，就是弹窗不显示作用规则，只显示具体的注册表或文件项目。防火墙直接对目录封掉没问题，但如果也是询问的话，弹窗就……
  所以测试软件直接进虚拟机或者虚拟运行，放过hips，弹窗一下子就少了。测完没问题（确定不是病毒木马），就实机上。实机测试软件可用性、安全性，这本身就是愚蠢的。
  至于打磨规则，注册表等系统知识是必须的，有些条目具有相似性，就应该积极的允许或阻止，而不是等着靠弹窗后操作来生成细腻的规则。例如potplayer的文件关联、SystemCertification项目、编解码模块……这些注册表项目一个分组动辄5、60条，用户在看到第一条时就应该知道它在干嘛，如果不知道，就不要用hips了，补一补知识才是第一任务。不然，在确定程序不是木马病毒后，就先允许（这样做本身就是在自身知识储备不足时的无奈妥协之举，许多豆油都是这样的吧）。

  测试与规则打磨是两类不同的活动，不要放到一起来做，或者扭曲这两种活动的性质，HIPS不适合测试检验程序（出于对程序使用的目的）。如果只是想玩一玩，折腾折腾，楼主这样有参考意义，但对现行的毛豆是不行的。
  为什么呢？
  因为软件询问弹窗来自很多方面，你可以让它被信任为允许/阻止某组注册表，但它如果还会对另一组注册表访问弹窗、对某一组com疯狂弹窗、对某一类文件或许多的目录疯狂弹窗，这时候——————你该把它信任为哪一组呢？
  就比方说系统的mscrow.exe（好像是这么拼写的吧），假设它是个用户程序，无签名证书。但它会疯狂访问assembly（好像也是这个文件夹）下的公共程序组件，同时还要疯狂改写注册表SystemCertification组，你是都允许/阻止，还是对这两个方面各建一条临时允许/阻止规则？一个程序对象只能套用（信任为）一条规则，这还是简单的，对于权限要求更大的……楼主这样就不合适了。
  把疯狂弹窗的几个组都拒绝或都允许显然不合适，那么你再去斟酌规则……这个过程是测试吗？还不是在打磨规则。对于楼主的想法说的直一些，我觉得你或许只是想看一看这软件有什么行为，试试弹窗右下角的“展示活动”更爽，进程的行为列表（无论ND、AD、FD、RD行为均被列出）还可以导出。

k2f2l5t2

1)COMODO的HIPS为安全模式还并不是疯狂模式     2）使用COMODO的HIPS规则默认的就这么几个选择并且碰到了COMODO疯狂狂弹注册表的HIPS弹窗而且自己已经开始抓狂了（不管你正确选择允许还是阻止）       3）虽然自己已经开始抓狂了但并不想立即点击HIPS弹窗的阻止并终止结束       4）毛豆疯狂HIPS注册表弹窗自己已经开始抓狂了准备选择而不得不在“信任为”箭头里去选择安装或者更新、允许的程序、Windows系统应用程序等这些规则 ，以便毛豆疯狂HIPS注册表弹窗能终止而继续看下去     5）以上同时也不准备这样疯狂狂弹注册表的而去正确地选择允许还是阻止了，否则也可能白天弹到黑夜也弹不完

所以1楼的出发点说的较清楚就是这样产生的，而并不是什么测试未知软件程序启动时毛豆注册表的HIPS弹窗都点击允许的，当你被COMODO疯狂狂弹注册表的HIPS弹窗而且自己已经开始抓狂了时、而不得不在“信任为”箭头里去准备选择默认的安装或者更新、允许的程序、Windows系统应用程序等这些规则以便继续下去时，那你实际上已经比1楼的更加抓狂了，否则你怎么选了？就这样的疯狂弹窗玩下去但你已经不愿意了。所以每个人要根据自己的测试环境和现有的装备和需要判断来正确定夺，象我一般这样的情况在玩玩测试可能需要的未知软件程序启动时COMODO疯狂狂弹注册表的HIPS弹窗基本上已经赶脚这个未知软件程序没有什么问题了，但关键看它后面的其他HIPS动作，如果有大问题之前其他杀毒软件可能已经查杀了或隔离了或毛豆已经发出警报了或隔离了，即便误判也没关系，反正这些测试可能需要的未知软件程序以后也是SB沙盘里伺候的，但如果SB沙盘里伺候不了的而且只能实机里是需要的那立即认真对待，必定我们每个人还是有各种不同的极其强大的整体电脑防护体系的。

不多说了，如果说1楼的自己添加的自建的“只允许注册表”（名称随便自己起）规则是对“信任为”箭头里去选择默认的安装或者更新、允许的程序、Windows系统应用程序等这些规则，那么1楼最后提到的自己添加的自建的“只阻止注册表”（名称随便自己起）规则供我们选择是对“信任为”箭头里去选择默认的“被限制的应用程序”规则而创建的，人是活的但东西是死的要灵活应用但也要提供出来，这2个添加进来绝对让你爽，至于怎么用好你自己看，但并不是什么东西都点允许的，灵活应用，不要了你还可以删除呀。补图：

k2f2l5t2

以上只可会意不可言传
---------------------------------------
实战举例，方法多种多样随便举2个列子  COMODO的HIPS为安全模式而并不是疯狂模式！
----------------------------第一个列子--------------------------
1）从网上下载了1个未知的某实用绿色版a软件，SB沙盘里进行测试一下看看如何？在SB沙盘里启动这个未知的某实用绿色版a软件程序，没有被毛豆信任、HIPS开始弹窗，由于是首次测试这个未知的a软件程序，所以先全部要点击HIPS弹窗的“允许”，只要弹窗都点击“允许”注意观察，但出现毛豆HIPS弹窗显示某个正在尝试修改受保护的注册表键的注册表的HIPS弹窗，由于是未知测试，所以就点击“允许”，而注册表的HIPS弹窗始终再弹不停，你心情好始终也再点击“允许”这样已经很多次了，COMODO疯狂狂弹注册表的HIPS弹窗次数越多，你点击“允许”次数越多而且毛豆疯狂狂弹注册表的HIPS弹窗你越点越开心，这样不知经过多长时间多少次数毛豆疯狂狂弹注册表的HIPS弹窗结束了，后面开始弹窗其他的HIPS的动作了，你总是每部都看清的点击“允许”，然后又可能会继续多次在不同的地方象前面一样又出现了COMODO疯狂狂弹注册表的HIPS弹窗，你又象前面一样你越点“允许”越开心，就这样又经过不同的步骤继续开心点击“允许”下去，一直到毛豆HIPS弹窗结束，但如果要碰到程序要求连接网络的暂时只阻止其连接网络、其他允许。

2）还是和上面一样心情的后续继续测试，只不过这次出现毛豆HIPS弹窗显示某个正在尝试修改受保护的注册表键的注册表的HIPS弹窗，由于是未知继续测试，所以只点击“阻止”所有注册表的动作，其他HIPS动作点击“允许”，但是如果要碰到程序要求连接网络的暂时只阻止其连接网络，同样的和上面一样的COMODO疯狂狂弹注册表的HIPS弹窗次数越多，你点击“阻止”的次数也越多，而且毛豆疯狂狂弹注册表的HIPS弹窗越多你越点“阻止”越开心，毛豆疯了但你不疯，这样不知经过多长时间多少次数毛豆疯狂狂弹注册表的HIPS弹窗结束了，后面开始弹窗其他的HIPS的动作了，你总是每部都看清的点击“允许”（不是注册表的），然后又可能会继续多次在不同的地方象前面一样又出现了COMODO疯狂狂弹注册表的HIPS弹窗，你又象前面一样你越点“阻止”越开心，就这样又经过不同的步骤继续开心点击“阻止”注册表的HIPS弹窗下去，一直到毛豆HIPS弹窗结束，然后其他的HIPS的动作也“允许”结束了，但如果要碰到程序要求连接网络的暂时只阻止其连接网络。

前面2步我们大致测试看了一下COMODO疯狂狂弹注册表的HIPS弹窗在点击“允许”情况下的情形后，又同法大致测试看了一下COMODO疯狂狂弹注册表的HIPS弹窗在点击只“阻止”注册表的情况下的情形，这个第2）步其实很重要容易被很多人忽略忽视掉的而忘记或根本就不去测试了，因为我们测试后一旦决定需要使用这个绿色软件启动时优先一定会考虑正常“阻止”的多而并不是“允许”多的情况，“阻止”的越多越好，只要不影响我们对测试软件正常的使用。但到这里还只是个开头的大概还远没有结束，下面才是真正的开始测试了，由于未知的软件并不是测试1、2次就结束了，而要经过多次关闭再重启这个未知软件程序，以便测试观察在不同地“允许”和不同地“阻止”各种混合下的HIPS动作情况下的情形，下面我们继续：

3）重复上面第1）步，但是你总不能在上面已经熟知的COMODO疯狂狂弹注册表的HIPS弹窗次数再象上面一样无数次的一 一点击“允许”再来一遍吧，虽然你可能有这个毅力能坚持下来但完全没有必要，除非你有特殊需要再来疯一遍，否则完全没有必要，那么我们现在只要碰到上面第1）步里出现毛豆HIPS弹窗显示某个正在尝试修改受保护的注册表键的注册表的HIPS弹窗（包括只要出现注册表的HIPS弹窗），就点击选择这个我们自建的“只允许注册表”（名称随便自己起）规则让它暂时先允许过掉注册表的疯狂HIPS弹窗后主要看后面的HIPS动作，来根据自己的测试需要和判断对后面的各种HIPS动作进行自己需要的HIPS弹窗时选“允许”和“阻止”各种混合下的其他HIPS动作情况下的情形，当然选错是没有关系的，本来就是给你选错的以便找到正常的情况的，同时这个也是要不断地关闭和重启未知程序的，直到你满意测试结束（是否连接网络来进一步测试可根据自己需要来掌控决定，不联网使用的软件当然就不需要联网了），我们现在可以看到这个自建的“只允许注册表”（名称随便自己起）规则它的方便了，因为在每次多次要不断地关闭和重启未知程序从头再来时可以看出它所带来的便利和快速打通繁琐（上面已熟知的COMODO疯狂狂弹注册表的HIPS弹窗次数），不是其他的什么规则同日而语的。

4）继续后续重复上面第2）步，同样的但是你总不能在上面第2）步里已经熟知的COMODO疯狂狂弹注册表的HIPS弹窗次数再象上面一样无数次的一 一点击“阻止”再来一遍吧，虽然你可能有这个毅力能坚持下来但完全没有必要，除非你有特殊需要再来疯一遍，否则完全没有必要，那么我们只要碰到上面第2）步里出现毛豆HIPS弹窗显示某个正在尝试修改受保护的注册表键的注册表的HIPS弹窗（包括只要出现注册表的HIPS弹窗），就点击选择这个我们自建的“只阻止注册表”（名称随便自己起）规则让它暂时先阻止过掉注册表的疯狂HIPS弹窗后主要看后面的其他HIPS动作，来根据自己的测试需要和判断对后面的各种HIPS动作进行自己需要的HIPS弹窗时选“允许”和“阻止”各种混合下的其他HIPS动作情况下的情形，当然选错是没有关系的，本来就是给你选错的以便找到正常的情况的，同时这个也是要不断地关闭和重启未知程序的，直到你满意测试结束（是否连接网络来进一步测试可根据自己需要来掌控决定，不联网使用的软件当然就不需要联网了），我们现在可以看到这个自建的“只阻止注册表”（名称随便自己起）规则它的方便了，因为在每次多次要不断地关闭和重启未知程序从头再来时可以看出它所带来的便利和快速打通繁琐，也不是其他的什么规则同日而语的。

最后强调一下，对于最后后续所有的“阻止”的测试也包括“只阻止注册表”的各种“允许”和“阻止”各种混合下的其他HIPS动作情况下的情形的测试，经常可能会出现未知程序不能正常运行的情况，这个这里是很正常的，我们就是要在最后后续进一步的测试下，去找到对于所有的“阻止”的测试也包括“只阻止注册表”的各种“允许”和“阻止”各种混合下的其他HIPS动作情况下的情形的测试里，这样去找到能够正常的最好的最多的那种“阻止”后正常的程序运行的方法，而这个就是也正是我们我们最后测试后一旦决定需要使用这个绿色软件启动时一定会优先考虑的步骤和方法，就是正常“阻止”的多而并不是“允许”多的情况，“阻止”的越多越好，只要不影响我们对这个测试后的程序正常的使用，这和你想花最少的精力资源和钱买卖最好的东西是一样的道理和心理，这本来就是很正常的只要合适。

那如果有人说了如果COMODO疯狂狂弹注册表的HIPS弹窗时，对这个狂弹注册表的全部选择“阻止”或选“只阻止注册表”后而造成未知程序不能正常运行了，那你正好这步的测试就结束了反而省事了缩小了范围，那就去测试正常的了（包括弹注册表的HIPS弹窗并不是全部选择“允许”的而要回到正常的轨道上来选择），总之就是所有正常“阻止”的多而并不是“允许”多的情况，“阻止”的越多越好，只要不影响我们对这个测试后的程序正常的使用就OK了，但也要注意COMODO的HIPS弹窗某些动作测试后发现必须要“允许”放行的也要在自己觉得合适动作的认可情况下，否则有大动作的自己不容许的动作可以终止了删除这个软件，当然你决定以后不会使用这个软件在可控的范围内但测试一下看看倒没什么关系。


=================第二个列子=========
上面是一种比较理性的毛豆疯狂了但你却不疯的一种实战测试，3）4）使用创建的“只允许注册表”规则和“只阻止注册表”规则（这2个规则的名称自己任意随便起），这种一任一督一前一后所带来便利和快速打通繁琐整体综合使用的好处。下面再举个实战列子，其实不举你也知道，就是你看懂了4楼就知道了，其实和上面是一样的列子，你从网上下载了1个未知的某实用绿色版a软件，SB沙盘里进行测试一下看看如何？唯一不同的就是今天你心情不好，当你被COMODO疯狂狂弹注册表的HIPS弹窗而且自己也变得已经开始抓狂了狂躁不安时，就这样的疯狂弹窗玩下去但你却已经不愿意这样玩了但还想继续下去，比如把上面相同的1）和2）的方法里发现COMODO疯狂狂弹注册表的HIPS弹窗时立即替换为相同的对应的使用创建的“只允许注册表”规则和“只阻止注册表”规则（这2个规则的名称自己任意随便起）后，你会渐渐发现你的抓狂的狂躁不安心情慢慢消失了而且心情越来越好了发现立马爽多了，这都是得利于使用创建的“只允许注册表”规则和“只阻止注册表”规则（这2个规则的名称自己任意随便起）后所带来的妙处，不是什么其他规则同日而语的，然后继续用愉快的心情把上面3）和4）方法测试完成，就这里简单的说一下不一 一具体说了。

================================

这里是在电脑里有安全软件强大的监控下在使用测试未知软件，而并不是只有单独的1个纯HIPS软件的测试未知软件程序，这个这里不要搞错了，另外并不是COMODO弹注册表的HIPS弹窗永远选“允许”或永远选“阻止”，这个对于各种不同的软件这其中有各种千变万化的不同地混合要正确选择、而我们这里只不过说了个适合于这样的其中之一的列子而已（象1楼提到的用PotPlayer播放器v1.7绿色中文版体验COMODO疯狂狂弹注册表的HIPS弹窗时永远选“允许”或永远选“阻止”它都能正常运行的）。至于自建添加的这2个怎么用好你自己看，不同情况下灵活应用，当然你也可以选择不使用或不要了你也还可以删除，自己随意，这只是一种多了个选择而已，只不过要有过上面相似得抓狂经历的人可能会更容易体会到其重要性。

==================================

这只是一种测试，也是一种态度，也是一种折腾，更是一种方法。


==================================

【百科】  抓狂——是因某事而疯狂，疯癫意思是非常愤怒而又无处发泄，蹩得快要发疯， 由于某种潜在的不知名的原因所引起，然后急剧变化和膨胀的，引起情绪的极大不稳定和浮躁，间接导致动作的无法控制，同时心中的感情或者想法无法表达出来或者被人理解和知道，上述种种所产生的一种类精神状态现象。这里有几张抓狂图片：

https://cn.bing.com/images/searc ... st=1&cw=1263&ch=863

Gollum

这看着很不简单啊，有没有“太长不看版”

k2f2l5t2

Gollum 发表于 2017-9-1 13:11
这看着很不简单啊，有没有“太长不看版”

有没有“太长不看版”

有滴 ，这个算不算技术原创------------http://bbs.kafan.cn/thread-2094834-1-1.html



不看文字其实把里面2张图一看琢磨一下就明白了，文字也只不过是说这2张图而已的虽然文字还是没有完全说清楚为的是只举了其中的1、2个特定的列子，万变不离其中方法各种各样而且每个人的方法想法和用法也不一样的，实在是用语言很难以说清楚的只能会意了。

liumingqing

楼主辛苦了！做个记号，有空仔细看。