查看: 46369|回复: 329
收起左侧

温馨的规则,温馨的毛豆——Comodo V5版温馨规则For Windows7(2010-10-17低调更新)

  [复制链接]
群心璀璨
发表于 2010-10-6 20:41:15 | 显示全部楼层 |阅读模式
本帖最后由 群心璀璨 于 2010.10.17 22:01 编辑

温馨的规则,温馨的毛豆

                                       ——Comodo V5版温馨规则For Windows7


     声明:本人非计算机专业、非IT界人士,菜鸟一个,发布这个规则完全是作为一个软件爱好者与大家交流使用感受。如果觉得规则好,欢迎使用和批评指正;觉得不好,敬请勿喷!请尊重一个人的劳动成果。如果你下载并使用本规则,那么说明你已明确并自愿承担其中潜在的风险,由此带来的任何损失与本人无关!
    本文为本人原创,首发于卡饭论坛,转载请注明出处。


——————————————————————————————————————————————————————————


规则基本功能简介:
1、 防病毒;
2、 护杀软;
3、 可执行文件保护;
4、 办公文档、图片、网页、加密文件(需自行添加)保护;
5、 全盘资料(包含无后缀名)监控保护;
6、 IE首页防篡改;
7、 自启动项保护
更多功能导入规则后详见。

重要提示:本规则中沙盘默认关闭,有需要的请自行开启!




————————————————————————

2010-10-06:
本版本不再提供下载
下载PDF文件阅读:
Comodo V5版温馨规则For Win7-All.rar

————————————————————————
2010-10-10:
本版本不再提供下载
Comodo V5版温馨规则(宽松版)2010-10-10更新日志:
1、 修正了我的文档、桌面的办公文档等重要资料保护无效的漏洞;
2、 放松了程序联网的限制(增加了一两个弹窗,应该是可以忍受的吧~可疑的联网请用防火墙阻止),提高规则易用性;
3、 增加对avast!的支持(其他杀软可自相添加到“其他安全软件”文件组中);
4、 增加了大量常用软件的规则(FirefoxOpera、傲游、卫士类安辅、网盾、聊天类工具、清理类工具、播放器类等);
5、 增加了常用软件的预设规则(浏览器,安全辅助、系统优化等);
6、 增加了部分非系统程序;
7、 程序放行增加了部分钩子、命名管道等;

本版本更新较多,基本是拿来就可以用的,需要排除的比较少。如果有其他问题或好的建议请更贴反馈,有机会我会考虑更新


————————————————————
    2010-10-17:

   
        网盘下载:温馨规则-1017

2010-10-17更新日志:
1、填补了部分规则的丢失!(毛豆的规则丢失是一件很郁闷的事);
2、加强了规则的兼容性。将?:\Program Files改为?:\Program Files*,全面兼容?:\Program Files(x86)\*\下的程序;个人游戏可放入?:\Game\*\下运行;其他目录的程序可仿照将其加入“Filter_程序放行规则”和“Filter_程序收口规则”文件组中;
3、新增对谷歌Chrome浏览器和MSN的支持;
4、调整部分系统的权限和保护规则,对系统程序的保护力度更大;
5、解决了部分童鞋反映的AtBroker.exe登录时出错的问题,如有远程桌面应用需求的请将其从“被拦截的文件”移到“Windows非系统应用”文件组中;
6、新增“其他常用存档目录”文件组(需自己修改),进一步减少保存文件时的弹窗;
7、修改部分小错误;
8、显著位置增加规则说明,增加规则的易用性。

    本次更新不是很大,如果已经在自己的电脑上打磨好规则的不必全部更新,对照新版本稍微修改即可。重要提示:1010版规则注意将“Filter_程序放行规则”中注册表例外阻止加上!

    ——————————————————————
————————————————————————————————————————————————————————

       以下教程为10-06版本的介绍,使用新版本“联网排除”部分的内容可以不看。


一、概要

1、前言

     话说论坛上毛豆现有的规则已经不少了,都很好很强大,后人确实也是很难超越了。但……这些规则几乎都是Only For XP的!!这让我等用Win 7的用户情何以堪呐~“绝世佳人投怀送抱,焉能拒人千里之外”?难道因为没有Win7的规则就放弃使用毛豆甚至投靠XP?!Never……于是便写了这个Comodo V5版温馨规则For Win7…与时俱进,绝对的与时俱进:最新的毛豆配最新的Win 7

2、规则特点

1)、D+部分文件?:\*注册表*全局监控,所有对注册表和文件操作都逃不过毛豆的法眼(那种所谓的疯狂删除文件的病毒连创建文件夹都成问题,更别说要删除系统关键文件了),COM口默认,个人感觉没多大的效果,典型的高投入低回报~~Firewall部分直接套了口碑较好的安简规则(在此对原作者Lorchid表示感谢),是不是很温馨啊~
2)、如果你的程序路径和我的一样(所有应用程序装在?:\Program Files\*\*下),那么当你运行一个程序时,会有一个弹窗提示你是否真的想运行,如果是你想运行的,点“确定”后会自动在计算机安全规则中建立一条规则在最上方,方便你修改(你不必在为了一个程序来手动新建一个文件组再手动加到规则中来),并不会有太多的弹窗(除非那些动作很多的××程序);如果不是你想运行的,点击阻止即可秒杀之!你的电脑你做主,充分尊重了你的主观意愿,是不是很温馨啊~
图 1  运行程序时弹窗请求运行
图 2  弹窗建立规则
3)、如果出现不在这个路径下(?:\Program Files\*\*,更多的是病毒所在地),那么会有很多弹窗来提示你这个程序不正常,套用“完全阻止”即可秒杀之。事实上也是不允许你自杀的(explorer根本没有权限在该目录下创建文件,要修改的将其规则信任为“安装或更新”),是不是很温馨啊~
图 3  不想信任的程序套用“完全阻止”秒杀之
4)、全局只有在?:\Program Files\*\*和软件安装目录(*\softwares\*,默认是关闭安装功能的,要安装软件自己开启。开启后仍然安装不成功的请关闭D+再安装)放行了,但是?:\Program Files\*\*下的防毒能力还是可以的,CLT测试满分,有一定的防毒能力(强烈建议不要在该目录下试毒),但是正常软件的使用会减少很多的弹窗,是不是很温馨啊~
图 4  ?:\Program Files\*\*阻止调用资源管理器CLT测试满分

3、适用环境

    本规则是在Windows7 32bit 专业版(原版)Comodo V5.0下全新打造,只适用于Comodo V5版、Windows 7/Vista,修改部分临时文件夹和数据文件夹是否向下兼容XP、移除文件组中的“|”后是否兼容V4V3本人没有测试,有兴趣的自行考证。

4、使用方法

    使用本规则,你必须得懂毛豆的基本知识(不明白的可以看看qqq123123的全攻略,对于新手入门很有帮助),会看日志、会排除。
1)、导入规则:Comodo面板—>更多—>管理我的配置—>导入—>选择规则文件—>打开—>选中规则点“激活”。
                                      
图 5  导入规则
2)、修改文件组
    主要是自己的文档、下载目录、程序(或游戏)目录和盘符(分享一个小技巧:修改盘符时点选该盘符,将其拖放到相应位置)
图 6  修改个人目录

  
图 7  修改程序或游戏目录
  
图 8  修改盘符
     
图 9  修改盘符

3)、使用排除方法

联网排除(使用2010-10-10后续版本可不看):本规则在D+里已经将程序的联网动作咔嚓掉了,遇到有要联网的程序需自行修改,主要是注册表允许“联网锁定”、受保护的文件允许“Windows Sockets接口”、允许域名解析:
图 10 联网排除方法


文件/夹排除:很多程序运行时会产生很多自己单独的文件夹,由于全局FD监控,保存文件时可能会有很多提示,如果你可以忍受每保存一次就看到弹窗,那么这一步可以不看~排除思路有两种:给程序设置独立的保存文件夹;排除文件格式。有时只需要用到其中一个,有时需要两者同时使用(除非你非常信任的程序,否则慎重勾选“修改”外面的“允许”):
图 11  文件排除方法
    其他的内存访问、钩子的排除就不说了~看日志排除。
    另外,由于各人的电脑环境不一样,使用过程中可能会出现部分系统文件没有排除干净,建议遇到这种情况时先阻止,再将其手动加到“Windows非系统文件”组中来:
图 12  手动添加其他系统文件






评分

参与人数 4经验 +33 魅力 +1 人气 +3 收起 理由
binbinges + 1 原创内容
月光下的忍者 + 33 + 1 感谢提供分享
rierman + 1 这个要支持!
lorchid + 1 版区有你更精彩: )

查看全部评分

群心璀璨
 楼主| 发表于 2010-10-6 20:41:45 | 显示全部楼层
本帖最后由 群心璀璨 于 2010.10.6 22:21 编辑

二、规则介绍
1、温故知新
    本规则运用了大量的过滤通道,涉及了很多的优先级的问题,因此有必要在此将优先级的问题说明一下。
D+规则中,各条规则从上到下优先级依次降低,单条规则中:例外允许>例外阻止>优先=阻止>询问。D+执行的流程是从上到下匹配规则,遇到能匹配的(明确的允许和阻止)就执行,不能匹配的(询问),就交给下面的规则,若执行完了还没有匹配的,就弹窗交给用户决定。在一条规则中,即使外面有明确的匹配关系,仍受“修改”里面的例外限制。保护设置里的修改优先级最高。
图 13  整体优先级
图 14  单条规则的优先级

2、防御思路
    Comodo D+的工作原理就是对程序的行为进行监控并采取一定的措施(匹配规则),因此搞好两个地方毛豆就基本搞定了:哪里有可执行程序以及对程序采取什么措施。一般地,系统程序各人的都大致一样,编写规则时完全可以单独列出来;应用程序默认安装在C:\Program Files\*\下(我们在安装软件是只需将C改成D或其他盘符即可让它不装在系统盘),因此?:\Program Files\*\即为正常应用程序所在地。由于各人使用的应用程序千差万别,因此要做到通用的规则根本不可能,单程序单规则+全局禁运党纯粹是苦力活。因此给应用程序一个通用的权限(当然这个权限不能太大),再根据不同的程序单独排除是追求通用规则的一种途径。在此要说明一点:拿到一个规则自己什么都不修改就想用是不可能的(除非你喜欢无休止的弹窗),就像我们用Windows系统,要经过一定的设置(调整字体、设置桌面等)才能适合自己使用。因此永远不要祈求别人能将自己的事情完全代做!
    规则构架简介(更多功能导入规则后详见):
本规则中穿插了六条过滤通道,有全局的也有针对应用程序的。各道过滤均有其自己的功能,每道过滤有对应的预设规则防止出现D+规则丢失时追悔莫及~预设规则权限如果认为不合适的请自行修改。平常使用产生的规则请拖放到程序区域里,在这里的大部分修改对程序都会有效。
图 15  规则构架
图 16  过滤通道预设规则,认为不合适的自行修改

图 17  规则其他部分
群心璀璨
 楼主| 发表于 2010-10-6 20:42:22 | 显示全部楼层
本帖最后由 群心璀璨 于 2010.10.17 08:58 编辑

三、简单测试

1、工具测试
    CLT测试(前面提到了在?:\Program Files\*\测试都是满分,其他位置更别说了,提示非常之多,阻止调用资源管理器,其余一路允许,结果满分):
图 18  CLT测试

    ATP测试:word都结速不了,更别谈其他重要的进程了~
图 19

    其他的一些测试结果就不贴了,全部通过~

2、病毒测试
    是骡子是马拉出来溜溜,下面是本规则与四大毒王以及最新号称的过毛豆疯狂模式的病毒的厮杀~(建议个人测试时用虚拟机,移除相关的黑名单)
测试环境:VMWare虚拟机7.01Win7 32bit专业版,D+疯狂模式,电脑断网,关闭沙盘。四大毒王在C:\Program Files\*\下测试,DelFiles.exe是在桌面测试。移除阻止病毒运行的相关黑名单,以管理员权限运行。
图 20
图 21

1)、小浩xiaohao.exe
    以前毛豆是不防文件属性修改的,现在可以防了,很好很威武~
图 22
    运行一阵后显示中毒:
图 23

图 24
    但是系统所有的可执行文件和C:\Program Files\根目录下的文件属性均没被修改,全盘看不到任何被感染的exe文件。任务管理器结束之:
图 25
图 26

    OK~一切正常!小浩搞定~日志如下:
图 27

2)、熊猫烧香ad.exe
    由于熊猫要创建C:\Windows\System32\drivers\spoclv.exe文件,过不了第三道过滤,因此在第一道过滤中添加允许C:\Windows\System32\drivers\spoclv.exe
图 28
    接着往下:
图 29
    一路放行(一大堆的注册注册表操作,点到我手差点抽筋~),刷了一堆日志后:
图 30
图 31
    全盘可执行文件安然无恙,熊猫没烧成香反被烧~~

3)、磁碟机Setup.exe
    这个在C:\Program Files\*\下没能防住(其他目录直接藐视之)……但是!结果是毛豆和磁碟机玉石俱焚(勾选了“如果本程序关闭,阻止所有未知请求”),系统仍然健在!看图:
图 32右下角显示毛豆界面推出
图 33  任务管理器里毛豆进程消失

图 34  接下来轮到磁碟机悲剧了~~
    ?:\Program Files\*\下靠规则不能防住,但是其他目录下可防住。
4)、灰鸽子userinit.exe
图 35  允许请求
    动作比较少:
图 36

    The Last Show
5)、文件删除狂DelFiles.exe
    这个毒貌似并没有什么特别的~~

图 37

图 38

    C盘干干净净、完完整整:
图 39

    其实当初想没有必要把这些测试结果贴出来的,因为到目前为止,能过毛豆的病毒几乎没有~之所以贴出来是想告诉那些对毛豆或对自己没有信心的同学:没有毛豆防不了的病毒(或许有,但可能还没有面世罢。月光版主如是说过~)!也奉劝那些因为听到某某人对毛豆的一点冷嘲热讽就放弃毛豆的人早日弃暗投明~

    最后说明:使用本规则你得会排除,如果有什么实在解决不了的,可以在跟贴或开贴反馈,论坛的高人会帮你们解决的,如果本菜鸟知道的话也不会吝啬的~

    特别感谢:本规则的面世参考了柯林、抓抓、秘书、qqq123123LorchidU版、局长大人、伯夷叔齐、Mr.zZlj_lf等人的规则或帖子,在此一并感谢!是你们让HIPS区持久不衰!
qqq123123
发表于 2010-10-6 20:58:14 | 显示全部楼层
回复 2楼 群心璀璨  的帖子

支持!!···
   
zlhwxx
发表于 2010-10-6 21:06:50 | 显示全部楼层
支持顶起来
懒网虫
发表于 2010-10-6 21:08:13 | 显示全部楼层
谢谢楼主的分享!
shaopengcars
发表于 2010-10-6 21:12:34 | 显示全部楼层
感谢楼主分享,支持一个。
ccccwjl
发表于 2010-10-6 21:18:06 | 显示全部楼层
支持啊,虽然咱不用WIN7
nmber5
发表于 2010-10-6 21:18:15 | 显示全部楼层
谢谢了 试试
shugint
发表于 2010-10-6 21:23:40 | 显示全部楼层
我刚说下个CIA V5,我用的是win7 HP版的,一定要试度楼主的规则了,哈哈!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 21:21 , Processed in 0.138125 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表