从小白到* 磕毛豆的发愿贴

frszfrsz

    好吧，我手贱，有了微点没有事想同时装comodo（主要是想看看它的沙盘）。开机出问题了，微点被comodo拦了，我点了好几个允许微点的程序才出来。    并不是觉得谁厉害或者怎么样的，不过我正是因为这件事情对comodo产生了兴趣。电脑新装了64位win7的操作系统，还没有安全软件，好吧，就让我的一年期微点继续呆在32位操作系统的分区里面吧，装上comodo-firewall，没有事磕一下。
    下了《毛豆使用全攻略·第一期》，对着图一点一点地琢磨。期间出了好几次状况（比如说我在全局里面阻止访问*：windows\system32\*.exe,但是没有给explorer.exe权限并将其放在全局规则上面，然后发现我无法打开任务管理器、记事本等程序），我把毛豆装了删，删了装，后来一咬牙，决心拿下毛豆，至少要成为一名比较熟悉的毛豆操作者。
    这个帖子是我的发愿贴，给我未来来还原亦或者告诉大家本人已失踪用。
    （要说一句，本人第一外语是德语，英语水平还停留在新概念一上，看着满眼的英文路径、英文程序名什么的真是好痛苦啊……）


下面是一些我的操作过程，希望各前辈、同仁指点

文章末尾是我每天的不断修改的d+规则

---------------------------分--割--线----------------------------------
    2010-11-14
安装comodo-firewall 高防护，不使用comodo dns
安装小红伞（没有安装guard）
下载好多学习资料

新建组：浏览器
添加文件：C:\Program Files (x86)\Maxthon3\Bin\Maxthon.exe
允许运行可执行程序：mxdownloader、mxup、thunder
允许访问受保护文件：windows sockets接口 \device\nsi等
其它基本阻止

新建组：重要系统文件
添加文件：c:\windows\system32* ，c:\windows\serving*， c:\windows\system.ini， %windir%\win.ini等
添加至受保护的文件夹
全局规则中阻止访问

全局规则阻止访问?:\autorun.inf

疑问：为什么在“文件组”那一栏点击清理，显示“*” “%temp%\" "c:\program files\comodo*"等文件路径都是无效的？
------------------------------------------------------------------------------------------------------------------------------------------------
    2010-11-15
昨天晚上看到一篇文章：《绝世佳人投怀送抱，焉能拒人千里之外？-----送给所有禁用D + 的豆油们》（http://bbs.kafan.cn/thread-287778-1-1.html）
一一对应将浏览器组的设定修改。
早上傲游3崩溃……，用任务管理器也关不了。


研究了半天，终于确定了两件事情：
一、傲游3要新建一个同样路径的子程序，在“运行新程序”项里面必须添加允许。
二、任务管理器关傲游的时候要访问内存。我在保护选项里面直接将“内存访问”禁止了并且没有添加任务管理器的允许选项。

我”开一次傲游——查看d+记录——将拦截行为全部在浏览器规则里面添加允许——然后保存规则——关傲游“如此反复多遍，终于傲游正常了……
感觉今天做的事情怎么就和选择“干净pc模式”没有多大区别呢……

在对沙盘不了解的情况下，我将它暂时禁用了。在对防火墙规则不了解的情况下，暂时将它禁用。现在单奔D+在呢……

疑问：为什么预定义规则里面看不到”安装或更新“选项呢？

添加“视听娱乐”“聊天工具”“办公文件”等新组，暂时空置，规则为全询问，以后慢慢修改。
为了查找方便，将所有自定义组改为四字名称。不知道为什么组改名之后D+规则里面突然就没有该组的规则了……慢慢手动添加……

囧事一则：点击http://wow.178.com/tf/#0，魔兽世界在线天赋模拟器。发现只有封面，天赋点击后没有反应，第一反应是“完了，我的浏览器规则又出问题了……”，D+日志也没有记录，然后我把毛豆D+开了关关了开，后来直接退出毛豆，依然解决不了问题。急得满头大汗的时候，突然恍然大悟，原来是网页自己出问题了……

疑问：问什么在”文件组“将某组改名后，该组在D+中设定的规则消失？

删除所有”信任软件供应商“。

2010-11-15 23:42——啃完《毛 豆 使 用 全 攻 略·第一期-By 纯黑色》
----------------------------------------------------------------------------------------------------------------

  2010-11-16
将autorun.inf、txopshow.exe、sohunews.exe（貌似性质差不多的）全部添加了“被拦截的文件”。
开始磨合聊天软件规则。
吐槽：现在每回打开D+就是一堆修改文件qq.tlg、运行文件sohunews.exe，真实烦啊……

求一个针对QQ的comodo规则设置教程。D+事件记录看得我触目惊心，设置qq规则搞得我身心疲惫……
正在考虑是不是删掉qq，直接上webqq……

新建了一个组“流氓软件”，直接将什么txopshow.exe、txplatform.exe等加到组里面然后将该组拦截了。

全是流氓软件
-------------------------------------------------------------------------------------------------------------------------------
    2010-11-19
这几天导入局长的黑名单一直不成功……

下了clt测试，190/340

暂时无事，主要是研究fd方面。注册表、端口什么的我本身都不是很了解，先研究好了再来设施防护……
---------------------------------------------------------------------------------------------------------------------------------
    2010-11-25
感谢群心璀璨的关注，同时说明下，因为这个星期比较忙，没有大块闲暇时间学习规则，所以没有更新。
看小说的时候，我最讨厌太监什么的了，所以自己不管写什么，一定要有头有尾的。感谢大家对我的关怀与帮助。
希望大家在下星期我继续学习规则的时候不吝赐教。
----------------------------------------------------------------------------------------------------------------------------------
    2010-11-29
今天开始恢复更新。

看完了纯黑色的《毛豆全攻略·第二期》，整理一下自己的规则思路：

本人电脑没有战斗在安全第一线，基本操作为：
A.使用wps系列软件，
B.使用浏览器、聊天工具(基本只上论坛、邮箱，基本不上门户网站，结合A时需要使用百度谷歌等搜索引擎，不上没有名气的**网站（有名气的基本也是论坛形式），与qq好友之间很少有文件接收，现在已向webqq转型……），
C.运行wow.exe，
D.运行ppstream.exe

我需要防护的：
A.来自网页的病毒；
B.下载文件附带的病毒；
C.流氓软件。

基于个人电脑使用情况，大致规则如下：
1）从全局讲阻止一切关于系统的操作，
移至规则底端
“运行一个可执行程序”阻止system32下高危程序及缓存文件，
“受保护的文件/目录”阻止访问系统文件，直接添加项“%windir%\*|"（是不是有点暴力啊）
注册表主要保护启动项。
2）完全信任comodo，将其相关规则移至顶端
3）上网的第一线程序，如浏览器及聊天软件等，
基本上全阻止，
运行程序、钩子只允许指向自身或相关软件，访问只允许特定端口及缓存文件，
只允许被任务管理器结束
4）不使用其它安全软件，需要用金山安全卫士打补丁时打开comodo”游戏模式“（就是禁止d+禁止防火墙禁止沙箱）
完全信任碎片清理等程序
安装程序确保从官网下载，如果访问系统文件或注册表过多，在安装前设置其为”可信程序“
（吐槽一下：这个方法也没有使用很多，大多数软件都没有在\windows下创建\修改文件或修改注册表，我安装得挺顺利，唯独qq安装的时候感觉像是开了”疯狂模式“而且安装绝对不会成功……）
5）拦截程序里面添加黑名单以及流氓程序

关于个人日常基本操作的大致成型的规则基本就是这样了，自我感觉不太会出现安全问题。
明天开始看第三期攻略，会有更多可参考的实例操作。
未来目标：熟悉防火墙操作以及沙箱设置，通过对comodo规则设置加深对windows系统的了解。

求：沙箱攻略

问题：1）全局规则中？：\*.exe阻止访问后无法移动G:\下载\dragonsetup.exe，该设置难道不是针对盘符第一层文件么？
           2）explorer.exe权限设置问题，比如双击*.rar（使用haozip），comodo总会弹窗询问是否允许explorer.exe打开haozip.exe，但是如果添加规则允许的话又担心会被病毒乘虚而入。
           3）拦截程序中添加了sohunews.exe等新闻弹窗之后d+事件全是这些操作（见11月16号图）……请问如何过滤该信息。
----------------------------------------------------------------------------------------------------------------------------------
    2010-11-30
今天看了《毛豆全攻略·第三期》，有点疑问。
攻略说需要另某程序只能访问自身文件夹不能访问其他文件夹，然后在“运行一个可执行程序”和“访问受保护文件”中进行修改，允许项添加自身文件夹地址，阻止项排除其他所有文件地址。
问什么还需要在阻止项中添加东西呢？直接在外面选择“阻止”然后在例外中允许自身文件夹不就好了么？


虽然不记得是谁说越严格的规则就越傻瓜，hips的乐趣就在于弹窗，不过我依然希望自己的clt测评分高一些。
更新了自己的今日规则以及其clt测评，抛开DNS什么的不谈，希望各位能指点下如何通过knowdlls、services等测试项。
----------------------------------------------------------------------------------------------------------------------------------
    2010-12-5
感觉规则太乱了，新开了一个规则，全部推倒重来。
明天出门，有事。顺利的话这一个月都有空，天天时间大把大把的；不顺利的话这一个月又要从早忙到晚基本没有空闲时间……
祈祷中……

frszfrsz

自己顶下，万一以后有用占个楼~

frszfrsz

同上，不知道一个帖子能多少字……

slm513

回复 1楼 frszfrsz 的帖子

推荐你看一下卡饭毛豆电子书
如果想保护的全面一点，在我的受保护文件中添加*\*.*
全局规则没必要例外阻止*，平时只阻止临时目录下的可执行文件即可
因为你用的都是通配符，毛豆检测不到具体的文件，所以会判定为路径无效，解决办法是在路径最后加上“|”

frszfrsz

回复 4楼 slm513 的帖子

谢谢指点。我发现了，毛豆自带的”重要的文件/目录“组里面的路径都是有竖线的
卡饭的毛豆电子书好多的，我下了大概80M，不知道要是一个一个看的话要看到什么时候去……
在论坛看见一个帖子，关于diy规则的，说是选择干净电脑模式开3天，然后对规则一个一个分析。——请问对于新手来说是这样还是对着电子书一步一步添加比较好？

slm513

回复 5楼 frszfrsz 的帖子

http://bbs.kafan.cn/thread-246797-1-1.html
看这个电子书即可，虽然是V3的，但是对于D+来说和V5差别不大
我还是推荐你对着电子书一步一步添加比较好

frszfrsz

回复 6楼 slm513 的帖子

谢谢

深度扫描

期待你的研究成果。。。。。

frszfrsz

回复 8楼 深度扫描 的帖子

呵呵，反正每天抽一个小时左右研究下，到时候直接把我的规则导出来然后传到论坛请诸位指教。

linjinya

我的沙盘禁用了！！