减少弹窗的默认规则的简单加强

柯林

一些豆油，希望弹窗少少，并实现所谓的智能主防。说实话，真正的智能，目前还很难做到，只能做到利用强大的黑白名单库，尽量减少弹窗。作为终端用户，也就不用去操心云服务端的什么黑白名单了，做好本地防御才是根本。
个人规则要实现一定的智能，只有一个办法：拦截掉危险的内容——无需判断直接阻止，余下的允许选择。关键在于度的把握——设置太严，影响使用；设置太松，起不到应有的效果。选择最重要的最关键性的东西加以拦截，起到所谓的打蛇打七寸的作用。
什么是最重要最关键性的东西呢？
以AD来说，首要的就是加驱。驱动一加，什么都是浮云。其次是服务（安装了服务，老在后台捣乱）、钩子（涉及窃密及注入其它进程的问题）、底层磁盘访问、物理内存、键盘记录（涉及到窃密问题），以及一些高危程序的禁运。
以RD来说，重要的项目，比如驱动与服务相关的注册表项，应该首先拦截【这一项还是监控好，否则显卡及部分系统程序开机需要修改服务项的需要排除，有点麻烦】，然后是毛豆的注册表项（按理毛豆自身有守护功能），其次是开机自启动，IE主页之类的。
以FD来说，禁止改动系统文件为第一关键；为防鬼影之类的病毒，还应该保护磁盘引导区；为了防止感染型病毒，还要加强可执行文件的监控。
如何做到拦截危险行为而不影响日常应用——常用软件尽量少地加以排除以及无须编排大量的程序组，这是考较所谓智能化的一个标志，需要各人根据自己的认识进行实验，最终加以确认。本文会在下面的楼层提供一点参考意见（注意，仅仅是参考意见）。
以个人认识来看，目前比较可行的，还是采取安装与使用分开的方法最好：安装软件时，启用一套规则；日常应用，启用一套规则（普通用户又不是天天都在不停地装软件，用到时切换一下规则，也不是什么难事）。
安装软件规则：无须刻意去作，直接沿用官方的默认规则，联网开启云验证的方式进行安装，这就是很好的安装规则（出于防流氓之类的考虑，你要自己加强一些内容，也是可以的）。
日常应用规则：在官方默认规则的基础上，适当添加一些自动拦截的内容，增强自动防卫能力——对于高危行为，无须弹窗判断，直接阻止（极个别软件需要放行的例外）。
大致上就是这样。

柯林

●前提准备

A、方案选择：以个人观点来看，毛豆的沙盘没多大作用，作为安装程序与日常使用分开的方法而言，还是不用沙盘了——下载毛豆的防火墙版本（不要下杀毒版本或因特网套装版本），安装时保持默认的选择（不要改为最大保护模式），装好后，默认就是禁用沙盘的。【注意：受保护文件里没有放入可执行文件进行监控，自己补上；监控设置里没有勾选键盘和屏幕，建议勾上】

B：一式双分：先把正在使用的方案导出进行保存，再选择导入刚刚保存的方案，填入一个有区别的名字（比如后面加上zdyfh之类的文字），切换到后面导入的这个方案上，激活（以后的设置都在这个方案上进行，作为日常应用方案；先前的那个就作为安装规则用）。设置完毕，最好重启一下。

C、文件分组：已有的分组上，适当添加和处理，便于规则中引用。
1、文件保护   可以考虑添加如下内容
可执行文件补充  添加 *.inf  *.url  *.lnk  *.rar
开始目录  更改为  ?:\Documents and Settings\*\「开始」菜单\程序\启动\*
                         %windir%\system32\GroupPolicy\Machine\Scripts\Startup\*
                         %windir%\system32\GroupPolicy\User\Scripts\Logon\*
磁盘引导区   \Device\Harddisk0\DR0      【第一块硬盘】
                  \Device\Harddisk1\DR1      【第二块硬盘】
QQ文件保护（禁止任何程序修改QQ的任何文件） *\QQ\* 【原来写*\QQ*对其它腾讯软件有妨害】
浏览器保护（禁止任何程序修改IE浏览器的任何文件） %ProgramFiles%\Internet Explorer\*

2、com分组  毛豆自带分组太集中，不利于规则中引用，建议细化，譬如
资源管理器外壳
Shell.Explorer.*

windows外壳shell32.dll
{75048700-EF1F-11D0-9888-006097DEACF9}

IE对象设置
InternetExplorer.Application.*

IE外壳
{FBF23B40-E3F0-101B-8488-00AA003E56F8}

后台调用IE
{0002DF01-0000-0000-C000-000000000046}

打开IE新窗口
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}


Windows管理 （沿用）

杂类（沿用）

伪COM接口 - 重要端口（沿用）

后台智能上传
{4991D34B-80A1-4291-83B6-3328366B9097}
{69AD4AEE-51BE-439b-A92C-86AE490E8B30}

后台调用OE
{8f92a857-478e-11d1-a3b4-00c04fb950dc}

OE对象设置
Outlook.Application.*

后台调用MSN发消息
{B69003B3-C55E-4B48-836C-BC5946FC3B28}
{F81CD990-910B-4bbf-9CB3-6A77F3D697B3}

远程帮助
RemoteHelper.RemoteHelper

远程桌面
{A6A6F92B-26B5-463B-AE0D-5F361B09C171}
{E423AF7C-FC2D-11d2-B126-00805FC73204}

用户帐户
{60664caf-af0d-0003-a300-5c7d25ff22a0}
{7A9D77BD-5403-11d2-8785-2E0420524153}

全局文件夹设置
{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}

Windows Script Host Shell Object-wshom.ocx
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{72C24DD5-D70A-438B-8A42-98424B88AFB8}

Windows Script Host Network Object
{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}

文件系统对象-FSO控件-scrrun.dll
Scripting.FileSystemObject

危险脚本对象-VBS
VBScript

创建shell对象
Shell.Application
Shell.Application.1

ICatRegisterM接口-注册COM种类
{0002E012-0000-0000-C000-000000000046}

特权端口-备份还原
LocalSecurityAuthority.Backup
LocalSecurityAuthority.Restore

特权端口-关机
LocalSecurityAuthority.Shutdown

特权端口-调试提权
LocalSecurityAuthority.Debug

特权端口-系统环境
LocalSecurityAuthority.SystemEnvironment

特权端口-修改系统时间
LocalSecurityAuthority.SystemTime

注册表部分，为了便于引用，在注册表分组里面建一个”文件关联组“【该项无须列入保护】，列入以下内容：
*\Classes\exefile\shell\*
*\Classes\comfile\shell\*
*\Classes\cmdfile\shell\*
*\Classes\batfile\shell\*
*\Classes\piffile\shell\*
*\Classes\vbsfile\shell\*
*\Classes\vbefile\shell\*
*\Classes\wshfile\shell\*
*\Classes\wsffile\shell\*
*\Classes\jsfile\shell\*
*\Classes\jsefile\shell\*
*\Classes\dllfile\shell\*
*\Classes\txtfile\shell\*
*\Classes\logfile\shell\*
*\Classes\regfile\shell\*
*\Classes\lnkfile\shell\*
*\Classes\inifile\shell\*
*\Classes\inffile\shell\*
*\Classes\scrfile\shell\*

再建一个“危险项目组”【该项需要列入保护】，列入以下内容：
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* 【有需要用到映像劫持的，请在计算机安全规则里，在全局规则上加例外】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer*
*\SYSTEM\*ControlSet*\Services\VXD\*  
*\Software\Policies\Microsoft\Windows\System\Scripts\* 【这一项实际多余，默认规则的*\Software\Policies\*已经包含】

准备好的文件，引用入保护监控的内容如下：






补充说明：如果你有一些存放安装程序的目录，不想被感染型病毒破坏【正常情况中招几率很小】，可以列入保护监控，或者直接放拦截区；如果担心下到狂删磁盘文件的恶意批处理，请参考——1、comodo提示你运行的是一个批处理文件时，请注意，不要忙着点允许，请先阻止，查清楚批处理内容再运行。或者2、全局规则的禁运程序名单中加入*.BAT【还有一种格式*.CMD】或者直接是禁运*\cmd.exe  要是不怕麻烦，干脆采用3、把非系统盘列入保护（D:\*   E:\*   F:\*等，有几个盘加几个）。

柯林

参考意见——默认方案的简单加强
先把杀软排除：文件分组里建个“杀软主要进程组”，把毛豆进程里看到的正在运行的杀软服务进程、监控进程、图形进程都放进去，再把杀软的扫描进程也列入；然后在“计算机安全规则“里引用这个分组，陪予”可信程序“的权限。

个人所用系统为 xp sp3 ，以下列举到的系统进程示例，皆以XP为依据，你的系统如与其有出入，请自行修订（注意全局规则禁止任何程序修改windows目录下的所有文件这一条带来的系统次要进程需排除的问题）

全局规则基本设置：
a、危险项目
窗口或者事件钩子：阻止 【默认规则自带的四个钩子基本够用，考虑到一些游戏需要输出功能，可以再加%windir%\system32\DINPUT.dll和%windir%\system32\DINPUT8.dll即可。一些需要安装钩子的少部分程序，加例外予以排除，譬如系统程序%windir%\system32\mmc.exe安装钩子%windir%\system32\mmc.exe；再比如ATI显卡程序%windir%\system32\ati2evxx.exe安装钩子%windir%\system32\ati2evxx.dll.....如果觉得这一项排除起来麻烦，可以使用默认的监控方式，无须改为阻止，只不过自己心里要清楚，这是一项很危险的行为，非信任的必要程序，不要轻易允许安装未知钩子】
设备驱动程序安装：阻止 【这是最危险的一项，驱动一加，毛豆也几乎就是摆设。正常情况下，一般的程序无须加载什么驱动。需要用到驱动才能运行的程序，自己排除——比如杀软（绿色蜘蛛，杀马软件等），防火墙，冰刃、Xuit之类的安全辅助工具，以及系统优化工具（优化大师及硬件检测优化工具等）】
内存（物理内存）：阻止 【极个别程序，例外排除，譬如内存优化整理工具】
磁盘（底层磁盘访问）：阻止 【极个别程序排除，譬如磁盘碎片整理与错误修复工具等】
注意：进程间内存访问——这一条不宜列为阻止，请自行把握，未知程序对系统进程或其它进程的内存访问，最好阻止。
键盘记录——考虑到很多游戏都要用到，为免麻烦，也没有列为阻止，请自行把握，未知程序及怀疑为恶意程序的，请阻止。

b、程序运行
允许运行的程序：
%windir%\system32\*.scr
%windir%\_default.pif

阻止运行的程序：
?:\Recycle?\*
?:\autorun.inf
%windir%\Temp\* 【极个别杀软的安装可能有例外】
%windir%\Downloaded Program Files\*
?:\System Volume Information\*
*\Local Settings\Temporary Internet Files\* 【如果修改过IE的缓存路径，请改为正确的路径】
*.com
*.pif
*.scr
*\format.*
*\debug.exe  【需要自己调试程序的，例外排除】
*\mshta.exe
*\at.exe
*\ftp.exe
*\tftp.exe
*.tmp 【这一条影响程序安装】
*\user.exe
%windir%\regedit.exe 【注册表整理软件需要调用它来备份与恢复注册表的，例外排除】
%windir%\system32\net*.exe
%windir%\system32\conime.exe 【极个别程序如有需要，例外排除】
%windir%\system32\sc.exe
%windir%\system32\telnet.exe
%windir%\system32\taskkill.exe
%windir%\system32\taskkill.exe
开始目录

c、com接口
阻止的com接口：
后台智能上传
后台调用OE
后台调用MSN发消息
远程帮助 【有需要的例外】
远程桌面 【有需要的例外】
windows管理
杂类
IE对象设置
OE对象设置
用户帐户
全局文件夹设置
windows script host shell object-wshom.ocx 【脚本相关，运行不了脚本请例外】
windows script host network object
特权端口-备份还原
特权端口-修改时间 【自己要修正系统时间，请例外允许%windir%\system32\shell32.dll】
特权端口-设置系统环境
危险脚本对象-vbs
文件系统对象-FSO控件-scrrun.dll 【微软office需要此功能的请加例外】

d、注册表
允许的注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed

阻止的注册表项：
文件关联
comodo键
自动启动 【*\Software\Microsoft\Windows NT\CurrentVersion\Drivers\*这一项需要排除系统开机进程%windiws%\system32\userinit.exe】【同时排除%windir%\system32\ctfmon.exe修改*\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\System\*
HKLM\SYSTEM\ControlSet???\Control\*
*\Software\Microsoft\Windows\CurrentVersion\Control Panel\Don't Load\*
*\Software\Policies\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*
*\SOFTWARE\Microsoft\Internet Explorer\SearchURL\*
*\SOFTWARE\Microsoft\Internet Explorer\Control Panel\*
*\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{*}
*\SOFTWARE\Microsoft\Internet Explorer\Main\*Start Page*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Search*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
*\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
*\SOFTWARE\Microsoft\Internet Explorer\Main\Use Custom Search URL
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Security_RunActiveXControls


e、文件/目录
允许的文件/目录为：
%windir%\Temp\*  【如果修改过系统共用临时文件夹的位置，请修订为正确路径】
临时目录

阻止的文件/目录为：
重要的文件目录
comodo文件/目录
开始目录
磁盘引导区
QQ目录 【QQ升级程序及下载安装腾讯游戏等程序，请例外排除——全局规则上给予“安全或更新”的权限】
IE目录
%systemdrive%\*.lnk  【禁止在系统盘创建快捷方式，防止恶意软件】
注意：由于重要的文件和目录囊括了整个windows目录及子目录，为保证系统正常运行，除了已经高优先允许的“windows系统应用程序”外，一些次要的系统进程的FD行为请加以排除，例如：
%windir%\system32\rundll32.exe 允许操作的文件/目录为
%windir%\inf\INFCACHE.?
%windir%\INF\*.PNF
%windir%\setupapi.log
%windir%\system32\drivers\USBSTOR.SYS
%windir%\system32\drivers\SET*.tmp
%windir%\system32\dllhost.exe  允许操作的文件/目录为%windir%\Registration\{*}.{*}.crmlog
%windir%\system32\mmc.exe 允许操作的文件/目录为%windir%\system32\*.msc
%windir%\SoftwareDistribution\Download\*\update.exe 允许操作的文件/目录为%windir%\softwaredistribution\download\*  【系统自动更新程序】
%windir%\regedit.exe 允许操作的文件目录为
*.REG
此外，由于把rar文件也列入了文件监控，请添加例外允许压缩程序操作rar文件。

防火墙规则：
防火墙规则很简单，首先，选个适合自己的隐身模式【使用迅雷、电驴、网络电视、QQ的用户，建议选2】。
然后，全局规则里管理下——如果是外网用户，建议添加拦截局域网共享端口入站的规则；如果是局域网用户，需要开放本机文件共享的，请允许来源地址为本地网络，目标端口为局域网共享端口的数据入站。如果不使用远程登录等玩意，建议添加禁止连入目标端口tcp23，1433，3389的规则【注，局域网共享端口，tcp端口为135，137，139，445；udp端口为137，138，445】（局域网用户在添加了允许本地网络连入局域网端口后，请添加禁止连入目标端口tcp445的规则垫底，添加禁止来源端口tcp139连出的规则垫底（外网用户同样添加这一条）
【预定义规则里面，修改一下浏览器的规则——某些网站使用tcp81、82、83端口；某些电信服务厅可能使用tcp1701之类的端口提供给用户更改帐户密码；预定义规则把tcp80以外的端口给封杀，有时不合适】
然后，应用程序规则里添加一条：所有应用程序* TCP/UDP 进出询问的规则垫底（弹窗配置的规则会自动位于该规则之上；手动配置的规则请移动到该规则之上）。

整个方案，大致就这样。以尽可能少排除为基点，尽量阻止掉一些危险项目。此种方案，是默认规则的简单加强，基本性的防护，以兼顾效益与效率为目标。适合初次接触毛豆的新手参考。追求超强防护的用户和以学习折腾为乐的朋友，请参考论坛上的其他规则。
以上，仅为一个老菜鸟的肤浅意见，仅供参考，欢迎大家讨论。

需要截图参考的在这里：
xp用户需要本规则参考的在这里：  【下了这个规则的，自己改下QQ的保护目录为*\QQ\*】

提醒：毛豆自带一个游戏保护方案，游戏发烧友在玩游戏时，请勾选右键菜单上的“游戏模式”，退出游戏时请去勾。
特别说明：U盘防护，没有特别针对，仅用了一条禁运?:\autorun.inf ，没有直接把U盘路径列入禁运来防御（如果你有需要，请补充），因为个人觉得意义不大——1、整个windows目录已经加了防护罩，外加可执行文件监控及加驱等的阻止，已经没多大意义。2、现在的杀软已经对U盘病毒很重视，以红伞为例，个人试用组策略测试时，放到磁盘根目录的autorun.inf直接被红伞隔离禁运（关了红伞的防护进程都没用），又不是追求单奔，没必要。
(其实一般优化过的操作系统，安装好后，注册表里已经禁止了U盘之类的自动播放功能，传统的使用autorun.inf 来运行病毒的方法已经没用了，大家可以找找注册表看有无这些设置：
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer]
"NoDriveTypeAutoRun"=dword:00000087
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff)

注意，用户规则与白名单的关系：如果计算机安全规则里找不到与程序相关的规则，则按白名单放行，换言之——凡是列入“受信任的文件”，如果“计算机安全规则”里没有专门针对该程序做规则，则检查全局规则（全局规则明确允许的直接允许；明确阻止的直接阻止；询问项一律忽略——结果也就是允许）。

挽魇

呵呵，一些弹窗还是可以的，自己心里比较有底

zxzy

提前支持，等待文章

吴茗123

刚把comodo卸了，楼主又来勾引我了。不过不是不喜欢comodo，是想尝试一下MSE和pc tools。收藏此贴好好学习，过个把月在换回来。

firefox3

其月彳寺默认加强规则！！！！！！

raider520

期待啊！！！强烈支持！！

支持，晚上来学习。

pdatx

采取安装与使用分开的方法
对于高危行为:
无须弹窗判断，直接阻止.
thankyou