COMOD规则能不能做到类似MD交叉规则那样？

88865ff

本来是用MD加交叉规则的，可惜现在升级到了4G内存，我也用了64位系统，和MD彻底拜拜，但我还喜欢MD的细腻和清晰的日志.最重要的我喜欢交叉规则的一个特点，毛豆历来的规则估计都没有这样的强悍和灵活.
就是即使你运行了病毒点击了放心允许但丝毫不会因此中招，我讨厌毛豆的全局禁运，这样的禁运等于阉割了很多乐趣和功能，我如果都禁运了不如装个好一点的杀软，什么软件也不乱装不乱看，那我还要毛豆干什么？我不如养成良好的习惯控制自己的手指别让他犯贱。交叉规则最大的特点就是新手没有任何判断能力也根本无视病毒.
还请各位高手能做个类似的规则，本人不胜感激！

柯林

毛豆的细腻，不如MD，有些方面难以处理。
按你说的要求，个人理解，只能搞分组授权模式——已有分组程序，按分组授权执行，没有的，按最低权限执行——程序可以运行，但是关键部分不允许动，就可以满足你说的乱点病毒也没有实质伤害的问题。要实现这一点，可能需要疯狂模式，甚至全局FD（不搞全局FD，遇上足球样本那类东东，虽然系统没事，可执行文件没事，其它文件就遭殃了）。AD上没有命令行控制，无法做到EQ或MD的一些效果，也没有阻止并结束进程的挂钩规则，有些东西，无法实现。

至于你说的乱装程序不中毒问题，是个矛盾问题，只能说，就一般性的问题，可以做个安全与易用的平衡，要做到不管怎么乱装都没事，那是不可能的——有些程序要创建exe乃至dll之类的东东到系统目录里，允不允许？有些要创建和加载驱动，允不允许？……如果不考虑这些问题，全局规则禁止掉重要的东东，剩下的， 只要你装得上去，任你去装去玩。〔以目前形势来说，官方默认大众规则的白名单形式，就是解决你说的这个问题的，只要符合白名单的，随便你装和玩，弹窗都没有一个，如果是病毒，那就自动阻止掉。这种方式目前有漏洞，利用数字签名的样本，以及不检查dll的弊端，相关样本你也看到了。虽然正常使用下，遇到此类病毒的机会微乎其微，但以一个挑剔的HIPS玩家的眼光，毕竟有缺憾，要避免，只能上疯狂模式——带来的问题是，有几个受得了没完没了的弹窗？〕

安全与易用，历来，并且永远，都是一个矛盾问题，一个平衡问题，取舍，只看个人的需要。
还是那句老话，只求日常应用，正常情况下防毒的，默认规则配个杀软，足够！
玩毒和测试的，自动规则智能模式就是个渣，必须手动——关键问题，看你自己的判断。

个人意见，小白用户，最好不要跟风去试毒了——什么都不懂，还测试啥呢？非要“好这一口”的话，建议装虚拟机或沙盘，有个“保险箱”，任你怎么拆解研究都不怕，否则，真有可能“怎么死都不知道”。

88865ff

柯林 发表于 2012-5-12 21:54
毛豆的细腻，不如MD，有些方面难以处理。
按你说的要求，个人理解，只能搞分组授权模式——已有分组程序， ...

谢谢 柯大解答！

柯林

88865ff 发表于 2012-5-12 21:58
谢谢 柯大解答！

仅是个人意见，一孔之见。

希望其他坛友满足你的需求。

没需求，就没作品，有挑战，才会有进步。

柯林

你的帖子衍生出的一个相关问题——如何看待中毒问题？

有些人恐惧——创建一个病毒文件乃至尸体，或者改了一个不是太重要的注册表，都惊恐得受不了。
有些人淡定——除了特别严重的问题，一般的小毒小马，任它跑跑也无妨。基于这种思想，还有相应的处理措施——譬如EQ时小信的清毒规则，中了毒的机子，使用后有相当的清毒效果，不怕中毒。

当然，遇到特别厉害的毒，譬如rootkit或写入BIOS的，中一次，普通人可能真的完了。至于寻常的，哪怕是带驱动甚至注入各个进程的，可能也没啥大不了，费点手续，最终还是能搞定。〔譬如论坛上放的这些样本，真正牛的还是少见〕

qq5150

我也准备换64位了，虽然COMODO有用过，但是还是喜欢MD啊，纠结死了，不试毒，上网习惯良好，单奔MD很舒适，以后要慢慢玩毛豆咯

没有防读，效果肯定比MD差一些，不过也正因为这样更容易上手一些