默认规则++（二合一）

哥舒夜带刀

另外是不是不要勾选“创建安全程序规则”啊，因为我勾选后，本来把360放入了杀软组、360浏览器放入了浏览器组，但是它又在全局规则下面生成了规则。

柯林

哥舒夜带刀 发表于 2012-7-11 11:52
另外是不是不要勾选“创建安全程序规则”啊，因为我勾选后，本来把360放入了杀软组、360浏览器放入了浏览器 ...

那个是64位系统用的，32位系统不用勾选

哥舒夜带刀

柯林 发表于 2012-7-11 12:12
那个是64位系统用的，32位系统不用勾选

意思是不勾选的话，软件就会严格按照分组规则办事是吗。我还一直都以为要勾选。还有就是好像沙盘里的程序不能联网。可以进入沙盘后由防火墙提示吗？

柯林

哥舒夜带刀 发表于 2012-7-11 13:01
意思是不勾选的话，软件就会严格按照分组规则办事是吗。我还一直都以为要勾选。还有就是好像沙盘里的程序 ...

不是这个意思，那个是对64位系统的支持，相当于额外补助——也就是32位上的东东到了64位上，有缺陷，需要添加一些“补丁”（这些在32位上是没用的）

哥舒夜带刀

柯林 发表于 2012-7-11 14:19
不是这个意思，那个是对64位系统的支持，相当于额外补助——也就是32位上的东东到了64位上，有缺陷，需要 ...

柯大，我说的是这个，不是最后需要重启的那个哦

另外请问怎样才能让沙盘里的可以联网啊

柯林

哥舒夜带刀 发表于 2012-7-11 14:59
柯大，我说的是这个，不是最后需要重启的那个哦

另外请问怎样才能让沙盘里的可以联网啊

勾选那个，是每当一个受信任的程序运行时，comodo就自动在全局规则下生成一条该程序的规则；不勾选，就相当于临时规则——该进程活动时，规则自动创建于全局规则下但不显示，进程结束时，其规则自动删除，整个过程是隐藏的。

有防火墙的话，可以把受保护的文件和文件夹里那组“windows socktes接口”的东东删掉，就会轮到防火墙弹窗询问；如果喜欢保留，试试在全局规则上为它写一条规则，FD上允许访问“windows socktes接口”
实际上沙盘里运行，很多程序都要废掉了吧，因为FD和com全局了，都被阻止，除非你用重定向的方式看有无可行。

freepatch

翻了N楼，累死叻。64位系统的默认规则简单加强，柯大能否图文一下？多谢！

柯林

freepatch 发表于 2012-7-13 21:39
翻了N楼，累死叻。64位系统的默认规则简单加强，柯大能否图文一下？多谢！

64勾选增强保护，其它差不多，原理一样，自己加强下就可以了，主要是三块：
1、FD上，加全局?:\*.*  或者?:\*

2、com接口上，看你的需要，要求严格直接补上*

3、注册表上，D+全局规则里锁定IE主页、文件关联、映像劫持，就可以了（意思就是白名单程序也不可以动这些）
锁定的IE主页：
*\SOFTWARE\Microsoft\Internet Explorer\Main\*Start Page*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Search*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_UR
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
*\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
*\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP
*\SOFTWARE\Microsoft\Internet Explorer\Main\Use Custom Search UR
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\*

锁定的文件关联：
*\SOFTWARE\Classes\.txt\*
*\SOFTWARE\Classes\.bat\*
*\SOFTWARE\Classes\.com\*
*\SOFTWARE\Classes\.exe\*
*\SOFTWARE\Classes\.scr\*
*\SOFTWARE\Classes\.ini\*
*\SOFTWARE\Classes\.pif\*
*\SOFTWARE\Classes\.reg\*
*\SOFTWARE\Classes\.inf\*
*\SOFTWARE\Classes\.hlp\*
*\SOFTWARE\Classes\.chm\*
*\SOFTWARE\Classes\.vbs\*
*\SOFTWARE\Classes\.js\*
*\SOFTWARE\Classes\.lnk\*
*\SOFTWARE\Classes\batfile\shell*
*\SOFTWARE\Classes\cmdfile\shell*
*\SOFTWARE\Classes\comfile\shell*
*\SOFTWARE\Classes\exefile\shell*
*\SOFTWARE\Classes\scrfile\shell*
*\SOFTWARE\Classes\txtfile\shell*
*\SOFTWARE\Classes\inifile\shell*
*\SOFTWARE\Classes\piffile\shell*
*\SOFTWARE\Classes\regfile\shell*
*\SOFTWARE\Classes\inffile\shell*
*\SOFTWARE\Classes\hlpfile\shell*
*\SOFTWARE\Classes\chmfile\shell*
*\SOFTWARE\Classes\vbsfile\shell*
*\SOFTWARE\Classes\jsfile\shell*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithProgi
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ini\OpenWithProgids
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids

锁定映像劫持：
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

                               

Mr.Tong

柯林 发表于 2012-6-10 22:28
补充说明下，此系列规则，紧紧依托默认规则的处理机制，结果就是与路径无关——哪怕你把病毒放到system32下 ...

柯大我想你了，一直在观摩

freepatch

柯林 发表于 2012-7-13 23:08
64勾选增强保护，其它差不多，原理一样，自己加强下就可以了，主要是三块：
1、FD上，加全局?:\*.*  或 ...