默认规则++（二合一）

nlife

感谢分享成果  学习了

柯林

驴肉火烧 发表于 2012-6-12 23:39
感觉毛豆默认规则最大的漏洞就是白名单了。只要被判白了就没不好防了。

判白的程序，按D+规则处理——全局规则有拦截的被拦截；专门做该程序或者该程序所在路径的拦截规则的按拦截处理；如果全局规则及相关路径规则都找不到，毛豆自动在全局规则下为它匹配近似”可信程序“的权限而默认不显示。担心被过，有两种方法：一是全盘降权；二是专门设置一个测试目录，给予限制性的规则，新下的程序，不论安全，先放到测试目录里运行，看日志，自己判断其安全性，已知有不规矩行为或无法确定的，建议永久入沙或者专门制定规则给予约束。

以实际情况而言，目前能过默认规则的自动验证的，只有白+黑，而这东东，一个用户正常使用计算机，基本上不可能碰到，完全可以忽略；至于喜欢上样本区下载东东来测试，确实有过的情形存在，排除一部分样本被杀软或毛豆云杀掉不谈，单纯从万无一失的角度来说，建议全盘降权（关键是钩子、驱动、底层磁盘、物理内存+系统文件+关键注册表），并对未知程序以防火墙拦截。

阿财

支持柯大,谢谢

柯林

喜欢用外{过}{滤}挂、破解、绿化软件，这些不正统的东东的，为防万一，建议D+规则里专门给它们制定限制规则加以管制，不管它们是否安全，一律保证它们“无法闹事”

bujchen

使用中，不错

捌佰666

谢谢柯大楼主分享

ygj67

用上了，问下柯大，是不是D+里的浏览器那里要加上自己的浏览器啊路径啊；还有就是用这个规则需要关闭启发、云，以及删除白名单吗，谢谢。

ygj67

另外想咨询下柯大，一般哪些程序可记住为只允许外连啊？

ygj67

还有像QQ等程序防火墙该怎么写规则呢，直接信任为可信程序？

柯林

ygj67 发表于 2012-6-14 02:47
用上了，问下柯大，是不是D+里的浏览器那里要加上自己的浏览器啊路径啊；还有就是用这个规则需要关闭启发、 ...

浏览器加不加，在于你了，喜欢加上，就到文件分组里加上（所有浏览器中，最容易出问题的是IE，管住IE就好了，其它的谷歌、火狐、欧朋，都比IE安全得多）。

个人意见：普通用户无须在意极端安全追求者的看法，启发、云、白名单这些东西，建议保留，因为这是整个智能易用规则的基础。如果你不放心的程序，完全可以自定义规则进行限制，必要时考虑全盘降权。突破默认的文件验证的，目前只有白+黑——这个东东没有HIPS可以解决，甚至连杀软都是遗漏的，而一个普通用户的日常使用中，估计你三年也下不到一个白+黑（原因很简单，任何人都可以分分钟上传样本到样本区让人下载“中标”，而在实际的网络世界中，一个样本能生存几个小时，这是第一个严峻的问题，第二个严峻的问题是怎样让用户下载到，所以现实的实际情况完全可以忽视某些样本）

作为一个普通用户，你可以反过来思考：单纯使用杀软的用户，杀软也是检查为安全的文件就放马不管，习惯好点的用户，用个杀软都可以几年不中标，有什么理由你加上一个HIPS反而就中招了呢？你真的有必要追求那种包裹千层万层还犹自心中打鼓不安的效果？

ps：所谓国产软件的流氓问题，这是一个特色国度决定了的特色问题，不是官方所能解决的问题，在乎就自己解决（话说其中的广告问题，其实可以理解，谁都要吃饭，至于其它，自己处理，最好的方法是上虚拟机）