『二版修订』手动控制单奔规则

柯林

经典文章，百读不厌，优秀思想，照抄不怠——U版《打磨comodo做有意义的事》和月版《物以类聚，权以组分》说得好啊，手控是王道。

仿之抄之，划分八级权限，以应万千程序——电影分三级，咱们翻一倍：

规则主要是抄袭月版的分类授权思想，以一程序一规则为模式搞精确控制，抛弃了程序分组，关闭了沙盘，纯粹玩手动刺激——FD全局+com全局，确实很过瘾

规则用法三步曲（压缩包内有使用说明）
第一步：导入规则，激活，重启，改D+为疯狂模式
第二步：运行程序，弹窗选择——套用合适的权限【也可以在D+规则里手动配置】
第三步：弹出后续窗口时，选择允许或阻止

规则一览：


===============================================
【更新】精简二版   

规则适用对象：32位XP系统
规则使用版本：5.10



规则漏洞：1、为了加强使用体验，winrar除了不允许创建修改可执行文件到windows目录和C:\Program Files外，可以改写任何文件，理论上有被恶意利用之可能，请注意调用它的程序。如果追求极端安全，可以给winrar套上“基本权限”。
2、套用高权限的程序，可以访问所有受保护的文件，请注意调用它们的程序。
3、comodo的注册表没有列为全局禁止触碰，手动用regedit.exe都可以把它弄乱，很脆弱，在意的自己补上。

====================================================================
本规则最大的特点是两点：
1、精确性和新作风：一程序一规则，精确控制，不搞程序分组套用；全局监控，不搞秒杀制，任何程序都可以运行。
2、灵活性及弹性——程序套用的预定义规则，真正成为了预定义，而非终结定义：任何程序套用基本权限、中等权限或高权限之后，仅仅是开始——定了一个基调和框架，在此基调和框架上，涉及进一步的操作（譬如安装驱动、安装钩子、访问受保护的内容等），将会从预定义自动转为自定义规则，接受用家的终结打造。

柯林

抱歉，疯狂二版的使用说明里，此段文字“缺陷：1、此规则有个漏洞，就是全局规则的FD操作优先允许了临时文件，这意味着病毒可以创建tmp文件到系统目录里。”是错误的，因为“临时文件”组里只是写了*.tmp而不是*.tmp|或?:\*.tmp|，仅仅包含了允许改写windows目录里的tmp文件，而不包括创建，所以创建时会被询问，所谓漏洞并不存在

2、网络不通的处理办法里，使用说明说配与“标准权限”的程序由于缺少FD项上的网络接口支持而无法连通网络，是过时资料——原先是这么设定的，后来考虑到既然授予标准权限，当然是安全程序，D+上就不做网络限制了，免得新手郁闷，允不允许访问网络，交防火墙处理。

3、批处理及脚本运行不了的处理方法里，说配与标准权限是不够的，还是会被下面的四条规则拦截，至少要配与高权限（还是有问题，因为高权限里运行程序是询问），最好是自己根据批处理或vbs脚本里的内容配与需要的权限，嫌麻烦的话，可以临时套用系统权限——记住是临时，执行完批处理或脚本后，请移除规则。
=====================================================

玩手动，需要用家有一定的判断和动手能力，基本要求有：
1、动手能力：规则由于全局FD监控，可能产生一大堆琐碎的规则，为了精炼，需要把琐碎规则归纳。例如pps的FD规则，一大堆%AppData%路径下pps自己的目录内的文件操作，归结为一条即可：


个别时候，由于套用的规则不当，可能需要根据日志添加例外排除。

2、判断能力：没了沙盘，没了自动隔离，每一行为，都要你亲自判断。对于危险行为，如果是病毒或恶意程序发出，一个选择错误，可能就会让你后悔，所以提高判断鉴别能力，选择时看清弹窗提示，是很重要的。

3、适用对象：对于会玩的人、有耐心的人，手动控制很强大，很舒服，真正做到自己做主。对于没耐心的人，基本经验缺乏的人，手动可能暂时不适合你玩，可能默认的自动规则更适合你。

4、灵活性：对于svchost.exe调用浏览器这样的情况，建议不要勾选记住回答，以便可以正确区分——究竟是运行迅雷看看之类的正常程序而导致的svchost调用浏览器，还是运行病毒或恶意程序时导致的svchost调用浏览器，此外svchost调用mshta.exe也是一样的处理，就不会丢失灵活性。对于手动控制而言，灵活地选择是否勾选弹窗上的记住回答，将会避免产生一些垃圾规则——譬如测试病毒时。

5、管理备案：手动控制，可能产生垃圾规则，可能导致D+规则里杂乱，需要进行管理，此外，清理操作也应该定时执行。另外一个，就是日志管理，对于某些不明程序的操作，由于是单奔，少了杀软辅助，如果是恶意程序，错误放行可能导致问题，导出日志保留，可以追根朔源，便于分析原因和修复。

===============================================================
新手疑惑：怎么知道弹窗上的内容该不该允许？很简单，默认规则列为重点监控的那些内容，一般要谨慎作答，对于危险项目，不是特别信任可靠的程序不要允许——你应该知道允许该项后产生的后果。【哪些是危险项目？把默认规则里的注册表自启动和重要键以及四大com组打印一份，有疑惑就对照文本来看弹窗上的内容该不该允许】

禅心雕龙

柯大，真早。。。研究一下。。。

ンァ訫‰ミ

期待win7x64

young2288

支持一下 32位XP系统

laihaibin08

支持柯大 了，不知道什么时候能出神自动规则，我还是比较喜欢自动多些！！

柯林

手动规则，无视hta穿越，无视白+黑——不管怎么黑，最终结果还是落实到白exe上：此程序反常行为，有经验的不会轻易点允许……一言以蔽之，手动，HIPS的本相，无视一切穿越——除了0day和HIPS自身重大漏洞

白+黑只要不发展到使用黑dll替换system32下的系统dll而使所有进程挂毒，则手动HIPS挫之

ljia885

高手炫耀实力居家旅行必备佳品，本帖高能，小白勿试。
（话说@柯林又换头像了，一株大毒草~~~~）

mxf147

观摩学习一下，吼吼

pgy15

期待win7x64