不关闭HIPS安装小软件的体会

x-天秤座

   之所以说小软件，因为大型软件一般是正规的，可以无视。你如果用规则的话，看日志排除，对中大型软件来说看死你，哈哈。方法对V5和V6都有效，其他人有没有写过我不知道，是自己的体会，才疏学浅，不足之处，希望指正，你指正后我才能更加完善自己的规则配置，对我自己有好处呢。

   分组、黑名单什么基本都是根据局长的教程来的，然后自己加了三条。第一条在内置三条后是针对所有应用程序的：禁止调用黑名单程序和危险目录的程序，禁止调用几个危险钩子文件，禁止写几个注册表组...

   主要是在受保护目录中，允许只是临时文件，在阻止文件那里添加了%windir%\*.exe|而不是整个windir目录，也就是我修改了里面重要文件目录的定义，因为我要安装程序，安装程序一般会写入windir里面dll啊、ocx这些啊，但是一般不写exe文件的，如果遇上要写windir里面exe文件的程序那就得注意了，这种程序我一般不安装的，我是原封不动保持windir里面的exe文件的（安装后驱动等和comodo后）。

   下面一条，我写了个installsetup.exe的规则（我把所有需要安装的程序都改成这个名字后再运行安装，好让它被这个规则管理），只允许调用installsetup.*（之所以不是exe而是*，是因为很多程序解压释放后生成后缀名不是exe的，你不允许的话不能安装）但是不允许调用黑名单文件和危险目录的文件和所有临时文件夹的可执行文件，其他具体不说多了（禁止生成自启动，注册表那里禁止修改IE的一切，包括主页和默认搜索等等---很多流氓软件喜欢干这个），文件保护那里让它可以修改临时文件夹和%program files%，不允许生成黑名单程序（以及防止我测试该文件的一些流氓文件生成），windir目录阻止写入exe文件。

   接下来写了个第二重保护规则，就阻止所有执行文件写入windir目录所有执行（pf和log这些排除），其他具体不说了（因为规则从上倒下，上面有，这个只是补充）。

   然后是程序分组....最后是全局规则（都是block）。

   这样下来，很有可能我安装的程序会给windir写入其他不可控文件（因为我不大懂这些哈），所以我安装的程序，首先有CIS的防病毒模块检测是否为木马或者病毒，然后我再拉入我的“测试软件组”（有个严厉的规则，确保不会有对电脑文件有破坏，除非突破了毛豆）运行，看看日志，哪些行为受阻了，是否会写入windir和program files这些目录一些什么文件和是否改写电脑其他执行文件或者文档，如果看不懂，就先不装了，如果知道无危险，那么再修改为上面的文件名进行安装。

   目前运行很好，安装正规的adobe flash player11.5很正常，然后安装一个背地安装百度工具条和修改主页的文件（某网站的沙盘破解补丁，可能你们都知道那个），工具条没安装上，主页也没有修改，破解功能正常，沙盘正常运行显示已经注册。

   因为有些软件自带的流氓行为是释放一些exe文件和vbs文件到临时目录或者其他目录，然后调用来修改IE主页啊、搜索啊，桌面生成lnk啊这些，但是我那个规则都是防止和不允许它调用的。而这些软件我们有时候需要用，但是不可能关闭HIPS后安装的。另外我在放入测试软件组运行时，可以看日志它生成那些流氓软件，例如Baidu-TB-ASBar.exe，我可以直接把文件名拉入阻止名单阻止。

   我在用mcafee8.8的时候，也是设置了个install.reg文件，在安装程序时候导入，完毕后再导回以前的配置注册文件。这个方法只有一个问题，就是程序生成流氓文件名叫installsetup.exe，一般没这个可能哈，因为每个人都有自己的设置方法，我这个是自己选的名字，就算遇上了我修改成setupinstall.exe后调制规则里的限定程序然后安装就是了，嘿嘿。

a256886572008

對V6來說，再怎麼改規則，都無法超越這一個。

從易用性或從安全性

hency

a256886572008 发表于 2012-10-19 14:58
對V6來說，再怎麼改規則，都無法超越這一個。

從易用性或從安全性

为什么我没有Fully Virtualized这个选项？？？

a256886572008

hency 发表于 2012-10-19 16:55
为什么我没有Fully Virtualized这个选项？？？

下載帖，裡面就有寫了。

Ｍy↘じ★ve

a256886572008 发表于 2012-10-19 17:49
下載帖，裡面就有寫了。

VK一直在Loading，等了很久都不行，怎么办。

a256886572008

Ｍy↘じ★ve 发表于 2012-10-19 22:55
VK一直在Loading，等了很久都不行，怎么办。

VK 只是多個桌面而已，widget 上面就能直接用入沙的瀏覽器。

hency

a256886572008 发表于 2012-10-19 17:49
下載帖，裡面就有寫了。

谢谢大神～～～

Ｍy↘じ★ve

a256886572008 发表于 2012-10-20 00:28
VK 只是多個桌面而已，widget 上面就能直接用入沙的瀏覽器。

哦，为什么程序被BB部分限制后就不能联网了？

x-天秤座

a256886572008 发表于 2012-10-19 14:58
對V6來說，再怎麼改規則，都無法超越這一個。

從易用性或從安全性

你这个好是好，问题是我需要COMODO帮我防止一些外{过}{滤}挂软件弹IE窗口啊，如果只用你那种全部虚拟的话，它窗口照弹，有什么用？所以我说我这是适合我自己的规则，我必须要用规则防止。

danielhugo

现在小软件都改用便携版了，不用安装，放行对应注册表项就行