哪位大侠提供一下默认系统进程全部禁止的规则？

医者医人身心

楼上的简单的想法、设置是好的。但距离我的要求还很远。我的规则设置是排出到个案，而不是通配符排除。比如，FD例外排除里，不能用%windir%\*这样的通配符，必须是具体到具体的文件、文件名。COM接口权限排除也是具体到具体的数值，而不是通配符。以此类推。呵呵。如果大规模使用通配符进行排除，实际上等于没有排除。楼上以为然否？services.exe, svchost.exe这两个进程确实都是单列规则，资源管理器进程也是单列规则，因为都已经弄好了，就没有提及。楼上的确实很细心。呵呵。

柯林

你这样想，说明你还是不怎么理解毛豆，毛豆自身的机制，强悍的地方——验证文件，验证每一个文件。如果你不嫌麻烦，可以把所有数字签名删除，然后将计算机内所有的可执行文件（包括动态链接库），逐一手动添加，提交在线检查，安全后再给以放行。这跟你新下的文件用杀毒软件扫一遍的道理一样的，验证是安全的再使用。都是安全的文件，还用得着担心木马注入神码的问题，完全是多余的瞎操心。你要较真的说一下，某些国产软件即使是检验合格也可能有小动作，这个还真是没办法，最好是不去使用，非要用，放虚拟机里隔离是最好的，其次是sb里。

安全永远是相对的。要绝对的安全，自己做硬件和系统，自己写应用程序，只有你自己掌握的东西，肯定是最可靠最放心的，在遥远的未来，可以实现每个人的私人定制梦想。如果非要用别人写的程序，最安全的方法是全部逆码出来检查一遍，看它里面究竟有什么不可告人的地方，这个也太不现实了

myzuzong

柯林 发表于 2014-5-2 19:29
你这样想，说明你还是不怎么理解毛豆，毛豆自身的机制，强悍的地方——验证文件，验证每一个文件。如果你不 ...

自己做硬件，自己写系统和程序也不可能绝对安全。个人写的系统，指不定远程代码执行漏洞一把一把的，分分钟入侵。总之在计算机世界根本不可能绝对安全。

柯林

myzuzong 发表于 2014-5-3 12:01
自己做硬件，自己写系统和程序也不可能绝对安全。个人写的系统，指不定远程代码执行漏洞一把一把的，分分 ...

这就是相对论优于绝对论的哲学依据吧：物质世界就是永恒变化中的动态平衡系统，任何追求静止的绝对状态的人，都不可避免地犯了形而上学的机械的片面的错误。

Markel.Scofield

先卸载CIS，重启电脑后，安装CIS，开疯狂模式，把所有常用程序全部运行一遍，包括开机和关机，这个过程中所有的都允许，并且记住

以后的任何行为全部阻止，你也是很NB的哦，至少能去病毒去测试病毒行为了

医者医人身心

柯林 发表于 2014-5-2 19:29
你这样想，说明你还是不怎么理解毛豆，毛豆自身的机制，强悍的地方——验证文件，验证每一个文件。如果你不 ...

我简单地说说一些想法，对不对，我不做定论。没有绝对的安全，这个道理没有人会怀疑，也没有人否定。但是相对之中的绝对安全还是可以在一定范围内存在的。所以，所谓追求极限安全都是指在相对安全前提下对安全的极限追求。
毛豆的数字签名，系统自身的数字签名验证，都是有个前提的。那就是windows系统数字签名验证系统需要保持完整的前提下。我在好多年前就已经发现，windows系统数字签名验证系统是可以被颠覆的。就是说使用系统自带的sigverif命令，将会失去效果，只能得到虚假的、伪造的验证结果。通过实验发现，windows系统数字签名验证系统很复杂，sigverif命令只是进行验证的接口。再说，就算不破坏数字签名验证系统，伪造数字签名已经经常可以见到了。所以数字签名验证已经开始不靠谱了。要想靠谱的话，就要数字签名+哈希值共同验证，但是这个工程将会是极其巨大的。系统版本不同，系统文件那么多，那得建立多么庞大的数据库？
我的规则在windows7下已经基本完成，XP系统验证却没有通过（主要是com接口），说明还有一定缺陷。我还得抽空继续完善。我设置这么复杂的规则，纯粹就是一种乐趣、娱乐，跟安全一点关系都没有了。所以，所谓对“安全”的各种说辞、解释对我没有任何意义。

医者医人身心

我对严厉规则的理解，设置的初衷，就是最大化的限制系统进程被不良程序利用，钻空子。虽然不可能百分百杜绝，但能杜绝多少就是多少。看看毛豆被突破的事例，基本都是与系统进程被利用密切相关。病毒、木马现在都喜欢在系统进程上下功夫，而毛豆的要害却恰恰是给与系统进程全部权限，这怎么行呢？就如同我在上面的比喻里提到的中国政治局常委的权限，没有制约是不行的。系统进程一旦被利用将会是灾难性的。所以我做出了系统进程全部权限全部禁止，例外逐项排除的规则。呵呵。

8600569

新版的comodo，会自动识别文件签名，在白名单的自动放行，除非用疯狂模式

胡小龙军

我能搞定的，csrss.exe只要终止程序允许，允许一个注册表键；winlogon.exe要允许执行三个文件，其中有一个winlogonui.exe。VSSVC.exe询问就可，其余的自己研究。

医者医人身心

胡小龙军 发表于 2014-5-4 08:04
我能搞定的，csrss.exe只要终止程序允许，允许一个注册表键；winlogon.exe要允许执行三个文件，其中有一个w ...

这么容易？comodo出山多年了，也没见默认系统进程、所有系统进程的禁止排除规则在网上流传，连冒个尖都没有啊。