搞了几个有意思的样本 求测试毛豆hips

墨家小子

qq5150 发表于 2014-9-22 22:29
这个我测试没有访问svchost内存提示，记录只到syswow64\svchost.exe删除它自身，启动项没发现异常。。。 ...

http://bbs.kafan.cn/thread-1773669-1-1.html  这个呢

qq5150

墨家小子 发表于 2014-9-23 12:07
http://bbs.kafan.cn/thread-1773669-1-1.html  这个呢

拦截 222.exe各种内存访问，taskhostex.exe，msfeedssync.exe. werfault.exe ，毛豆之类的，启动项无异常

墨家小子

qq5150 发表于 2014-9-23 13:24
拦截 222.exe各种内存访问，taskhostex.exe，msfeedssync.exe. werfault.exe ，毛豆之类的，启动项无异 ...

有没有222.exe启动这一步werfault.exe ？

qq5150

墨家小子 发表于 2014-9-23 14:48
有没有222.exe启动这一步werfault.exe ？

有，如果允许就完蛋了，阻止的话就出现上面说的各种内存访问

墨家小子

qq5150 发表于 2014-9-23 16:12
有，如果允许就完蛋了，阻止的话就出现上面说的各种内存访问

允许的话 下面一步毛豆没拦截到吧？这是重点

qq5150

墨家小子 发表于 2014-9-23 17:01
允许的话 下面一步毛豆没拦截到吧？这是重点

可以这么说，确实没拦截到，但是说说另外一个话题，真正防毒的话，官方规则还是官方用法点好，既然单开hips那主要还是看个人用法了，官方拦截的精华都弄到沙盒去了，这个系统文件不仅在我全局规则里面阻止创建进程，还在我拦截文件组里面，所以第一次才没测出你要的，这也是hips的好玩之处了。另外希望看到这帖子的comodo的新手勿学，还是乖乖用默认挺好的。

墨家小子

qq5150 发表于 2014-9-23 23:46
可以这么说，确实没拦截到，但是说说另外一个话题，真正防毒的话，官方规则还是官方用法点好，既然单开hi ...

同意你的说法 我有SBie的终身key所以还是关注毛豆的HIPS 如果官方能自定义毛豆的沙盘和hips 我会选择hips再加SBie的

qq5150

墨家小子 发表于 2014-9-24 14:50
同意你的说法 我有SBie的终身key所以还是关注毛豆的HIPS 如果官方能自定义毛豆的沙盘和hips 我会选择hips ...

SBie的终身key羡慕妒忌啊，沙盒的话，sbie的确好用啊，我也曾经有段时间用sbie+毛豆的hips，将sbie路径弄到内存盘中，挺好的，后来没key就放弃了，有key没key差别太大了。

墨家小子

qq5150 发表于 2014-9-25 12:45
SBie的终身key羡慕妒忌啊，沙盒的话，sbie的确好用啊，我也曾经有段时间用sbie+毛豆的hips，将sbie ...

怎么加入内存盘里啊？

qq5150

墨家小子 发表于 2014-9-25 12:50
怎么加入内存盘里啊？

打开Sandboxie Control（沙盘控制台），在控制台界面的菜单中：沙盘－》设置保存文件夹－》右边栏选择内存盘符，应该是这样吧，好久没用了