（小白）疯狂模式

柯林

工作忙，很久没来了，来就水一贴。题目说小白，其实俺也是小白哈，所以我直接默认规则（当今这年头，普通人的计算机，没那么多不安全的，人家真搞你，电磁泄漏你都没法不是？有个墙，有个杀软，够用就行）。

见有坛友问怎么玩豆以使得自定义规则优先。这个问题，好像也只能疯狂模式。有人可能说了，我是小白，疯狂受不鸟！呵呵，你别过于疯狂啊，用小白模式的疯狂就行了呗【一个东西，有各种各样的玩法啊，为啥要局限于某一种？】

具体的操作，有兴趣的自己设置了看看，我这里只说下构想——分区授权管理（小白能接受和适应的简单易用管理模式）。

开启HIPS，进入规则设置页面，将其从上到下，划分为4个区：
第一区：高安全区，或者叫做可靠程序信任区，就是默认自带规则，最后一条全局规则上面的整个区域。
（这一区如名字所说，安全可靠的程序都放这里，给予极高权限加以排除或者叫做放行。你要说我是小白，不知道加哪些？呵呵，那就不用管呗；如果你用毛豆套，啥也不用做，等着毛豆弹窗后自动添加即可；如果是另外加个杀软，把杀软路径放进去，给予系统权限就ok）
==================================================================
第二区：高危项目监控区。（名字好听，说白了，这一区实际上就只有一条规则——默认规则自带的最后那条垫底的全局规则就是。这一区啥也不用做，保持默认，是的，保持默认。）
===================================================================
第三区，可靠程序放行区。就是全局规则之下的区域，呵呵。加入你想放行的程序路径以及具体放行内容。这一区是结合第二区的全局过滤规则，依据毛豆规则流程，相互配合，达到筛选的目的。具体你要做到哪个程度，自便了。作为小白的用户，假设，你的应用程序都安装在C:\Program Files 目录里，那就加一条C:\Program Files\*路径（或者?:\Program Files\*），将不需要监控的部分放行（例如域名解析客户端、屏幕监视器、键盘、窗口消息；磁盘也打勾吧，不放心就默认），需要控制的有限放行（例如运行一个程序，例外里允许?:\Program Files\*吧，C:\Windows\System32\notepad.exe，C:\Windows\System32\Macromed\Flash\*；进程间内存访问，例外里允许?:\Program Files\*吧；进程终止，不放心就默认，放心的话，例外里允许?:\Program Files\*吧；受保护的com接口，例外里允许合适的啊；受保护的注册表，例外里允许合适的啊；受保护的文件/目录，例外里允许临时文件夹吧），剩下的，加载驱动，安装钩子，默认不动，由第二区的全局规则询问啊，如果对于底层磁盘、乃至键盘访问，也要监控，默认即可，一般是不用的（因为键盘记录，通常会装钩子，你拦截钩子就行了；底层磁盘访问，有的可能需要加驱，拦截加驱就ok了）。
如果是64位系统，再加一条C:\Program Files (x86)\*的规则，仿照上面说的的处理下。
有其他应用程序的，例如D:\Games之类装了游戏啥子的，一样的处理下即可。
===================================================================
第四区：自动化处理区。就是前面的东东都搞完后，再在最后，写上自动化处理的规则（其实不写也行，由第二区来负责监控即可）。比如，写上自动拦截规则，加一条路径*.exe的规则，重要的项目，例如加驱、安装钩子、进程间内存访问，直接阻止（或者进程间内存访问写上例外阻止C:\Windows\*,?:\Program Files\*)之类的，自己拿捏了。当然，也可以改为自动允许规则，不重要的部分，比如窗口消息、域名解析之类，直接允许）。【至于要自动放行哪些路径，自己考虑。注意，如果加的自动拦截规则，注意前面没有放行系统目录下的程序，要不要在第三区里补上一条C:\Windows\system32\*.exe的规则来放行会被拦截的部分呢?】

如此四区划权管理，责任很明确，规则也简单（少的可怜的几条规则，全部加起来有咩有十条规则啊？），你要做的，就是开到疯狂模式，等着少数程序弹窗，点点允许或者阻止并记住规则，让它自动添加规则到第一区里即可），是不是很简单呢？


附：很久没折腾豆子了，新版本在规则流程上是否有变化，实验者自己研究哈，如果第三区里的规则，因为规则流程关系，被第二区的全局规则抢了先，那就换换位置，把第三区里的无效规则移到第二区上面去。
ps：那么多区，分不清咋办？自己心里知道分区线就行了，实在不行，拿张纸画个分区图；再不行，规则上作标记吧。

--------------------------------------------------------------------------------
总结一下：这种小白玩的简单疯狂模式，实质就是采用简单控制的规则思想：重点、要害的动作，我控制下，其它的，自动处理也好，全局监控也好，由他去了。只要实现重点打虎的目的就ok，规则不要太复杂，作用也有，一般性的玩玩也算简单，就ok啦。

羽扇纶巾

想柯大很久了。顶贴！

微笑低语

补充点儿，在中间的全局规则里面，阻止解析客户端，可以上网的放在上面，不让上网的放在下面。

柯林

补充下：刚刚仔细看了下默认的全局规则，如果要追求高一点的安全性，需要修改下（第二区的把门规则），例如里面结束进程例外允许了*，加载钩子允许了系统的一些常用钩子等........如果一开始玩，图简便，可以不用管的哈，玩的时间长一点后，还是抽时间修改下，让第二区真正发挥作用。

aquablue

这个帖子非常不错，规则简洁，收藏备用。谢谢。

Jason_Tatakor

好像好久都没有来了吧。。。。
对于毛豆，现在都不想再折腾了，而且现在的V8版本，已经非常智能了。
好像还有一个版本，“毛豆不知道哪里来的自信，默认关闭HIPS”【啊哈，这里借用一下某一位的话了】
不过毛豆现在沙盘也还行吧，V8版本没怎么用过。

柯林

yhzhang 发表于 2015-4-15 22:34
好像好久都没有来了吧。。。。
对于毛豆，现在都不想再折腾了，而且现在的V8版本，已经非常智能了。
好像 ...

很久了，工作忙，没时间。最近松活点，上来逛下。
本来我装VSE用的好好的，可惜它乱杀一通啊，工具被杀得一塌糊涂，没心情才装了毛豆，用默认，不折腾

Jason_Tatakor

柯林 发表于 2015-4-15 22:40
很久了，工作忙，没时间。最近松活点，上来逛下。
本来我装VSE用的好好的，可惜它乱杀一通啊，工具被杀 ...

反正我是不想折腾了，现在都用毛豆防流氓。
话说，不知道为啥，我电脑一装咖啡就卡的要命，比如卡exe，打开文件等等，慢的不行，但是只要关掉咖啡就很流畅，所以干脆废了它

柯林

yhzhang 发表于 2015-4-15 22:43
反正我是不想折腾了，现在都用毛豆防流氓。
话说，不知道为啥，我电脑一装咖啡就卡的要命，比如卡exe， ...

可能体质问题，或者软件环境不够“纯洁”？
话说我用VSE+系统墙，intel的渣渣核显，mpc-hc播放1080（x264）占用超低啊，换了毛豆高了一些
本来我有独显的，因为一个朋友想配台机子，我想试试intel入门U播放高清的效果，就拔了独显，还真可以，VSE下不知道拦了什么，机子超轻快爽的说，可惜狂杀啊

Jason_Tatakor

柯林 发表于 2015-4-15 23:04
可能体质问题，或者软件环境不够“纯洁”？
话说我用VSE+系统墙，intel的渣渣核显，mpc-hc播放1080（x26 ...

恩，我估计是软件环境的问题，话说我电脑配置在当时也不低的。
额额，我还没换过系统，这是不是。。。
还是出厂自带，一般只给别人装系统，哈哈