新版毛豆主要问题的林林总总

柯林

新版主打沙盘防御，同时具有HIPS，如何使用，完全是见仁见智的问题。本帖就使用中可能遇到的主要问题，归结到一起，供大家讨论。对于每个问题的个人意见，仅供参考，如有说得不对的地方，还请大家谅解和批评。如有遗漏的问题，请楼下继续补充。

一、选用问题：是单奔毛豆套，还是各种搭配？是默认的自动沙盘防御，还是继续HIPS，还是HIPS与沙盘结合？个人意见，一般用户，单奔毛豆套，使用默认的自动沙盘防御即可，系统稳定性好，易用度高，兼容性好，省时省事省力（毛豆默认策略就是：安全程序放行，恶意程序阻止，暂时未识别的入沙隔离，普通人啥也不用做，就沿用这种默认方式，根本就没有什么可操心的）。

二、规则问题：以前的教程，以及V3时代发展起来的经典规则，是以xp系统为蓝本的，现在系统大多已经过度到win7、win8，很快又要win10了，既往规则，可能要做适当的修改（大部分地方都是可以沿用的，只是少部分系统有变化的地方，需要更改）；另一方面，毛豆自身也有发展变化，原先有拦截的可能后来已经不拦了，原先没有拦截的可能后来加上了，继续沿用旧有的设置可能并不有效（例如命名管道及设备方面的拦截规则），需要做些实际测试加以检验和订正（毛豆内部放行的，你写什么*全部拦截也没用啊）。

三、结合问题：HIPS与沙盘可以结合起来用，两者全开，无论是用HIPS来防流氓也好，限制某些“已被毛豆判定为安全的程序”也好，都是可以的，至于具体怎么设置与规定，个人按自己的需要取舍吧。一般情况下，这种结合应用，HIPS规则不用做得太严太细的。

四、沙盘问题：沙盘怎么设置？如果是新手，对相关问题不是太了解，个人意见，用默认的即可，不需要额外设置。对于有需要及愿意动手的人，可以适当捣腾下沙盘规则，让自动防御更强悍。具体设置方法，可以参考相关帖子。

五、QQ等程序要不要入沙？一个看你的需要，一个看你的C盘。如果你就是不放心，就想要限制它，囚禁它，在没有开启HIPS，单用默认的自动沙盘防御的情况下，那就入沙；QQ倒也没什么，像迅雷等程序，下载很多文件的时候，入沙后重定向在系统盘（一般是C盘），请考虑C盘容量，最好把下载目录添加到毛豆沙盘的共享文件夹。

六、如何保证入沙后的安全？本来按照毛豆自身的策略，是把安全的程序放在沙盘外实机运行，把未知程序（包含新变种的病毒）放进沙盘里虚拟运行，从而实现将二者隔离以起到安全防护的效果。当我们把一些安全程序也放进沙盘的时候，由于毛豆没有像传统沙盘那样为不同的程序分配不同的虚拟空间进行隔离，理论上有“与狼共舞”的可能，当然，沙盘毕竟有限制作用，一般情况下病毒还是起不了作用，要不然，沙盘也没那么多人用了。出于谨慎考虑，个人觉得，对于网购、网银、登录重要网站的情况下，浏览器最好不入沙；日常使用，乃至浏览不安全站点的时候，可以入沙（实际上入不入沙，对于毛豆来说毫无影响，因为毛豆沙盘会自动隔离来自网上的病毒）。如果出于特殊需要，也可以用分级制进行处理——手动指定入沙的程序采用一个限制级别；自动入沙的程序又用另一个限制级别（要完全虚拟就只能默认的部分限制）。相关资料可以参考：http://bbs.kafan.cn/thread-1307386-1-1.html  （新版是否有改进，需要测试才能知晓）

七、网页防护问题：有些人担心，毛豆似乎没有网页防护，有些杀软会报危险网页，会提醒或阻止链接，毛豆似乎没有啊，会不会中招啊？个人觉得，这完全不是个问题。你要使用毛豆的DNS，它自动就给你屏蔽了。即使不用它的DNS，也完全不是问题，即使网页带毒，也不会有事，因为有两重保障：一是毛豆的杀毒，二是自动沙盘隔离。杀毒没认出的，自动隔离进沙盘加以限制啊。而且网页种毒，需要系统漏洞才能成事，补丁打全，根本就是天然免疫（自己点击诱惑下载的不在此列）。至于网络钓鱼，这个要靠用户自己，毛豆防火墙里也有钓鱼网址黑名单拦截，然而作用有限。

八、U盘防毒问题：怎么防U盘，写什么样的规则才能防？不用写，默认即防（沙盘自带规则有一条：来自于移动磁盘的所有未知程序自动入沙）。U盘病毒，也是毒，已知的，被杀毒模块干掉，未知的，自动隔离进沙盘，降权限制，搞不成破坏。如果你非要不放心，非要写规则，大概也就只能文件组里建个U盘组，写上U盘路径（最好多写几个，以防你同时插上多块移动磁盘而使得路径失效），自动沙盘里写规则，把整个U盘全部入沙，不放心就拉高限制，比如不信任，甚至于阻止。这样做，你要直接运行U盘上的程序，没法用，要用只能复制到硬盘上去用了。

九、病毒防御问题：毛豆究竟怎样弄才能有效防毒？这问题，第八条已经说了，默认就能很好的防毒，就算它杀毒再怎么挫，还有个自动沙盘隔离，还有个云鉴定。普通人真不需要费神。你要实在信不过，那就去开HIPS玩“手动禁毒大法”好了。

十、沙盘设置优先级问题：四个选项，根据个人初步测试，貌似优先级关系依次为：阻止>限制运行>完全虚拟化>忽略，这个只是表面印象，实际上应该是这样排序：阻止>不信任>限制运行>低权限>完全虚拟化（部分限制）>忽略。只有在部分限制级别，才是完全虚拟化（貌似是这样），究竟对否，待测，有兴趣的自己测试下。

十一、默认修改问题：根据自己的实情，对默认项目进行修改，以便让毛豆发挥应有的作用。例如自动沙盒里，默认自带的几条规则里，有一条是“对于网页浏览器所创建的任意位置任意来源的可执行文件，自动鉴定判定为未识别的，一律虚拟化处理”，打开文件评级里的文件组，找到网页浏览器，打开，发现里面并没有我用的360浏览器，于是把360浏览器的路径（*\360se.exe）添加进去，这样，一旦360浏览器上网后由于某种原因下载了一个病毒文件并且运行了（这是假设啊），将会被规则按照追本溯源权限继承的原则而自动隔离进沙盘去虚拟化运行。

十二、提高安全级别：如果对安全有高一点的需求或者是恐惧症，可以把沙盘规则针对未知文件（包含病毒木马在内）的限制级别拔高。具体做法是，将自动规则里，两条默认的虚拟化运行规则，最后的设置限定级别，依次更改为“低权限与限制级别”。自己再添加一条规则，操作虚拟化，路径引用“所有应用程序”这个组，创建于“开始目录”、“临时文件”（准确应该是临时文件夹），信誉“无法识别”，限制级别为“不信任级别”。这样对自动隔离入沙的程序，管制就严得多，安全系数就提高了。相应地，如果你要用的某个程序文件，被隔离了，大概也就运行不了了，解决方法，一个是提交毛豆去鉴定，一个是自己制定入沙规则（确认安全的选忽略，需要入沙运行的选部分限制）并置顶。

十三、规则解读：沙盘规则究竟怎么解读？例如下面这条（默认的）仅以第一项为例：

解读1：由*所创建的，来源于互联网，位于任何一个地方，未识别的，所有应用程序，给予虚拟化运行（默认为部分限制的级别）
解读2：来自于互联网，任何一个地方，所创建的*文件，未识别的，所有应用程序，给予虚拟化运行（默认为部分限制的级别）
这两种解读，哪个才准确？个人认为是第一种。

十四：个人密保问题：有人一直诟病毛豆的不防读，其实这问题可以反过来看，别的杀软（从大名鼎鼎的卡巴到国内如日中天的数字，那么多的杀软）哪家防读了？人家都不着急，你着急个啥呢？这是题外扯淡了。就毛豆所提供的功能而言，你要在意私密文件的保密问题，有两种方法：一个是加入“被拦截的文件”（谁也读不了，相当于所谓的文件保险箱），一个加入“数据保护目录”（个人实测，在虚拟桌面下，无法读取被保护的目录，实机环境下，入沙程序无法访问被保护的目录）。其实最安全的还是数据加密（例如RAR加密存放，或者使用磁盘加密软件）以及物理隔离（私密文件单独用个介质存放，而且最好以加密的方式存放）。至于能不能在开启HIPS的情况下通过特殊的com端口或者管道控制等手段来实现防读，这就不知道了，有兴趣的自己研究。

十五、样本测试问题：这个东东，留给有经验的人去玩吧，一般人就别凑热闹了（好奇害死猫啊）。喜欢玩的，最好虚拟机玩吧。一般人真心没必要管这个，也不说是对豆子没信心，而是真的没必要，好好用你的电脑，该玩游戏玩游戏，该做事做事。为啥呢？原因一，不作不会死！原因二，就算你可能遇到类似病毒，最笨的，你等着入库杀掉就ok了，用得着当炮灰去犯愣？这是计算机安全专家和灰帽子们干的事啊，与普通人无关。如果喜欢实机双击，建议参考第12条的说明（那条也没说好）拔高安全系数，方法两个，一个是将默认自带的三条虚拟运行的规则，直接用一条任意*未识别的所有应用程序虚拟运行代替即可；更变态的是，所有不可信程序一律限制运行；把系统盘以外的磁盘都列入数据保护。这样弄了再去双击吧虚拟环境与实机环境总是有差别，虚拟机里的测试并不能完整反映样本的实际情况，如果热衷测试，最好二手淘个测试专用机，物理隔绝，专门用于实机测试软件与样本，要玩就得有付出

十六、新版究竟需不需要开HIPS？实话实说，完全不需要！新版就是转向自动沙盘防御，未知程序都自动入沙被限制起来了，开HIPS干啥呢？随便抽点时间，稍微捣腾下沙盘设置，就能做到智能辨识与防御，又不妨碍正常程序运行，又能有效拦截病毒木马恶意程序，省事省力的事何乐而不为？抛弃毛豆的智能防御体系（病毒库+云+自动沙盘），回归纯手工防御（HIPS规则），除非特殊需要或老鸟追求掌控感，一般人真没什么必要。

十七、HIPS的规则玩到哪个程度？很多新人出于跟风，以为玩HIPS很酷，结果变成了很苦——提出的问题，让别人回答也不是，不回答也不是。实际上就是没有解决两个问题：何谓安全行为与高危行为？何谓准确的拦截点？HIPS说到底，就是个行为监控软件，一打开，稀里哗啦一大堆，重要的不重要的行为，全都检测到了，什么都要惊恐三分，不分主次，怀疑有鬼，都要来个“十万个为什么”的话，累坏不说，也就意味着你没入门，没有踩到点上。怎么样才能踩到点上，找到准确的拦截点？实验，唯有实验：找有代表性的病毒，分析与提取其典型的病毒行为，作为拦截的依据，其它的都忽略，至多对于那些病毒与个别正常程序都有的共同行为点进行监控，这样得到的规则，才是真正拦到点上的规则，于此可见，HIPS这玩意就不是我等门外汉可以精确驾驭的东西，只有真正与病毒分析打交道的人，才能得心应手的使用它，一般人还真就是个尝鲜与解渴的玩具，不要抱太大的希望，误拦与不知道该不该拦的苦恼很正常，习惯就好。

十八、善于利用沙盘的限制级别。沙盘默认策略为，自带三条限制规则，默认以限制级别跑完全虚拟化。官方这样弄，是出于防毒兼顾运行普通程序的需要，基于安全与通用的平衡考虑。如果自己使用，完全可以更改。防毒规则，针对病毒防御，直接上高限制级别；自己安装使用的程序，想要入沙限制，可以用最低限制级别——部分限制的完全虚拟化来跑。具体规则制作，按自己的设计，把防毒与限制正常程序分开即可。

作为一个工具，防毒的工具，爱怎么用就怎么用，喜欢哪个就哪个。喜欢折腾就HIPS，图清净就默认沙盘防御。

暂时就这么多吧，楼下继续补充和讨论。

ps：关于沙盘里的忽略，个人此前可能误读，它的实际意思应该是阻止的反面——放行！也就是在文件评级里，作为未知程序（未识别的文件），理应自动入沙的，沙盘规则强行规定，忽略文件评级，不需要入沙。

liushuikong

作为一个小白，总感觉即使最低限制程度沙盘使用起来有诸多不便，完全没有省时省力的感觉。比如，沙盘会直接导致破解idm和迅雷无法下载，还有会导致无法正常安装一些国产软件等等，这些软件都会被识别为未知程序，肯定也不能设置为完全虚拟，都需要手动排除。如果那天comodo沙盘各限制级别里面的具体规则也能够自定义的话，使用的灵活性会更高。

柯林

liushuikong 发表于 2015-4-26 07:48
作为一个小白，总感觉即使最低限制程度沙盘使用起来有诸多不便，完全没有省时省力的感觉。比如，沙盘会直接 ...

我实测了下，用虚拟桌面，或者完全虚拟化，可以正常使用迅雷下载，但是设为限制运行却不行，没有流量。

tan_knight

试过还几次毛豆都放弃了

柯林

tan_knight 发表于 2015-4-26 14:24
试过还几次毛豆都放弃了

新版毛豆，装上就用，智能傻瓜，安静流畅，就不需要什么设置，跟用360之类是一样的，会用国产卫士或杀毒软件的人，都会用新版豆豆，除非自己跟自己较劲——菲要去弄什么规则，非要相信什么毛豆不折腾就不安全的流言（典型的废话，毛豆参加国际测评，用的就是默认设置，拿的世界第一，竟然说不安全，我去，说这话的人舌头太大了）。

竹韵笙歌

想知道用他的反病毒软件cav搭配360卫士可行否。。。。。

柯林

竹韵笙歌 发表于 2015-4-26 16:19
想知道用他的反病毒软件cav搭配360卫士可行否。。。。。

不知道，没用过，你自己试下看兼容性如何。

arthurkung

喜欢看柯大的文章，受益匪浅。

YSJ

我感觉COMODO还是比较不错的

liushuikong

柯林 发表于 2015-4-26 10:32
我实测了下，用虚拟桌面，或者完全虚拟化，可以正常使用迅雷下载，但是设为限制运行却不行，没有流量。

这我知道，关键是这是下载软件，完全虚拟化还会波及下载的内容