手动党应该怎么玩毛豆

缺缺

大清早吃点瓜子看看文  好幸糊啊   

柯林

HEMM 发表于 2016-1-22 01:43
你写的不够直白，太过诗意......没看懂......不如你把规则直接借我一抄来的快点，我最稀饭收集规则 ...

我没玩豆子，没折腾规则，我意思就是加强控制，能够监控的高危行为尽量监控
不管是分组还是不分组，程序路径最好限制清楚，授权也尽量不宜过宽
全局阻止，例外允许的方法，适用于吧HIPS当作日常应用防护的用家
危险行为全部监控，手动选择判断，适合把HIPS当做病毒分析软件的“专家”
整理下思路，我想，要表达的应该是这样，没说清或一时糊涂的地方，全部更正下，就这样

HEMM

柯林 发表于 2016-1-22 10:45
我没玩豆子，没折腾规则，我意思就是加强控制，能够监控的高危行为尽量监控
不管是分组还是不分组，程 ...

你已经开始抢答了？你要替他人回复我吗？......
我想到那里就说到那里，从不打草稿，所以很直接！我这边加上我自己的规则一大堆，三大主题，一个是自用的，一个是测试的，一个是套用的..好吧！其实是四大，还有默认的三个规则，但是好挫....


我自己的规则用着最舒服，就是应用程序控制极度的松，毛豆虽然有些不爽，但是实话实说，有个地方的确很猛！那就是防火墙居然支持CDEFG的全局禁止联网，由于我的规则又散又乱，但是除了流氓和破坏性病毒外....还真能拦住远控木马，我是指用MD的时期......
毛豆就囧了点，开始懒了，所以规则是这么写的，除了C盘和QQ游戏所在盘符外都全局禁止联网了.....很粗的规则= =，本来是想打算全部禁了，例外的程序允许联网的，但是想想挺累的，又要回复以前那样大搞特搞，每个进程需要那个端口连接到那个地址全部控制，累死了.........

毛豆9.0还不粗来= =.......1月要过完了.........我想玩......

嗯......越说越想玩.....我要忍住...........

YSJ

我现在觉得够用就行，自己的电脑自己做主

柯林

HEMM 发表于 2016-1-22 12:06
你已经开始抢答了？你要替他人回复我吗？......
我想到那里就说到那里，从不打草稿，所以很直 ...

或许你可以尝试这样想：整治毒物，余者不问！那么，值得对付的毒物：
感染型病毒；盗号木马；远控木马；加密勒索；批处理、脚本等恶作剧、破坏性病毒
规则针对它们拦、拦、拦，其它的无所谓

为了规则看起来整洁和便于管理，或许也可以“排排坐、吃苹果”：
所有程序规则-AD-驱动加载控制
所有程序规则-AD-内存访问控制
所有程序规则-AD-钩子控制
所有程序规则-AD-底层磁盘与物理内存
所有程序规则-AD-键盘与屏幕访问
所有程序规则-AD-窗口消息
所有程序规则-FD-重要文件
所有程序规则-FD-可执行文件
所有程序规则-FD-用户数据
所有程序规则-RD-启动项
所有程序规则-RD-重要的注册表项
所有程序规则-RD-IE设置
所有程序规则-RD-comodo项
所有程序规则-com接口
（毛豆默认）所有程序规则-全局规则（询问）

HEMM

柯林 发表于 2016-1-22 14:37
或许你可以尝试这样想：整治毒物，余者不问！那么，值得对付的毒物：
感染型病毒；盗号木马；远控木马 ...

= =你认为我写的出全局规则吗？.....全局我掌握的极度的差= =，尺度我不会把握，由于很多拦截的内容不懂，那怕是抄来的不懂其意添加进去对我来说也没什么用.....结果什么D都是个乱的，乱糟糟一片....
结果只能对单个程序的行为有些许了解，还是在经常运行的时候逐步放行得知的......
单细胞所以只有一个D，都是单个对应规则没组，有新程序特别的累，经常运行的程序大致上知道这个程序要干嘛，就算记不大清楚了，用个几下对照日志还是能编写出来.....
全局不会，因为用HIPS最初是因为某些游戏修改器特别的烦......但又经常的用，防毒....我记得我原来可怜的小台台（虽然我的两届小台都是淘汰郎系列，但是当时真的是很囧，开个浏览器就满了，浏览网页都卡顿的要死）....对！就是硬件跟不上，极度的吃紧，安软也就红伞和avast运行的流畅（小A当时比较不吃物理内存和U），打磨机32 4.2安装就卡死......才想到应该用HIPS辅助的防毒一下的，但是.......各种蓝屏，蓝屏，蓝屏！持续了很久，MD时期大量的蓝屏和程序不正常开始玩过来的.....规则都是临时的，因为我不知道该针对什么防护比较好....也是想到那里就添加到那里，结果还是一样.....不如套用的舒服，虽然套用也有其他的麻烦..但是比自己的瞎折腾规则要舒服。当然最舒服的规则还是心大规则，程序要求就允许，看不懂的也允许，看懂了并且明显知道是要做我不稀饭的事才阻止.......不过防护不了毒，太松且乱，只能从联网控制补全...
结果设想了一大堆，还是知识决定成败，依然是安软为主，HIPS为辅，只能限制下我知道的程序不美好的行为，以及控制程序的联网请求，本地规则依然是一塌糊涂......
想法总是在变，但是折腾下来目前感觉还是不如套用的高效......

柯林

HEMM 发表于 2016-1-22 15:18
= =你认为我写的出全局规则吗？.....全局我掌握的极度的差= =，尺度我不会把握，由于很多拦截的内容不懂 ...

我是想，毛豆把3D内容全部放在一条全局规则里，很不符合我们的习惯，或许我们可以删除它的自带全局规则，把它拆解为多个细致的专项规则，看起来，找起来，都要容易一些，顺眼一些。这样的话，我回答你的帖子，最后那个默认的全局规则可以不要

电脑发烧友

            话说规则上做分组我觉得还是很有必要的。毕竟每个程序对应的权限很有可能是不一样的，比如一个音乐软件去调用摄像头，这应该是YY或者QQ做的事情。所以我觉得每一类程序应该对应一类权限，在保证不影响正常使用的情况下来尽量的限制程序行为，毕竟我们不知道这个程序什么时候会被恶意利用，或者我们安装的程序存在恶意行为。
            我的规则基本上一打开就会有上千的拦截日志，原因不是因为我的电脑是毒窝，这些日志都是正常程序的拦截日志，但是我依旧用的很好，基本不影响使用，而我给的都是最基本的权限，他们却可以正常使用，所以我觉得用HIPS确实应该做到“谁都不信”。我曾经做过很多次实验，在除了个别几个高权限分组以外（系统，杀软等），病毒都没有对电脑产生破坏性，盗号一类的在HIPS上我基本束手无策，因为很多正常软件也需要获得键盘输入的信息，不过还是有一些情况是可以的，就我的经验来看，一些木马获得了键盘信息后会在某个位置创建文件用作记录，我允许修改的位置为——?:\Users\*   ?:\Documents and Settings\*\Application Data\*  还有临时文件，但是我遇到喝木马很少在这些地方存储信息，这时FD会阻止这些信息被记录，也算是防御了。但是万一木马在这些地方记录信息呢？我想到了防火墙，但是由于本身并不怎么懂这个，所以一直没有什么办法。
            还有完全信任windows下的所有程序是否真的合适？一旦HIPS在一些方面存在BUG，导致系统程序被利用，那么基本就玩完了。我现在已经给explorer和svchost单独的分配权限，这两个程序确实是最容易被利用的东西，但是我依旧不敢收紧这两个程序的权限，只是稍作限制，因为我不知道收紧之后会发生什么。
            另外毛豆还是有很多BUG的，我不清楚官人是否还打算维护D+，看看9.0是否有改观把。

柯林

电脑发烧友 发表于 2016-1-22 18:10
话说规则上做分组我觉得还是很有必要的。毕竟每个程序对应的权限很有可能是不一样的，比如一个 ...

纯手动HIPS存在一些令人不好处理的情况，完全信任系统目录下的程序肯定不行，如果HIPS可以引入一些更多的筛选条件，比如说签名，那么系统目录下，就可以对持有微软合法签名的程序放行，对持有显卡厂商、声卡厂商等硬件供应商的合法数字签名的程序放行，这样就好办一些了。再比如windows更新，在非系统盘上释放的setup.exe和update.exe这类程序，如果可以使用数字签名来做规则，就方便多了；再比如防治流氓软件，如果规则可以引用数字签名，那么对于关键位置，做规则，凡是持有流氓厂商的数字签名的程序，一律拦截，就爽啦；再比如虚拟化技术，如果HIPS规则可以引用，对某某程序的某些FD操作、RD操作或者是全部操作，使用虚拟化操作，那就不怕它破坏机子了。还是产品太粗糙，不好用。所谓的智能化，所谓的多步判断，个人觉得，其中一个方法，就是引用多条件筛选：一条规则，对某一方面的操作，包含很多可选的判断条件，也属于机械、变相地实现，当然智能化模拟评判是最好的。

条件限制，没时间玩HIPS，将来有条件的话，弄台测试机，专门用来测毒捣腾规则，或许也有点乐趣。

电脑发烧友

柯林 发表于 2016-1-22 18:45
纯手动HIPS存在一些令人不好处理的情况，完全信任系统目录下的程序肯定不行，如果HIPS可以引入一些更多 ...

其实我还有很多幻想。比如我们可以自己设定当触犯某个规则多少次，或者连续触犯那几个规则后就直接删除文件并回滚所有操作。这似乎是很好的，但是只是幻想。另外，现在签名似乎也不太可靠。