楼主: 柯林
收起左侧

[讨论] 如何简单有效地玩转comodo?

  [复制链接]
亏神
发表于 2016-3-11 09:57:01 | 显示全部楼层
刚才那贴是回楼主普及微软防火墙那贴,不知怎么跑到这里了,另请教楼主能看看我39楼的问题吗,先谢过了
亏神
发表于 2016-3-11 10:34:34 | 显示全部楼层
本帖最后由 亏神 于 2016-3-11 10:38 编辑

我琢磨出来了,楼主看看对不对1:挂马网页的木马根本到不了本地,直接入沙,
第二个问题,关机重启就是清空沙盘了

所以访问挂马网站根本就不用杀毒,因为木马入沙了,一关机沙盘里的木马的魂消魄散了

最后一个问题 ,因为我想禁止所有exe文件下载,可是楼主有没有不是exe类型的病毒,如果有的话,那禁止所有exe下载意义也不大吧

再次感谢楼主指教
柯林
 楼主| 发表于 2016-3-11 13:23:50 | 显示全部楼层
本帖最后由 柯林 于 2016-3-11 13:28 编辑
亏神 发表于 2016-3-11 10:34
我琢磨出来了,楼主看看对不对1:挂马网页的木马根本到不了本地,直接入沙,
第二个问题,关机重启就是清 ...


按照毛豆机制,所有不能验证为可靠的,都是未知程序(不可识别的),对于它们的处理,开启沙盘的情况下,
依据沙盘规则进行处理——自带沙盘规则有两大条(两个小规则集)

第一大条(小规则结合),来源于网络、网盘、移动磁盘上的未知程序,入沙,默认限制(部分限制级别),这个级别低了,建议拉到第二高度(限制性级别)

第二大条(小规则结合),对于网页浏览器、办公程序、压缩工具、文件下载工具、电子邮件、伪文件下载,这些已经在分组里列出名单的程序,它们所创建的文件(程序),包括它们自身,未知的,入沙,默认限制(部分限制级别),这个级别也低了,建议拉到第三高度(低权限级别)

通过对以上的解读,可以知道,只要毛豆的文件验证不摆乌龙,一切病毒、木马、流氓程序,对计算机的实体伤害将会被隔离,在沙盘里进行虚拟操作,无法更改计算机上的文件和注册表,对于勒索加密就是致命一击。当然还有另外一个因素,毛豆判为未知,暂时没有识别为病毒,而它恰恰是一个新的未知病毒,用户当作正常程序加白,可能就中招了,所以手动加白程序须谨慎,非得确认才行

入沙了是不是就彻底安全了?也不是!入沙,仅仅是隔绝了FD操作与RD操作,AD上的限制,需要靠设定的级别,默认的部分限制级别,这种最低级别,防御力是很低的,截图之类的都防不了,所以建议拉高限制,自己需要入沙运行的程序。另外规定即可。一般拉到限制级别,像QQ粘虫这一类的病毒都没用了。

另外,毛豆FD防写不防读,是不是入沙程序需要阻止或者不信任级别才可以阻截读取实机文件,这个需要找相关工具测试才清楚,对于资料安全性敏感的,有两个方法提供变相解决:一个是防火墙,弹窗谨慎放行,不认识的(木马病毒)程序,拦截联网;另一个是加密存放,建议用winRAR加密重要资料文件,12位以上复杂密码(中文更好,比如你特设的一句话)

重启,沙盘并没有清空,需要手动清空(重置沙盘),它这样设计,是为了照顾某些喜欢把程序安装在沙盘里使用的人
亏神
发表于 2016-3-11 22:43:24 | 显示全部楼层
1:在楼主的指导下,沙盘里我建了一条阻止 互联网的可执行文件,需要下载可信的程序时再关闭
2:因为上面这条规则,可执行文件还是要下载到本地,我想 禁止下载可执行文件,不知楼主有无方法,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2016-3-11 22:59:33 | 显示全部楼层
亏神 发表于 2016-3-11 22:43
1:在楼主的指导下,沙盘里我建了一条阻止 互联网的可执行文件,需要下载可信的程序时再关闭
2:因为上面 ...

因为有了沙盘的存在,执行文件已经不怕带毒了,所以下到哪里是一样的
按照沙盘原理,只有程序入沙,所有FD操作才会虚拟化,你需要把下载工具入沙
另外一种方法,改下载工具的下载目录为C盘上的毛豆沙盘目录,不知道行不
亏神
发表于 2016-3-11 23:22:49 | 显示全部楼层
柯林 发表于 2016-3-11 22:59
因为有了沙盘的存在,执行文件已经不怕带毒了,所以下到哪里是一样的
按照沙盘原理,只有程序入沙,所有 ...

明白了,多谢楼主,
亏神
发表于 2016-3-12 08:06:56 | 显示全部楼层
成为正式会员这最后一贴献给柯大侠,多谢这么多精品教程
hebinghan
发表于 2016-3-14 10:18:43 | 显示全部楼层
不错柯大的每篇关于毛豆的文章都收藏了,一直就对毛豆很感兴趣,有时间试试。
諾言敵不過時間
发表于 2016-3-21 16:15:03 | 显示全部楼层
本帖最后由 諾言敵不過時間 于 2016-3-21 16:28 编辑

例外文件组里需要添加C:\Program Files\*与C:\Program Files (x86)\*,最后到沙盘规则里加例外排除(忽略)
關於這段如果有帶毒文件進入這兩個資料夾並且感染的話那是不是就中招了..

HIPS選項要開啟嗎?
柯林
 楼主| 发表于 2016-3-21 19:24:22 | 显示全部楼层
諾言敵不過時間 发表于 2016-3-21 16:15
例外文件组里需要添加C:\Program Files\*与C:\Program Files (x86)\*,最后到沙盘规则里加例外排除(忽略) ...

理论上是有这个可能,但以实际而论,可以忽略,或者不加

不加,可以保持最好的防御,但是需要对个别被误杀的程序,例如mpc-hc和k-lite等做例外

可以忽略,理由是,将本地未知程序入沙,是防毒防外来用的,自己安装使用的程序,一般都是可信的,至少在你建立这条放行规则之前,已经扫描过,或者基本确认过,是可信的,之后,在安装过程中,有毒的东西会被过滤掉,想装你也装不进去,除非有毒或不可信的安装包被你手动放行了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:01 , Processed in 0.100026 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表