火力全开耍豆子，是不是最简单实用的方法？

柯林

沙盘与HIPS全开，日常防御使用，主要防住入口；需要安装、卸载、更新时，禁用HIPS，由杀毒、防火墙、沙盘顶着，完事再启用HIPS，就这么简单地一切一换，实现“防护严密”与“简单易用”，算不算是最简单实用的方法？

思路是这样的：明确入库的东东，会被杀毒干掉，或者被沙盘阻止运行；未知的东东，会被自动沙盘入沙，一些关键或可疑位置，被沙盘阻止运行，加上防火墙拦截联网，其实对于普通用户而言，一般的日常防护已经够用了。但是，对于有合法数字签名的流氓，却是一个短板。开启HIPS，做上入口防御，让流氓也无处用力。具体做如下考虑：

位置方面：病毒两大来源——网络与U盘，沙盘已经自带规则——凡是来源于网络/网盘与移动磁盘的不可信文件自动入沙，再进一步，来自网络的病毒，主要是在访问网络的过程中，被浏览器等相关软件（包括聊天软件和邮件程序），下载到桌面、我的文档、%Temp%之类的地方，再加以执行闹事，一句话归纳，以上位置全部在用户路径下，列上一个管制路径C:\Users\*，套上毛豆自带的“被限制的程序”这一规则，再NB都废了，除非利用毛豆或系统漏洞，直接过了毛豆。另外有些流氓，利用C:\ProgramData来闹事，把这个路径也加入管制范围；同理，把U盘路径一并列入。这样，两大毒源，全被封杀，算是最犀利而又简单有效的方法。

文件方面来说，对于入口防御而言，甭管什么程序，要做坏事，通常离不了两条：一是创建可执行文件落地生根，二是破坏用户数据制造事端。对于防御而言，HIPS全局上禁止创建修改可执行文件；建一个用户数据组，引用保护，HIPS里如上所言，用规则封杀两大毒源，保护用户数据。
另外，系统重要文件，禁止任何程序更改，杜绝白名单程序的小动作。

注册表方面，全局禁止修改启动项，流氓也好，假冒数字签名的病毒也罢，开机闹事就免了。浏览器方面，IE主页经常被改，一并加入限制吧（其他浏览器如果觉得有必要，把其配置文件所在位置，也在全局规则里进行阻止）。

AD方面，首先是文件执行，限制程序调用浏览器、邮件客户端、svchost.exe，explorer.exe等，是很强的防范措施。必要的加例外，例如浏览器做规则加例外，或者直接?:\Program Files\*.exe这样的路径加以大范围排除，需要允许调用浏览器的程序，安装或放到Program Files目录里。
com接口，重要的项目阻止掉（全局规则上拦截）。
重要文件保护方面，对于svchost.exe和explorer.exe要不要加自保，防止不明程序把钩子注入，内存侵入，甚至消息轰炸，这个可以考虑也可以不用管。

大致就这样简单弄下，强度差不多翻了一番，病毒、木马、流氓，差不多都被玩废了，起不了什么作用。其它个别方面，比如电子书、绿色软件、破解工具什么的，需要入沙管制的，建个组，沙盘规则里引用入沙即可。

柯林

二楼征用

YSJ

就是今天这个贴(⊙_⊙)

http://bbs.kafan.cn/thread-2029374-1-1.html

柯林

YSJ 发表于 2016-2-20 19:53
就是今天这个贴(⊙_⊙)

http://bbs.kafan.cn/thread-2029374-1-1.html

还没完，可能要个两三天，天气冷，不想动，慢慢整

YSJ

柯林 发表于 2016-2-20 22:07
还没完，可能要个两三天，天气冷，不想动，慢慢整

等柯大出新品

820119sly

柯大我发这个锁屏我的毛豆没拦住，用沙盒sd运行也锁屏了，是不是规则不对口，你的规则能防住这个不？

柯林

820119sly 发表于 2016-2-24 22:26
柯大我发这个锁屏我的毛豆没拦住，用沙盒sd运行也锁屏了，是不是规则不对口，你的规则能防住这个不？

毛豆已经入库，解压就杀
关了杀毒，运行被隔离，运行不起来，毛豆动作很快，我都来不及截图，毛豆云又跳出来杀了

HEMM

柯林 发表于 2016-2-24 22:43
毛豆已经入库，解压就杀
关了杀毒，运行被隔离，运行不起来，毛豆动作很快，我都来不及截图，毛豆云又跳 ...

毛豆的动作很快？看看我大毛豆在样本区的表现，我是指纯表。
对于某些文件你以安全的名义上传解除误报吧......依然任性阻止我大易语言软件.....

820119sly

柯林 发表于 2016-2-24 22:43
毛豆已经入库，解压就杀
关了杀毒，运行被隔离，运行不起来，毛豆动作很快，我都来不及截图，毛豆云又跳 ...

哦，我的eav4.2现在都没入库，不知道高版本的是不是杀了。我用sd入沙运行居然也能被锁，太夸张了。。。

柯林

HEMM 发表于 2016-2-24 22:47
毛豆的动作很快？看看我大毛豆在样本区的表现，我是指纯表。
对于某些文件你以安全的名义上传解除 ...

很少玩程序和样本，习惯上就是拿着电脑玩的（毒除外）