火力全开耍豆子，是不是最简单实用的方法？

柯林

820119sly 发表于 2016-2-24 22:26
柯大我发这个锁屏我的毛豆没拦住，用沙盒sd运行也锁屏了，是不是规则不对口，你的规则能防住这个不？

我的规则，审视了下，没发现什么漏洞，如果不是利用系统漏洞或毛豆没有设防的拦截点，没有问题，至于0day和毛豆本身就没的点，那个没办法

我是立足“智能易用”为主的，不搞犀利截杀，算不上最犀利的规则，但能满足日常所用

柯林

820119sly 发表于 2016-2-24 22:50
哦，我的eav4.2现在都没入库，不知道高版本的是不是杀了。我用sd入沙运行居然也能被锁，太夸张了。。。

沙盘有日志没？

HEMM

柯林 发表于 2016-2-24 22:51
很少玩程序和样本，习惯上就是拿着电脑玩的（毒除外）

实战确实容易吓尿裤子，我就经常换裤子，话说......不实战少了点＃踩~
但是为了求得规则是否会起效，还是得弄些牛鬼蛇神进来电脑里面观光一下的吧，它们也是眼馋好久了，虽然我电脑内的内容它们未必感兴趣，也没半毛钱利用价值，但是相聚就算是缘分，大家一起热闹热闹再.......全盘大格式化也胃肠不渴~

820119sly

柯林 发表于 2016-2-24 22:57
沙盘有日志没？

我说的是这个Sandboxie，不是毛豆的沙，鼠标被锁在一块小对话框里，想了其他办法还是没法结束进程，每次实验都是手动重启了。。。

电脑发烧友

820119sly 发表于 2016-2-24 22:26
柯大我发这个锁屏我的毛豆没拦住，用沙盒sd运行也锁屏了，是不是规则不对口，你的规则能防住这个不？

锁屏只需要堵死自启动即可，被锁之后重启搞定。

柯林

820119sly 发表于 2016-2-24 23:00
我说的是这个Sandboxie，不是毛豆的沙，鼠标被锁在一块小对话框里，想了其他办法还是没法结束进程，每 ...

虽然被阻止了，每个非系统盘上，它创建了一个文件夹，估计要放病毒衍生物在里面，动作还是蛮多的

820119sly

电脑发烧友 发表于 2016-2-24 23:01
锁屏只需要堵死自启动即可&# ...

自启动倒是没有，就是每次没法结束进程，只能手动重启。

柯林

HEMM 发表于 2016-2-24 22:57
实战确实容易吓尿裤子，我就经常换裤子，话说......不实战少了点＃踩~
但是为了求得规则是否会起 ...

相关拦截点，我用非病毒程序测试过，该有的拦截项目，都被拦截了，换病毒也应该一样的。喜欢玩双击的拿去试，我对测毒一般不感冒——病毒也是个程序。电脑上有些资料，自认还有些价值，遇上毛豆本身没拦截点或系统漏洞利用的，毁了就可惜了，虚拟机觉得没意思，而一般拦截点能够拦截的项目，上毒，这些行为也是一样拦截，没什么意义。

820119sly

柯林 发表于 2016-2-24 23:02
虽然被阻止了，每个非系统盘上，它创建了一个文件夹，估计要放病毒衍生物在里面，动作还是蛮多的

还建文件夹啊，反正感觉挺厉害的。我还在用5版的，之前装过8一天就卸载了，论坛8版规则太少，而且一点都看不懂，就等你们大神出规则了再装。。。我顺便问下这个\Global??\FltMgrMsg和\Device\KsecDD这两个通道是啥意思？

柯林

820119sly 发表于 2016-2-24 23:10
还建文件夹啊，反正感觉挺厉害的。我还在用5版的，之前装过8一天就卸载了，论坛8版规则太少，而且一点都 ...

好像文件操作相关的东东，很久不弄这些，我都忘记了，一般也就测试有用，实用意义不大

因为程序行为是一堆，一环扣一环，断了一环，很多时候都废了，没必要面面俱到，比如FD上阻止了exe的创建，后续行为啥都没有，比如AD上加不驱....再比如所在位置，已经被规则禁止很多需要特权的行为，即使运行，也没什么危害。所以，现在我一般只要求简单明了有效就行，不求犀利，更不求面面俱到，比如三个*保护之类，没多大意义。不管怎么弄，宽也吧，严也罢，最终防住病毒破坏，没有造成损失，就ok了，至于防得多与防得少，我觉得意义不大。我看实效和要点，其他的，不怎么上心