给毛豆用家防火墙的一点建议

柯林

不管CIS还是CFW，防火墙其实默认的安全模式就很好，不扰民了，你要做的只需两件事：
第一，选个合适的隐身模式
第二，不显示弹出窗口设为阻止
安全模式下，验证为白名单的程序，联网自动放行（你装毛豆时已经选择”要求安全的回答尽量不弹“，毛豆已经在后台自动帮你回答了：这是一个安全程序，访问网络允许），对于入沙程序、不可信程序才会询问。入沙的多是病毒、木马什么的，还问什么，自动拦截！

这样设置，防火墙基本上安静的可怕，一个窗都不会弹，一般是安全的，个别不想它联网的程序，点开活动进程表，选禁止联网就会添加规则了，要允许的也一样，也可以根据日志自己去找路径添加。

亏神

请问柯林大咖啊， 我这有个问题，我在毛豆的沙盒里设置了一条阻止文件下载的规则，怎么还是能从网络上下载文件啊，譬如炒股的软件还是可以下载到桌面，难道是入沙了吗，可是我设置的是阻止不是虚拟化运行啊, 是不是我下载的炒股软件在它的白名单里，所以我设置信誉为任意也没用，它还是照样下载

HEMM

C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\wscript.exe

个人建议不要什么都听毛豆的，把这俩货的网络访问进出都给禁止掉。
这是我偷偷抄来的

qinnan

折腾久了，觉得越简单越好，都是按照楼主的方式设置的

YSJ

安全有保障，不累才好

柯林

亏神 发表于 2016-3-17 09:26
请问柯林大咖啊， 我这有个问题，我在毛豆的沙盒里设置了一条阻止文件下载的规则，怎么还是能从网络上下载 ...

好像8.2版本的阻止有点bug还是啥的，CCAV上设为阻止就是阻止，CIS8.2版本上好像不怎么灵

你图中的设置，如果已经做了分组，相关软件在里面了，就不要像图中那样下面再加（这个应该不合写法），直接在目标那里引用这个分组，下面什么都不加，只要选择信誉（任意）与选项里面的入沙等级就可以了

柯林

HEMM 发表于 2016-3-17 10:24
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\wscript.exe

可以的，虽说病毒使用它也会被询问，直接阻止更干脆（写*\?script.exe更简化）

explorer这个阻止看看影响不（有些插件插入它也访问网络，一般是不用联网）

HEMM

柯林 发表于 2016-3-17 11:42
可以的，虽说病毒使用它也会被询问，直接阻止更干脆（写*\?script.exe更简化）

explorer这个阻止看 ...

那个问号是什么意思？干嘛的？我不会耶！我都是一个进程一个进程的写的。没组，所以你能想象的出规则量有多么的繁琐，内容是有多丰富= =，我都看不过来了。而且卡顿，打开后BUG豆会进行图标检视，咩.......无响应的说，等好久往下拉一格又无响应........
我阻止了，反正我这边没什么影响，其他人就布吉岛了，我的规则任性........该进程我是全阻止的........

柯林

HEMM 发表于 2016-3-17 12:06
那个问号是什么意思？干嘛的？我不会耶！我都是一个进程一个进程的写的。没组，所以你能想象的出规则量有 ...

晕，你别逗我了，老是喜欢装傻充愣

通配符啊，？表示任意一个字符啊，*表示0到无穷个的任意字符啊，你不知道，吃的啥子牌子的猫粮，该不是抢汪星人的吧

HEMM

柯林 发表于 2016-3-17 12:17
晕，你别逗我了，老是喜欢装傻充愣

通配符啊，？表示任意一个字符啊，*表示0到无穷个的任意字符 ...

人家就是傻嘛~不然怎么会成天的全盘格式化重装。
你把WS这两个字放那里了，无视无视，表示微软早就通佩服了，无视这个进程。
懒得改了，就让它们俩货在规则里面待着吧，怪可怜劲儿的，每次规则大改它们又存活不了多久，而且打开规则编辑卡耶，好卡耶，好好卡耶。

柯林

HEMM 发表于 2016-3-17 12:23
人家就是傻嘛~不然怎么会成天的全盘格式化重装。
你把WS这两个字放那里了，无视无视，表示微软早就通佩 ...

太多了，我就嫌烦，看着头大，喜欢简洁，是不是我是龟毛中的异类啊

HEMM

柯林 发表于 2016-3-17 12:36
太多了，我就嫌烦，看着头大，喜欢简洁，是不是我是龟毛中的异类啊

你真是给处女座抹黑，还好你自知之明，真是不好说你，做为女生一定要细腻，下次规则借我抄一斤。
那有处女座随随便便的写出个规则的，一定要配合天时地利人和与自然融为一体达至无我的境界方可完美。有一丝不完美就全盘格式化，多格式化几次才能显出气质。
我就发现我越来越有气质了，咩嘿嘿嘿~真是淑女中的典范儿，你可得多学学~

KK院长

我就想知道9.0 啥时候出？

柯林

HEMM 发表于 2016-3-17 12:42
你真是给处女座抹黑，还好你自知之明，真是不好说你，做为女生一定要细腻，下次规则借我抄一斤。
那有处 ...

没办法，外表处女（假象），内心狮子（本性），别想我会婆婆妈妈鸡毛蒜皮大海淘沙地排列整齐，那是很讨厌的事情——谁愿意闭着眼睛数星星，抓着蚂蚁排苍蝇——摆弄苍蝇尸体一般排列整齐。大刀阔斧砍下去才爽，才符合快、猛、赞的原则有时候噼里啪啦说一大堆，越扯越没边，都不符合我本性，弄着弄着会觉得无聊，中途丢掉是最好了，本来很简单，那么费事干什么

HEMM

柯林 发表于 2016-3-17 16:34
没办法，外表处女（假象），内心狮子（本性），别想我会婆婆妈妈鸡毛蒜皮大海淘沙地排列整齐，那是很讨厌 ...

说好的气质呢？你最近重装系统了没？试试WIN10 64位嘛~看看BUG豆是不是会和WD打架玩

柯林

HEMM 发表于 2016-3-17 16:37
说好的气质呢？你最近重装系统了没？试试WIN10 64位嘛~看看BUG豆是不是会和WD打架玩

我刚换64位win7，刚刚还想去微软官网下原版，看看长的沙漠样，结果下到个升级器

HEMM

柯林 发表于 2016-3-17 16:42
我刚换64位win7，刚刚还想去微软官网下原版，看看长的沙漠样，结果下到个升级器

快点升级WIN10吧，很好用的哦，当然蛋疼浏览器是个例外，我在用，感觉非常不爽。

柯林

HEMM 发表于 2016-3-17 16:46
快点升级WIN10吧，很好用的哦，当然蛋疼浏览器是个例外，我在用，感觉非常不爽。

用你规则测试下http://bbs.kafan.cn/thread-2032954-1-1.html

看看是拦截的哪个进程？不会是shell32.dll吧

HEMM

柯林 发表于 2016-3-17 16:58
用你规则测试下http://bbs.kafan.cn/thread-2032954-1-1.html

看看是拦截的哪个进程？不会是shell32.d ...

我试试看

测试完毕，测试6次，以下是截图。


我的规则0弹窗，全过程禁魔拦截，第一次实机运行这么可怕的病毒我吓尿了，首先是去了趟洗手间，然后双击，忘记截图了，重来一遍，结果入沙了再来一次，接下来看图好了，我鼠标是坏的，中途关闭截图软件了....反反复复测试了6次.....

柯林

HEMM 发表于 2016-3-17 16:58
我试试看

测试完毕，测试6次，以下是截图。

没看到想要的答案，explorer创建wscript这个很正常，运行一个脚本都会这样
wscript不允许读取js，这个咖啡也能做到
想要看的是谁在打开shell.application这个com接口，然后由谁执行的那个关机命令

这个只是个普通关机命令，来个凶猛的就惨了
理论上脚本都是wscript或cscript在负责，最后做“坏事”的可能是它，具体过程以及是不是，毛豆这么号称HIPS的也没显示，难道要靠MD？