最简单的疯狂模式可不可以这么玩？

柯林

设置一个你在用的策略，开疯狂模式，日常防毒用；设置另一个策略，沙盘模式，安装程序用
日常使用，疯狂模式；安装程序，更新系统，沙盘模式
============================================================
置顶*.*的规则：
禁止执行*\Temp\*,?:\ProgramData\*,?:\Users\*\Documents\*，U盘1，U盘2，U盘3，U盘4，U盘5，不想运行的流氓程序
禁止访问（其实是创建修改）?:\ProgramData\*.exe，?:\Users\*.exe，*,js，*.jse，*.vbs，*.vbe，*.bat，*.cmd，*.pif，*.scr

svchost.exe  自定义规则 -做自保规则（防内存，防钩子，放行系统进程与comodo，个别必要的加上）

explorer.exe  自定义规则 -做自保规则（防内存，防钩子，放行系统进程与comodo，个别必要的加上）
==============================================================
*                                                                                             *
*                                                                                             *
*                         毛豆默认自带规则                                         *
*                                                                                             *
*                                                                                             *
C:\Windows\regedit.exe   赋予注册表操作权限
全局规则：禁止执行*.COM
禁止访问*\windows\*.exe，*\windows\*.dll,*\windows\*.sys,*\windows\*.ocx，*\Program Files*\*.exe，*\Program Files*\*.dll，*\Program Files*\*.sys，*\Program Files*\*.ocx
                注册表：启动项，comodo项，重要系统项拣出一些必要的添加阻止
                com端口：一些危险的东东添加阻止（以不妨碍下面放行的所用程序为原则）
==============================================================
C:\Windows\system32\dllhost.exe  赋予文件操作权限

（32位系统）C:\Windows\system32\*.exe  赋予合适的权限

（64位系统）C:\Windows\SysWOW64\*.exe 赋予合适的权限

C:\Program Files*\*的规则:
          执行：压缩软件、记事本，允许
          允许：内存访问、加驱、窗口消息、结束进程、com端口、注册表、屏幕、物理内存
要图简单就直接套用预定义的“允许的程序”（这样略微有点粗）

D:\Program Files\*的规则:
           执行：压缩软件、记事本，允许
           允许：窗口消息、内存访问，加驱，结束进程、com端口、注册表、屏幕，物理内存

其它软件规则，例如电子书，绿色软件组，仿照D:\Program Files\*的规则适当添加，或者套用个合适的预定义权限

*.exe的规则：禁止内存访问、结束进程、禁止加驱、com端口、注册表、物理内存

==========================  over =================== ===============  
        
就这么简单几条，全部搞定，剩下的，就是弹窗询问，回答问题，自动置顶。该拦截的已经拦截，主要危险已经过滤，剩下的，根据弹窗颜色标示的危险等级，看你认不认识那个程序，回答允许或者拒绝。这样处理下来，弹窗会大幅度减少，也能保证基本的安全。

与系统自动更新有关的路径C:\Windows\SoftwareDistribution\install\*.exe，C:\windows\system32\poqexec.exe，C:\windows\microsoft.net\framework\v*\mscorsvw.exe，C:\Windows\servicing\TrustedInstaller.exe可能需要赋予预定义“允许的程序”这个权限，并置于全局规则之上（其实只要管TrustedInstaller.exe与mscorsvw.exe就行了，另两个不用管，它们活动时，已经切换到安装模式去了）

如果对文件资料敏感，文件分组新建一个用户资料组，把你的图片、文档、资料、软件所在目录全部列入，在HIPS的受保护文件里引用这个分组，当有程序试图访问它们（在里面执行创建、修改、删除），毛豆将会弹窗询问。

更变态而极致的做法，是把每个磁盘列为保护，但随之而来，带来大量的弹窗，没有必要，保护重要资料就可以
====================================================================
封住入口，什么东西都进不来，而存在本机磁盘上的程序，不管你怎么运行，产生不了病毒文件到病毒位置，破坏不了系统程序和program files里的程序，基本上可以说是百毒不侵了，除了利用系统0day和毛豆漏洞，真没什么好操心与担心的（那种极端情况，你想操心也操不了，挂掉属于你幸运）。对HIPS不是太熟，不想玩大量分组授权的人，这就是最简单最安全最有效的“百毒不侵”的疯狂模式玩法。

这种玩法，只要你安装毛豆时机子是干净的，系统程序与Program Files里的程序是可靠的，就根本没什么好担心的。唯一的风险，就在程序安装，当你切换到安装模式（沙盘模式）下安装程序，毛豆文件验证已判定该程序不可靠，只能入沙运行，而你非要判白为实机运行，这就是风险所在，否则就木有什么问题。

KK院长

大大又折腾疯狂模式啦。

柯林

KK院长 发表于 2016-3-24 10:03
大大又折腾疯狂模式啦。

没有，在用VSE，近来没什么时间，需要“隐退”做事去了成天泡这里没啥意思

这个是昨晚和Hmm说贴的时候，偶然想到的，逻辑上推演了一下，没有问题，提出来做个观点，需要的自己实践完善下

一个产品可以从多角度找到不同的玩法，流行的思维（大量分组套用），会让人产生思维定势或惰性，以为只能这样，其实换个角度——守住入口，毒都进不来，或是进来了屁用没有，还浪费心思去考虑这考虑那，不是多此一举？守住入口，啥事木有，任你折腾，翻不了天，这不就是最简单的事情！