（第三季）智能无忧模式（第一版）

显示全部楼层 · 发表于 2016-3-26 17:58:23

諾言敵不過時間发表于 2016-3-26 17:25
如果用如何简单有效地玩转comodo這裡的沙箱設置後還需要這份HIPS的嗎?

这个看个人需要
正常应用，一般人遇到的病毒，毛豆默认设置都不成问题，拉高沙盘等级，足以应付
需要更强过滤与拦截，连程序都安装不上，防止流氓软件后台推广安装的，可以尝试本帖类规则

有些人喜欢凑热闹，参加测试，然后默认沙盘的部分限制级别，“防御”不住，就哇哇叫
使用本贴类规则，在不影响日常操作下，尽可能地强化，是需要“更多安全保证”的人的选择

世上没有十全十美的东西，再牛的东西都有疏漏和不足，更别说0day了，安全永远是相对的，理性看待此类问题，找到适合自己的就好

显示全部楼层 · 发表于 2016-3-26 18:03:43

电影结束了发表于 2016-3-26 17:51
中级呢？
可以测试下勒索挂马。。。

勒索挂马就是个渣，要什么HIPS，默认沙盘等级就秒成渣

再在病毒里面。加密特属于弱智产品，跟那些大毒猛毒比起来，就是个小弟！不了解的时候觉得很恐怖，了解就一点都不稀奇，随便有个FD功能的都能防，沙盘虚拟化更是天生克星

显示全部楼层 · 发表于 2016-3-26 18:59:48

柯林发表于 2016-3-26 00:20
它怎么让你哭鼻子了？

矮疙瘩不让下载

介个........晕......
我是想问这种病毒该如何防护，毛豆能否防护住或者说是通过什么方法防护住挂马，只因好奇！我想你和angels李子懂的多点，李子没时间就问你了.......
你给的截图是本地控和SS信誉，以及系统的防护体系....
先不说别的，该样本是否流行，用户是否会高几率中标等等，因为是在墙外的，我国的神墙也许都能挡住一部分。以及系统防护中的拉黑等等。
我好奇的只是用IE和毛豆的话，毛豆用什么方式防御这种类型的挂马.......

显示全部楼层 · 发表于 2016-3-26 19:38:08

本帖最后由柯林于 2016-3-26 19:42 编辑

HEMM 发表于 2016-3-26 18:59
介个........晕......
我是想问这种病毒该如何防护，毛豆能否防护住或者说是通过什么方法防护住挂马，只 ...

你要问怎么防，我个人的观点，默认就防，就不用用家操心
挂马不是对所有IE及操作系统都有效的，必须针对低版本IE漏洞比较大的，然后是筛子眼系统，打上微软补丁，杀软都不用，自动就能防

要从HIPS角度来说，一般你只要管住IE缓存目录与下载目录就行了，不管它是网上挂马，还是本机进了木马下载器，病毒首先是下载进Temp里加以执行的，个别会下载到下载目录再加以执行，至于谁去执行它，多种多样，有的是IE等浏览器，有的是脚本解释执行器，有的可能是发消息让explorer启动，有的就是系统调用相关程序（按照注册表里各种文件的打开方式）比如svchost.exe。可以管住禁止执行，也可以如毛豆默认这样——管你怎么运行，白名单放过你，未知就入沙，一般入了沙都没啥危害了。至于高级一些的，进了内存才释放代码组合成病毒，一般只要杀软不是有漏洞或太弱智，一样能够监控得到。

其实现在讨论凶的加密特，主要传播方式是电子邮件，要真实再现这个的防御，你需要使用两个邮箱，让一个发包含加密病毒的附件，在另一个邮箱里打开，验证“中招”与防御情况，这才是真实的。样本区那种下载样本来双击的行为，属于实验室作风，不具有现实意义。真实生活中，之所以中招，是因为不知情，被蒙蔽，比如收到陌生邮件带毒，你以为打开的附件，其实已经释放病毒并暗中执行，防住这个就屁事没有。至于解压出来，一看就是那种几十KB的玩意，就如样本区下载的样本一样，正常人一眼看去都不是好东西，还要闭着眼睛去双击，那是傻逼行为。对于病毒作者来说，辛辛苦苦弄个毒，好不容易发出去了，人家就不执行，直接丢掉或禁止执行，那就是一样收获都木有，屁的危害都不产生。所以换个角度来说，围绕着样本区那种特殊防御点的尝试与争论，也是一种傻逼行为。实验室的花朵再漂亮，你得离开实验室，在室外大规模盛开才行。

对于大规模流行病毒，不管它多牛逼，也不管厂商多弱智，时间都能把它灭了。在当今这个云时代，病毒的流行与得逞，只能是偷偷摸摸，最快“最有效”的就是实验室传递了。

显示全部楼层 · 发表于 2016-3-26 20:56:03

柯林发表于 2016-3-26 19:38
你要问怎么防，我个人的观点，默认就防，就不用用家操心
挂马不是对所有IE及操作系统都有效的，必须针 ...

我只是觉得好奇好玩，没想那么多.......

显示全部楼层 · 发表于 2016-3-26 22:29:18

能否，配合VSE使用，VSE规则已经按你的最后修正版手工设置完毕，目前对系统无重大影响。期待，非常期待！！！

显示全部楼层 · 发表于 2016-3-27 07:54:06

sdtzsf 发表于 2016-3-26 22:29
能否，配合VSE使用，VSE规则已经按你的最后修正版手工设置完毕，目前对系统无重大影响。期待，非常期待！！ ...

没必要，二者择一就很安全
非要组合，在相互排除，调整冲突的前提下，comodo默认沙盘模式强化，VSE默认规则+文件保护规则+勾选禁运temp就是最强悍而又分工合理配合得当的组合

显示全部楼层 · 发表于 2016-3-27 07:57:44

HEMM 发表于 2016-3-26 20:56
我只是觉得好奇好玩，没想那么多.......

简单说就三点：第一，打补丁，这个是根本！第二，管住关键位置（Temp与下载目录）；第三，看紧会作乱的东东（IE、浏览器、Adobe播放器、各种漏洞软件、系统cmd、shell执行器等），把它们降权就ok，再配合HIPS的其他各条规则及防御点，一般就安啦

显示全部楼层 · 发表于 2016-3-27 13:25:55

柯林发表于 2016-3-27 07:57
简单说就三点：第一，打补丁，这个是根本！第二，管住关键位置（Temp与下载目录）；第三，看紧会作乱的东 ...

浏览毒网浏览器只会下载木马到temp 下载目录还会不会可能是其他地方（毒网自己指向的地方创建文件夹把木马下到这里）

显示全部楼层 · 发表于 2016-3-27 16:56:22

柯林发表于 2016-3-26 08:42
严谨的测试，应该首先说明环境，然后才是过程与结论，以便让其他人重现，才能得出明确结论。
本人64位wi ...

这真是说的好，一堆样本区的帖子说把毛豆杀了，可惜那些玩意更本过不了我的毛豆。

[其他相关] （第三季）智能无忧模式（第一版）