毛豆防网马的讨论

柯林

防网马，或恶意网页代码攻击，首先最重要的，是靠系统牢固程度，这个，补丁比什么都重要，好比一座房子，地基坏了，墙体到处是窟窿了，防盗门再牢靠，保安再NB，也难以应对，这个是基本常识，以往那些号称不打补丁的论调可以当作笑话。在打足必要补丁的前提下，如何提高防御等级，这才是用家应该考虑选用什么的合理思维。
=================================
说到毛豆的防御，在不考虑开启HIPS的前提下（一般用户玩不了这个，纯粹找虐），就毛豆默认设置——沙盘防御，检索默认规则，主要是三条：默认自带沙盘规则第1条、第6条、第7条，至于第3条是否有用，不大清楚，理论上有可能。

审查三大规则，首先是第一条：云鉴定为恶意程序的，直接阻止运行。这个看两个，一是云不要抽风（神网不好说），二是云库里面列为审查对象的是哪些东东，是否包括了js等脚本？这个非官方人员不清楚，未知。

第七条：未知程序创建的js等指定文件，入沙管制。看起来很威武，很高大上，仔细想一想，不就说的入沙程序及虚拟桌面？如果程序没入沙，用户没进虚拟桌面，就正常应用，比如用浏览器上网，这时下来个病毒js文件之类，这一条不就没用？管制这个，得转向第六条。

第六条：来源于互联网、局域网、移动磁盘的不可靠程序，入沙。这个来自网络的不可靠程序，包括哪些玩意？检查毛豆分组及设置：分组里有可执行文件一组，在HIPS设置里有引用为受保护对象，也就是说，作为HIPS功能的一部分，沙盘引用来作为监控防御的内容，就是那个可执行文件分组里面的东东？！这就有点悬了，默认设置并不包括js之类的网页脚本文件。

当然，还有一个，防火墙是最后的一点绊马索。
======================================
综上，以毛豆默认沙盘防御体制来看，对于网页病毒防御，在用户以常规方式上网，不进入虚拟桌面，不开入沙浏览器的情况下，主要靠两点来完成：1、exe之类的病毒体，由自带沙盘规则第六条防御。2、js之类的脚本，由云鉴定解决？？？（未知）


以上，可以看出，为了上网安全，在你访问不是高度可信的站点时，最好点点右上角毛豆浮窗上给你准备的入沙浏览器，那个真的安全多了；如果有必要，直接进虚拟桌面更好（注意虚拟后内容难保存，需要留下来使用的资料与数据，请移动到共享空间，或者自己设置一个专用文件夹（containment设置---不虚拟访问指定的文件夹/文件，添加一个专用文件夹）来存放。


这是个人的理解与观点，可能偏颇或有误，欢迎豆油们探讨，官方能做出详细解说更好。

con16

把組態改成 proactive security

沙盒只有四條規則

看不少國外測試都選這個

柯林

con16 发表于 2017-5-18 09:58
把組態改成 proactive security

沙盒只有四條規則

这些分别，区待豆油们实测验证比对，看哪种最好。

Candygu

个人认为，JS脚本这个不用担心

2、js之类的脚本，由云鉴定解决？？？（未知）

因为有启发命令分析。

柯林

Candygu 发表于 2017-5-18 10:09
个人认为，JS脚本这个不用担心

哦，忘了这个，是有这一说。

liumailong

毛豆 要是能指定沙盘位置就好了。

柯林

liumailong 发表于 2017-5-18 14:55
毛豆 要是能指定沙盘位置就好了。

新机子，系统盘分割100G左右，一般没压力，老机子C盘少于50G的确实有点紧张。这年头，怎么也得给C盘80G左右（最低72G--72变）

liumailong

柯林 发表于 2017-5-18 18:05
新机子，系统盘分割100G左右，一般没压力，老机子C盘少于50G的确实有点紧张。这年头，怎么也得给C盘80G左 ...

到不是空间问题，咱搞了个内存盘。
东西都在内存盘里速度快些，重启自动就没了，也就不用关心到沙了

柯林

liumailong 发表于 2017-5-18 18:10
到不是空间问题，咱搞了个内存盘。
东西都在内存盘里速度快些，重启自动就没了，也就不用关心到沙了

也没多大关系，毛豆默认规则：沙盘里的东西禁止运行，就算有多少毒在里面也没用！至多就是点击一下，清空沙盒，相当于清理垃圾文件罢了。

sdtzsf

为啥我的笔记本系统WIN10 64位专业版安装CIS10套装，系统开机进入桌面黑屏呀。把杀毒部分去掉保留防火墙部分进入系统且能正常使用？