搜索
查看: 5855|回复: 65
收起左侧

[其他相关] 防毒无敌comodo《三板斧搞定入门》图文演示【定版收工】

  [复制链接]
柯林
发表于 2018-6-15 18:42:37 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2018-6-21 09:17 编辑

新版comodo走智能路线,真的越来越好用了,喜欢立足于防御的可以选用。虽然其杀毒受人诟病,但有强大的防御存在,杀毒虽然有些弱,已经不是重点,再说也不是一点用没有,个人实测,对于国内一些下载网站提供的可信度存疑的文件,往往下载就被云拉黑,其“灵敏度”与诺顿之类的万物杀有的一拼,真不是一句“杀毒弱”可以全部遮盖。

对于普通入门用户而言,只需知道一点,官方自带沙盘规则+云检测文件安全度,对于不是特别值得信任的文件,一律判为未知后自动入沙,对于日常防御,已经够了,官方敢于推出这样的规则,背后肯定是做了大量实测所敲定的安全与易用的最佳平衡点。要求不高的人,直接默认就可以了。如果需要强化,对于没多少时间进行细致设置与管理的人来说,尽可能简单、有效、粗暴,是入门级设定的较佳选择。本文介绍的三板斧设置法,就是这种思路:病毒无非来自网络与U盘,当前危害较大的是勒索类病毒,在默认规则上强化一下,尽可能不影响日常应用,就ok

第一板斧,强化入口防御,补沙盘遗漏。如果官方误判,比如白加黑类,或者用户一时误操作,自己加白,怎么办?按照“病毒来自网络”,常规设置下,会被下载到“下载目录“临时目录”“我的文档”等C:\Users路径之下,只需加上一条沙盘规则,就可以将“不是用户自己主动下载使用的”“不请自来的程序”“给以杀灭”:
打开自动沙盘规则,添加一条新规则,操作选“阻止”,选项勾选“隔离”,来源选“互联网”:
011.png
这条规则一加,凡是网上来的,保存于C:\Users路径之下的“所有应用程序”,按照设定,都被阻止和删除。
解释一下,沙盘规则设定,最有用的是位置、来源、信誉、操作,这四项。上面这条规则的意思就是:来源于互联网,保存于C:\Users路径之下,所有可信或不可信的可执行文件,将被阻止运行+隔离(移动到隔离区,相当于删除)。这条规则一加,管你是浏览器、电子邮件、聊天程序还是系统程序,只要它从网上下载来保存在C:\Users路径下,执行就被“杀灭”。
关于这里面的规则究竟应该怎么设置,请参考官方说明:https://help.comodo.com/topic-72 ... -Sandbox-Rules.html
个人初步尝试,位置选“浏览器“或“解压缩工具”之类,或者“进程创建的文件“选“浏览器“之类,没什么用。最简单直接,就是如上面示例所示,指定位置最有用。
注意:该条规则把C:\Users路径下,凡是新来于网络的程序文件,全部当作有害文件给予拦截和删除,虽然对防治网络来的病毒、木马、流氓推广,有强力作用,但同时也连带你需要用的合法文件,所以你要进行在线安装,或者某些程序联网升级,你需要临时关闭该规则。如果你从网上下载需要的程序来进行安装,一般来说,你只要把它移到非系统盘上,双击安装就可以了——如果它可信,自动顺利安装;如果不可信,会被入沙,就跑沙看看;如果它耍流氓,安装时后台联网下载其它软件来安装,会被该条规则拦截。
最后注意下,新添规则后,最好重启一下,否则可能会有“抽风现象“,不知道是不是bug。
附加一点,一切按规则操作,有效性在于设定。比如说,电子邮件程序、聊天工具,一般安装时会把其下载目录设置在“我的文档内”,那么该条规则就有用,如果你把下载目录改到别的地方,这条规则就管不到。
附加说明:对于流氓软件,后台推广安装的,一般会下载安装文件到*\AppData\Local\Temp\*或*\AppData\Roaming\*里,这些都在C:\Users路径下,这一条可以防御;有少数流氓会下载安装包到C:\ProgramData\*里,如果觉得必要,就补上一条。普通手段的耍流氓、后台安装,可能这样就行了,太复杂和狡诈一点比如搜狗,可能还不行,有兴趣的自己开HIPS或相关监测软件更重测试,看它的拦截点在哪里,补上相应规则,可能才能制服。具体可参考网上关于搜狗耍流氓的分析。

自动沙盘策略,其实就是入口防御,有云验证+未知文件自动入沙,病毒入口被有效拦截,正常情况下,几乎就断了后续问题。以前需要无数条HIPS规则做详细防御的,现在用自动入沙防御法,简单就搞定了。这就是现在HIPS处于闲置状态,自动沙盘主打的原因。一般来说,穿破沙盘的病毒基本上很难遇到,用自动沙盘防御,足以满足普通人的基本防毒需求了,唯一的漏洞,就是误判、加白带来的隐患问题,对于新手来讲,不是特别清楚可信的程序,不要随便加白出沙,就让它在沙盘里跑,跑不起来就扔了,别勉强用,那么你的中毒风险是很低的,无须去纠结出沙后搞流氓与搞破坏的问题。

沙盘主打入口防御的思想是这样:假设你的系统是官方正版,是可靠的,干净的,安装官方来源的comodo后,面临的威胁,只有外来的病毒及恶意程序,它们基本上是能够被识别的——与正规大厂出品的可信程序比,这些数量庞大、体积渺小、没有合法签名的程序,很容易被云端的文件验证机制判别为未知(虽然其中有极少数非恶程序),把未知程序入沙隔离,也就把病毒与恶意程序隔离在外,伤害不到本机。进入沙盘还能作怪搞事的东东是极少的。所以自动入沙机制,基本上就已封住了病毒入侵作怪的道路。既然毒都进不来,后续的一切考虑都是多余。【如果本机不干净,已经存在可疑文件,也没有关系,会被毛豆的文件验证机制判为未知,一般还是会被自动入沙】

第二板斧,强化数据保护。这个可以分作两块进行强化。首先是沙盘方面,出于防盗设置,可以添加保护数据,对入沙程序“隐身”,凡是入了沙的程序,对这些文件不可读取,相当于不存在。(设置操作如下,打开所示位置,添加你要强化防盗的数据):
022.PNG
如果你有一些贵重的资料,比如你辛苦做的文档、设计的图片、收集的资料等,出于慎重考虑,可以再加一把锁——开启HIPS,做文件保护规则,指定授权程序才可以改写。即使恶意程序被误加白,或者白加黑形式被当作合法程序,如果它有删除或加密文件的恶意行为,还有这道补漏措施挡着。具体操作,为了简便易用和保持界面整洁,使用分组引用的办法进行处理。
首先,分组,新建一个文件保护组,再建一个授权改动的程序组,名字自己取,例如: 023.PNG
要让需要保护的文件起作用,得把它加入毛豆的监控项目里面,否则无效:
024.PNG
最后是HIPS里做规则,1是在全局规则引用保护文件组做阻止:
025.PNG

2是设定授权程序组可以改动(做排除规则):
027.PNG
注意:由于文件保护规则,做在自带的全局规则上,按照规则优先级,位于全局规则上那些自带规则设定的高权限程序(比如windows应用程序啦,explorer啦,comodo啦)是可以“有权改动的”,一般没什么,这都是安全可靠的程序。你要实在不放心,可以另写一条规则,置顶;然后把排除规则置于它上面。最后不要忘记,开启HIPS才有用,否则上面的设置白弄啦:
3.PNG

一般入门级使用,像这样简单强化下,就可以啦,这样设置,与默认几乎没区别,基本不影响日常应用(有影响大概只有安装一些不可靠程序时,会有弹窗,介意可临时关闭HIPS)。太复杂的设置,或更进阶的应用,留给高需求者自己打磨。开启HIPS,最大的好处,是强化了毛豆的自保——很明显,自带规则设有自保措施:禁止非法程序侵入毛豆内存及结束毛豆进程。至于不开启HIPS是否就自保能力够呛,有兴趣的自己测试,按照常理推测,应该不至于这么窝囊。默认设置不开启HIPS,意思很明显,常规病毒防御,自动沙盘就拦下了,无须用到HIPS。一般人开启它,简单实用就此处所示,做上重要资料的保护规则即可,大不了再在全局规则上加一条保护IE主页的规则(*\Software\Microsoft\Internet Explorer\Main\Start Page)以防止个别流氓安装时修改主页。其它那些牵一发而动全身,涉及大量排除及影响系统更新与软件安装的规则,对于入门用户而言,可谓得不偿失,意义不大。没有特别需要,无须考虑进阶。
进阶设置,详细规划分组,给予可信程序以合适的规则限制,防止其耍流氓,真有此方面忧虑的可以自行考虑。像com接口、设备接口之类,哪些能够有效防御流氓与病毒而又不影响正常应用或排除量较少,值得一用,需要病毒测试爱好者通过大量的实测去提取,没那功夫的就算了。除了权限规划,最有用的大概就是自保——比如说,用炒股软件之类的,给你的炒股程序做上自保,禁止非法程序修改它的内存,安装钩子到它上、乃至于禁止进程被随便结束,都能有效提高本地的防盗能力;再比如使用专用浏览器网购、网银的,给你的专用浏览器做上自保规则,禁止非法程序修改其内存、安装钩子到它上,以及非法结束其进程,本地防盗能力自然大大地提升。(做自保规则请注意添加必要的排除,一般需排除系统关键进程及comodo,实例请参考comodo自身的自保设置)【实际上有点多余,安全购物与网银,comodo有更简单使用的解决方案——点击桌面上的Comodo Secure Shopping图标就ok,无需伤神去做HIPS规则】
提醒新人:HIPS按规则流程作业,请注意规则优先顺序,一般是:排除规则在上,拦截规则在下。

第三板斧,最后一道防线,防火墙。对于需要联网的病毒与木马来说,在它没有注入其它进程而使用傀儡联网的情况下,阻断它联网,它所做的工作,可能会在最后腰斩,算是安全防线的最后一根稻草,作用多少还有一些。勤快人,当然选择手动管理,务求“喜欢的才让它联网”;懒散一点的,不喜欢弹窗,就爱静默的就算啦,搞点“重点黑杀就行了”,比如说,你把绿色工具存放在E:\Program Files里,你只用它们,不喜欢它们去联什么网;再比如电子书;比如某些令你不爽的程序(比如QQ与迅雷等带的广告程序等),可以分个组归结,加以引用;比如某些病毒调用脚本联网等,可以引用“伪文件下载”组进行拦截:
031.PNG
为防止误杀或引起不便,建议上图中,不要直接引用“伪文件下载”组,请新建一个“脚本文件”组来使用:
322.PNG

如果你是外网用户,喜欢用迅雷等P2p软件,为了保持速度,选用合适的隐身模式:
032.PNG
--------  附录  防火墙手动控制 ----------
喜欢手动控制程序上网的,自己补加规则做询问模式:
042.PNG

==============================================
一般入门需求,就这么简单来上“三板斧”,就搞定,都可以弄,不费时间,应用起来也不伤神。要安全购物,点击桌面上的安全shopping图标,切换到虚拟隔离环境,就能放心安全地网购与网银。
有更高需求的继续折腾就是。老生常谈的经验:
1、请保持系统最新与软件最新(包括comodo在内),勤打补丁,那么你遇到bug与漏洞而被过的风险将会极大地降低;至于硬件漏洞,比如cpu或主板之类,那是硬伤,有条件就升级吧,没啥好说的。
2、物理保存才是王道,有重要资料的,请做好备份;对于公司、企业,主管资料的人,有条件就专门设置一台备份机,装Linux之类的系统,拒绝联网,拒绝无关人员随便使用,专员使用专用U盘(平时锁在抽屉里,用时由专人拿出去转倒资料,完毕就放回,觉不允许离开主机十米),要毁掉资料主机几乎不可能的(出于慎重,没事时把资料主机上的重要资料用移动磁盘、光盘、磁带之类做好备份)。
做好以上这些,基本的安全防护,是可以满足的,至于遇上高科技攻击、比如电磁炸弹、核武器,或者是声波入侵之类,啥都别说了,非人力所能抗,有需要请搬迁到地下2千米以下的矿洞里,或许能避过一劫。

============ 附录-U盘杀毒手-狂杀规则 =================

防治U盘病毒,默认由自带规则入沙未知来完成。如果你要强悍一点,不给U盘病毒任何机会,请参考以下设置:
1、建个组,取名“U盘”,把你机子上的U盘盘符以文件夹的方式添加(建议至少加两个,因为一般机子都有两个以上的USB接口,万一你同时插两块U盘或更多U盘呢):
1.PNG
2、沙盘里做规则,文件位置引用U盘分组,操作选阻止+隔离:
2.PNG
这样设置后,就比较霸道了——你随便插块U盘,只要它上面的程序一运行,立马被阻止并删掉了——这下爽了吧,如果插入的是块带毒U盘,它一自动运行,就把母体都干掉了,相当于帮助带毒U盘自动杀毒。连带的问题当然就是——禁用U盘上的任何程序,如果它不运行就没事,动就被“杀”。所以,请谨慎考虑,你要不要这么变态的设置?如果自家电脑,当然霸道最好;如果是单位电脑,同事拿来你机子上插一下,你误点了上面的程序文件,就把人家干掉了,可能会有误会或“冲突”,所以请谨慎。

经实验,文件位置选:所有应用程序*,来源选:移动媒体,操作选:阻止+隔离,并没有类似作用。相关的解读是不是——如此设置,意味着,来源于U盘的可执行文件复制到本地磁盘上时适用该规则?未知。或许得问官方。已知就是,在目前,沙盘规则里,位置最关键,最有用。
----------------------- 号外-------------------
为了界面整洁,以及规则位置合理,建议对规则排版做点“合理化”——需要放行的例外程序,建个组归结一下,到沙盘规则里引用;然后把沙盘规则画面调校得“相对合理一些”: 5.PNG
64位win7上的CIS10小白规则: win7x64三板斧小白规则.rar (643.34 KB, 下载次数: 145)

评分

参与人数 6经验 +40 分享 +3 魅力 +1 人气 +4 收起 理由
走丢啦 + 1 版区有你更精彩: )
【乱】 + 1 版区有你更精彩: )
慕若曦 + 1 版区有你更精彩: )
屁颠屁颠 + 3 + 1 版区有你更精彩: )
HEMM + 1 巴啦啦能量~乌卡巴卡~小魔仙全身变~

查看全部评分

111228
发表于 2018-6-15 18:54:08 | 显示全部楼层
静待更新
angus41
发表于 2018-6-15 18:55:58 | 显示全部楼层
本帖最后由 angus41 于 2018-6-15 18:57 编辑

又滚回毛豆就看到柯大直播
缺缺
发表于 2018-6-15 19:34:29 | 显示全部楼层
我还在用V5,新版现在只有你还在分享心得了- -,想起以前V3刚出来的时候那个时候全英文还得截图看教程对比设置涵义- -真的是论坛里的全民磕毛豆,那个时候最火的板块红伞和毛豆区,感觉时代慢慢过去了啊!
柯林
 楼主| 发表于 2018-6-15 19:53:48 | 显示全部楼层
angus41 发表于 2018-6-15 18:55
又滚回毛豆就看到柯大直播

我是大白,就喜欢简单弄弄,满足日常需就行,这些东西,乐意与小白分享。
柯林
 楼主| 发表于 2018-6-15 19:56:42 | 显示全部楼层
缺缺 发表于 2018-6-15 19:34
我还在用V5,新版现在只有你还在分享心得了- -,想起以前V3刚出来的时候那个时候全英文还得截图看教程对比 ...

那时是纯手动HIPS的时代,现在已经发展到全能一体化智能时代,历史在变,只能往前走。

如果不联网,用XP系统,V3也很好啊,一切可控。新系统联网使用的也只有现在这种新的版本好用,至少漏洞与bug的修复与时俱进,出问题的概率低。
黑暗的背叛者
发表于 2018-6-15 19:59:15 | 显示全部楼层
现在毛豆墙+EEK,关HIPS,根据实际情况补充了些规则。生产力工具最怕麻烦了,环境复杂但还算稳定,很少下东西。
柯林
 楼主| 发表于 2018-6-15 20:17:00 | 显示全部楼层
黑暗的背叛者 发表于 2018-6-15 19:59
现在毛豆墙+EEK,关HIPS,根据实际情况补充了些规则。生产力工具最怕麻烦了,环境复杂但还算稳定,很少下东 ...

按需要设定就好,弄麻烦了,得不偿失
Severn'
发表于 2018-6-15 23:25:29 | 显示全部楼层
学习了学习了
111228
发表于 2018-6-16 09:54:50 | 显示全部楼层
请问原先给出的脚本文件组,如*JS,*BAT等和上图中给出的有什么区别?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-7-18 10:43 , Processed in 0.127645 second(s), 24 queries .

快速回复 返回顶部 返回列表