防毒无敌comodo《三板斧搞定入门》图文演示【定版收工】

柯林

新版comodo走智能路线，真的越来越好用了，喜欢立足于防御的可以选用。虽然其杀毒受人诟病，但有强大的防御存在，杀毒虽然有些弱，已经不是重点，再说也不是一点用没有，个人实测，对于国内一些下载网站提供的可信度存疑的文件，往往下载就被云拉黑，其“灵敏度”与诺顿之类的万物杀有的一拼，真不是一句“杀毒弱”可以全部遮盖。

对于普通入门用户而言，只需知道一点，官方自带沙盘规则+云检测文件安全度，对于不是特别值得信任的文件，一律判为未知后自动入沙，对于日常防御，已经够了，官方敢于推出这样的规则，背后肯定是做了大量实测所敲定的安全与易用的最佳平衡点。要求不高的人，直接默认就可以了。如果需要强化，对于没多少时间进行细致设置与管理的人来说，尽可能简单、有效、粗暴，是入门级设定的较佳选择。本文介绍的三板斧设置法，就是这种思路：病毒无非来自网络与U盘，当前危害较大的是勒索类病毒，在默认规则上强化一下，尽可能不影响日常应用，就ok

第一板斧，强化入口防御，补沙盘遗漏。如果官方误判，比如白加黑类，或者用户一时误操作，自己加白，怎么办？按照“病毒来自网络”，常规设置下，会被下载到“下载目录“临时目录”“我的文档”等C:\Users路径之下，只需加上一条沙盘规则，就可以将“不是用户自己主动下载使用的”“不请自来的程序”“给以杀灭”：
打开自动沙盘规则，添加一条新规则，操作选“阻止”，选项勾选“隔离”，来源选“互联网”：

这条规则一加，凡是网上来的，保存于C:\Users路径之下的“所有应用程序”，按照设定，都被阻止和删除。
解释一下，沙盘规则设定，最有用的是位置、来源、信誉、操作，这四项。上面这条规则的意思就是：来源于互联网，保存于C:\Users路径之下，所有可信或不可信的可执行文件，将被阻止运行+隔离（移动到隔离区，相当于删除）。这条规则一加，管你是浏览器、电子邮件、聊天程序还是系统程序，只要它从网上下载来保存在C:\Users路径下，执行就被“杀灭”。
关于这里面的规则究竟应该怎么设置，请参考官方说明：https://help.comodo.com/topic-72 ... -Sandbox-Rules.html
个人初步尝试，位置选“浏览器“或“解压缩工具”之类，或者“进程创建的文件“选“浏览器“之类，没什么用。最简单直接，就是如上面示例所示，指定位置最有用。
注意：该条规则把C:\Users路径下，凡是新来于网络的程序文件，全部当作有害文件给予拦截和删除，虽然对防治网络来的病毒、木马、流氓推广，有强力作用，但同时也连带你需要用的合法文件，所以你要进行在线安装，或者某些程序联网升级，你需要临时关闭该规则。如果你从网上下载需要的程序来进行安装，一般来说，你只要把它移到非系统盘上，双击安装就可以了——如果它可信，自动顺利安装；如果不可信，会被入沙，就跑沙看看；如果它耍流氓，安装时后台联网下载其它软件来安装，会被该条规则拦截。
最后注意下，新添规则后，最好重启一下，否则可能会有“抽风现象“，不知道是不是bug。
附加一点，一切按规则操作，有效性在于设定。比如说，电子邮件程序、聊天工具，一般安装时会把其下载目录设置在“我的文档内”，那么该条规则就有用，如果你把下载目录改到别的地方，这条规则就管不到。
附加说明：对于流氓软件，后台推广安装的，一般会下载安装文件到*\AppData\Local\Temp\*或*\AppData\Roaming\*里，这些都在C:\Users路径下，这一条可以防御；有少数流氓会下载安装包到C:\ProgramData\*里，如果觉得必要，就补上一条。普通手段的耍流氓、后台安装，可能这样就行了，太复杂和狡诈一点比如搜狗，可能还不行，有兴趣的自己开HIPS或相关监测软件更重测试，看它的拦截点在哪里，补上相应规则，可能才能制服。具体可参考网上关于搜狗耍流氓的分析。

自动沙盘策略，其实就是入口防御，有云验证+未知文件自动入沙，病毒入口被有效拦截，正常情况下，几乎就断了后续问题。以前需要无数条HIPS规则做详细防御的，现在用自动入沙防御法，简单就搞定了。这就是现在HIPS处于闲置状态，自动沙盘主打的原因。一般来说，穿破沙盘的病毒基本上很难遇到，用自动沙盘防御，足以满足普通人的基本防毒需求了，唯一的漏洞，就是误判、加白带来的隐患问题，对于新手来讲，不是特别清楚可信的程序，不要随便加白出沙，就让它在沙盘里跑，跑不起来就扔了，别勉强用，那么你的中毒风险是很低的，无须去纠结出沙后搞流氓与搞破坏的问题。

沙盘主打入口防御的思想是这样：假设你的系统是官方正版，是可靠的，干净的，安装官方来源的comodo后，面临的威胁，只有外来的病毒及恶意程序，它们基本上是能够被识别的——与正规大厂出品的可信程序比，这些数量庞大、体积渺小、没有合法签名的程序，很容易被云端的文件验证机制判别为未知（虽然其中有极少数非恶程序），把未知程序入沙隔离，也就把病毒与恶意程序隔离在外，伤害不到本机。进入沙盘还能作怪搞事的东东是极少的。所以自动入沙机制，基本上就已封住了病毒入侵作怪的道路。既然毒都进不来，后续的一切考虑都是多余。【如果本机不干净，已经存在可疑文件，也没有关系，会被毛豆的文件验证机制判为未知，一般还是会被自动入沙】

第二板斧，强化数据保护。这个可以分作两块进行强化。首先是沙盘方面，出于防盗设置，可以添加保护数据，对入沙程序“隐身”，凡是入了沙的程序，对这些文件不可读取，相当于不存在。（设置操作如下，打开所示位置，添加你要强化防盗的数据）：

如果你有一些贵重的资料，比如你辛苦做的文档、设计的图片、收集的资料等，出于慎重考虑，可以再加一把锁——开启HIPS，做文件保护规则，指定授权程序才可以改写。即使恶意程序被误加白，或者白加黑形式被当作合法程序，如果它有删除或加密文件的恶意行为，还有这道补漏措施挡着。具体操作，为了简便易用和保持界面整洁，使用分组引用的办法进行处理。
首先，分组，新建一个文件保护组，再建一个授权改动的程序组，名字自己取，例如：
要让需要保护的文件起作用，得把它加入毛豆的监控项目里面，否则无效：

最后是HIPS里做规则，1是在全局规则引用保护文件组做阻止：


2是设定授权程序组可以改动（做排除规则）：

注意：由于文件保护规则，做在自带的全局规则上，按照规则优先级，位于全局规则上那些自带规则设定的高权限程序（比如windows应用程序啦，explorer啦，comodo啦）是可以“有权改动的”，一般没什么，这都是安全可靠的程序。你要实在不放心，可以另写一条规则，置顶；然后把排除规则置于它上面。最后不要忘记，开启HIPS才有用，否则上面的设置白弄啦：


一般入门级使用，像这样简单强化下，就可以啦，这样设置，与默认几乎没区别，基本不影响日常应用（有影响大概只有安装一些不可靠程序时，会有弹窗，介意可临时关闭HIPS）。太复杂的设置，或更进阶的应用，留给高需求者自己打磨。开启HIPS，最大的好处，是强化了毛豆的自保——很明显，自带规则设有自保措施：禁止非法程序侵入毛豆内存及结束毛豆进程。至于不开启HIPS是否就自保能力够呛，有兴趣的自己测试，按照常理推测，应该不至于这么窝囊。默认设置不开启HIPS，意思很明显，常规病毒防御，自动沙盘就拦下了，无须用到HIPS。一般人开启它，简单实用就此处所示，做上重要资料的保护规则即可，大不了再在全局规则上加一条保护IE主页的规则（*\Software\Microsoft\Internet Explorer\Main\Start Page）以防止个别流氓安装时修改主页。其它那些牵一发而动全身，涉及大量排除及影响系统更新与软件安装的规则，对于入门用户而言，可谓得不偿失，意义不大。没有特别需要，无须考虑进阶。
进阶设置，详细规划分组，给予可信程序以合适的规则限制，防止其耍流氓，真有此方面忧虑的可以自行考虑。像com接口、设备接口之类，哪些能够有效防御流氓与病毒而又不影响正常应用或排除量较少，值得一用，需要病毒测试爱好者通过大量的实测去提取，没那功夫的就算了。除了权限规划，最有用的大概就是自保——比如说，用炒股软件之类的，给你的炒股程序做上自保，禁止非法程序修改它的内存，安装钩子到它上、乃至于禁止进程被随便结束，都能有效提高本地的防盗能力；再比如使用专用浏览器网购、网银的，给你的专用浏览器做上自保规则，禁止非法程序修改其内存、安装钩子到它上，以及非法结束其进程，本地防盗能力自然大大地提升。（做自保规则请注意添加必要的排除，一般需排除系统关键进程及comodo，实例请参考comodo自身的自保设置）【实际上有点多余，安全购物与网银，comodo有更简单使用的解决方案——点击桌面上的Comodo Secure Shopping图标就ok，无需伤神去做HIPS规则】
提醒新人：HIPS按规则流程作业，请注意规则优先顺序，一般是：排除规则在上，拦截规则在下。

第三板斧，最后一道防线，防火墙。对于需要联网的病毒与木马来说，在它没有注入其它进程而使用傀儡联网的情况下，阻断它联网，它所做的工作，可能会在最后腰斩，算是安全防线的最后一根稻草，作用多少还有一些。勤快人，当然选择手动管理，务求“喜欢的才让它联网”；懒散一点的，不喜欢弹窗，就爱静默的就算啦，搞点“重点黑杀就行了”，比如说，你把绿色工具存放在E:\Program Files里，你只用它们，不喜欢它们去联什么网；再比如电子书；比如某些令你不爽的程序（比如QQ与迅雷等带的广告程序等），可以分个组归结，加以引用；比如某些病毒调用脚本联网等，可以引用“伪文件下载”组进行拦截：

为防止误杀或引起不便，建议上图中，不要直接引用“伪文件下载”组，请新建一个“脚本文件”组来使用：


如果你是外网用户，喜欢用迅雷等P2p软件，为了保持速度，选用合适的隐身模式：

--------  附录  防火墙手动控制 ----------
喜欢手动控制程序上网的，自己补加规则做询问模式：


==============================================
一般入门需求，就这么简单来上“三板斧”，就搞定，都可以弄，不费时间，应用起来也不伤神。要安全购物，点击桌面上的安全shopping图标，切换到虚拟隔离环境，就能放心安全地网购与网银。
有更高需求的继续折腾就是。老生常谈的经验：
1、请保持系统最新与软件最新（包括comodo在内），勤打补丁，那么你遇到bug与漏洞而被过的风险将会极大地降低；至于硬件漏洞，比如cpu或主板之类，那是硬伤，有条件就升级吧，没啥好说的。
2、物理保存才是王道，有重要资料的，请做好备份；对于公司、企业，主管资料的人，有条件就专门设置一台备份机，装Linux之类的系统，拒绝联网，拒绝无关人员随便使用，专员使用专用U盘（平时锁在抽屉里，用时由专人拿出去转倒资料，完毕就放回，觉不允许离开主机十米），要毁掉资料主机几乎不可能的（出于慎重，没事时把资料主机上的重要资料用移动磁盘、光盘、磁带之类做好备份）。
做好以上这些，基本的安全防护，是可以满足的，至于遇上高科技攻击、比如电磁炸弹、核武器，或者是声波入侵之类，啥都别说了，非人力所能抗，有需要请搬迁到地下2千米以下的矿洞里，或许能避过一劫。

============ 附录-U盘杀毒手-狂杀规则 =================

防治U盘病毒，默认由自带规则入沙未知来完成。如果你要强悍一点，不给U盘病毒任何机会，请参考以下设置：
1、建个组，取名“U盘”，把你机子上的U盘盘符以文件夹的方式添加（建议至少加两个，因为一般机子都有两个以上的USB接口，万一你同时插两块U盘或更多U盘呢）：

2、沙盘里做规则，文件位置引用U盘分组，操作选阻止+隔离：

这样设置后，就比较霸道了——你随便插块U盘，只要它上面的程序一运行，立马被阻止并删掉了——这下爽了吧，如果插入的是块带毒U盘，它一自动运行，就把母体都干掉了，相当于帮助带毒U盘自动杀毒。连带的问题当然就是——禁用U盘上的任何程序，如果它不运行就没事，动就被“杀”。所以，请谨慎考虑，你要不要这么变态的设置？如果自家电脑，当然霸道最好；如果是单位电脑，同事拿来你机子上插一下，你误点了上面的程序文件，就把人家干掉了，可能会有误会或“冲突”，所以请谨慎。

经实验，文件位置选：所有应用程序*，来源选：移动媒体，操作选：阻止+隔离，并没有类似作用。相关的解读是不是——如此设置，意味着，来源于U盘的可执行文件复制到本地磁盘上时适用该规则？未知。或许得问官方。已知就是，在目前，沙盘规则里，位置最关键，最有用。
----------------------- 号外-------------------
为了界面整洁，以及规则位置合理，建议对规则排版做点“合理化”——需要放行的例外程序，建个组归结一下，到沙盘规则里引用；然后把沙盘规则画面调校得“相对合理一些”：
64位win7上的CIS10小白规则：如果你要自己下载软件来用，把安装文件移出下载、桌面、我的文档这些位置，就可以正常使用了；建议用前先扫毒，然后右键入沙跑一下看看，反沙盘或行为可疑的就不要用了，安全是第一位的。

111228

静待更新

angus41

又滚回毛豆就看到柯大直播

缺缺

我还在用V5，新版现在只有你还在分享心得了- -，想起以前V3刚出来的时候那个时候全英文还得截图看教程对比设置涵义- -真的是论坛里的全民磕毛豆，那个时候最火的板块红伞和毛豆区，感觉时代慢慢过去了啊！

柯林

angus41 发表于 2018-6-15 18:55
又滚回毛豆就看到柯大直播

我是大白，就喜欢简单弄弄，满足日常需就行，这些东西，乐意与小白分享。

柯林

缺缺 发表于 2018-6-15 19:34
我还在用V5，新版现在只有你还在分享心得了- -，想起以前V3刚出来的时候那个时候全英文还得截图看教程对比 ...

那时是纯手动HIPS的时代，现在已经发展到全能一体化智能时代，历史在变，只能往前走。

如果不联网，用XP系统，V3也很好啊，一切可控。新系统联网使用的也只有现在这种新的版本好用，至少漏洞与bug的修复与时俱进，出问题的概率低。

黑暗的背叛者

现在毛豆墙+EEK，关HIPS，根据实际情况补充了些规则。生产力工具最怕麻烦了，环境复杂但还算稳定，很少下东西。

柯林

黑暗的背叛者 发表于 2018-6-15 19:59
现在毛豆墙+EEK，关HIPS，根据实际情况补充了些规则。生产力工具最怕麻烦了，环境复杂但还算稳定，很少下东 ...

按需要设定就好，弄麻烦了，得不偿失

Severn'

学习了学习了

111228

请问原先给出的脚本文件组，如*JS,*BAT等和上图中给出的有什么区别？