新人 求问 毛豆防火墙HIPS规则问题

daerer

paink 发表于 2019-4-14 22:22
没必要。

毛豆规则的生效方式，不是通过毛豆程序直接读取（程序内放置的）规则，而是将用户编写的规则写 ...

恩 有些感觉了，顺序不太影响执行效率，我换来换取确实没什么效果，看来卡顿还得从其它方面考虑...唉

那求教大侠，我双击打开一个文档，比如pdf rar doc jpg。。。之类，第一次打开要等很久才开，多达10秒左右，开了之后，马上再打开其他pdf rar就秒开，单过一会儿又是这德性，这到是梗在哪儿啊...

daerer

1562859748 发表于 2019-4-14 18:14
我也是掉规则  有时候很卡
暴脾气 一上来来毁了好几个硬盘了

这么恐怖？

paink

daerer 发表于 2019-4-15 10:26
恩 有些感觉了，顺序不太影响执行效率，我换来换取确实没什么效果，看来卡顿还得从其它方面考虑...唉

...

我之前用过一段时间的wd，那真的是卡exe。细节追究无非是wd走了行为监控的路子，这样在开exe时wd会浪费诸多时间来分析，然后（大多数程序还是会被）放行，而且无缓存、记录什么的来保留上次分析的结果。（这里不去考虑“启发”这种东西，那也耗时）

毛豆比wd要智能许多。
如果是“安全模式”，“安全的程序”根本不走监控和分析，也不走规则，速度相当之快。这为监控分析未知程序节省下了大量资源。

对于“未知程序”，默认采用了沙盒，（开启hips时“针对该程序”则默认使用疯狂模式）。
没有hips规则下，不断挂起、弹窗询问、等待、接受命令、执行……相当慢。
即使有规则，针对程序还要走监控、等待、提交查询规则、匹配规则、执行（程序遇到拒绝，有可能还得重复提交请求、迂回实现目的，特别是国内的这些软件，被拒绝后无论如何都不死心）。想一想，程序本来好好的行为，非要过一次规则，即使是允许也是这样。
如果在全局层次，hips都是疯狂模式，那就有的折腾了。如大型软件的行为引起的对象的行为……如果都要走规则，能不慢吗？变慢、不稳定、崩溃还不是家常便饭。

逻辑层面上，刚运行过的程序在毛豆的内存区域中是有结果缓存的，但过一段时间就会失效。而且分析过的程序，毛豆不会因为打开多次就分析多次，这里也有一层缓存。（wd应该是缺了这一层，所以次次卡exe）

除了毛豆自身，office类大型软件启动也是相当耗时的，msoffice、libreoffice本身都是有些慢的，对于wps想必各位都会用规则调教一下。winrar这些去广告、破解的比较多，毛豆不会识别为安全。而且被打开的这些文件类型比较消耗时间去加载、分析和渲染。开疯狂模式时更是会增加时间消耗，得不偿失啊，还不如简单的用防火墙封一下，就没什么可担心的了。

hips默认关闭不是没有理由，而是理由很多。

----------------------------------------------------------------------------------

ps：这里引入并讨论了wd，恰巧AV-TEST发布了2019年2月份的杀软测试，wd还自豪的和毛豆比试了一下，口头“虐杀”了comodo。说点个人的看法吧，没有引战的意思，只是觉得使用毛豆用不着因此“胆怯”。原贴链接。
贴中“虐杀”毛豆的原话：

Win10自带的Defender安全中心获评17分，性能和易用性各丢0.5分，防护力满分。这个表现可以说完全堪用，甚至好于专业的Comodo（啃毛豆）、G Data等。

wd查杀比毛豆确实优秀，值得肯定。但是，wd“防护力满分”的话，毛豆未尝不是，我想关键还是沙盒的功劳吧。

wd性能丢分应该是上面所说的原因，毛豆则是由于防护几乎完全基于评级和规则，对于普通用户来说略显笨拙，而查杀更是惨不忍睹，所以性能和易用性表现不好大部分是软件性质和定位问题。
wd在易用性上也有丢分，则是自己“作”出来的，整了那么多设置项，还是没能逃脱难用、无用和笨拙。集成的防火墙写规则也不如毛豆方便。只希望wd别把那么多专业的东西抛出来，因为wd的用户群体和毛豆的不太一样。
总之，毛豆的性质决定了，它就是要折腾，wd还是安稳简单些吧。

----------------------------------------------------------------------------------

毛豆防护力还是不错的，hips开启后，建议还是用安全模式吧，遇到想要管控的程序就把评级下调为未知，易用性、稳定性和安全性都能提升很多。疯狂模式真的降低电脑的使用体验，还很不稳定，为了挤出那么一点安全性，得不偿失啊！

Yannis

依你所言，你的explorer规则肯定有限制丨系统核心进程丨系统基础进程丨安软组丨这三组应用组其中一个进程相关活动。一般情况下explorer必放在丨系统核心进程丨系统基础进程丨安软组丨之下，丨所有程序丨之上。这样能最大化的避免规则逻辑错误且电脑不会出现大毛病，能细调规则优化。【系统基础进程：指像logoUI.exe（影响开机，comodo疯狂模式不设置好，会开机黑屏的！）这种影响电脑正常运行的但非核心的进程】

daerer

谢楼上两位，拼命领悟中...

小钦差

paink 发表于 2019-4-15 12:05
我之前用过一段时间的wd，那真的是卡exe。细节追究无非是wd走了行为监控的路子，这样在开exe时wd会浪费诸 ...

+1

小钦差

Yannis 发表于 2019-4-15 14:27
依你所言，你的explorer规则肯定有限制丨系统核心进程丨系统基础进程丨安软组丨这三组应用组其中一个进程相 ...

嗯

小钦差

感谢大佬的支持 现在规则完善了不卡了

小钦差

paink 发表于 2019-4-15 12:05
我之前用过一段时间的wd，那真的是卡exe。细节追究无非是wd走了行为监控的路子，这样在开exe时wd会浪费诸 ...

感谢大佬的支持 现在规则完善了不卡了

paink

小钦差 发表于 2019-4-16 19:29
感谢大佬的支持 现在规则完善了不卡了

快别叫了，你这一口一句“大佬”，就和朝我敬香一样难受。称呼我网友、豆油、坛友都好。


真的大佬路过，几个斜眼儿都能让我受内伤。