神经沙

柯林

如何发挥沙盘的威力，是个可以讨论的话题（毛豆现在主打沙盘，一般人玩好了沙盘也就ok，不一定要HIPS）
个人现在没用毛豆，只是提个想法，给喜欢折腾的朋友尝试
----- 如果你所用软件不复杂，只是简单的上网，可以尝试 ------

非白即黑沙盘模式：
首先，请备份你用的沙盘规则（具体怎么弄，自己找找看，我这里没装上，也不好说）
然后，保留预设规则的头两条（还是三条）拦截的规则，下面的全删掉，然后自己写：
1、C:\Windows\* 有合法签名的，忽略 （规则激活）
2、C:\Program Files\*有合法签名的，忽略 （规则激活）
3、C:\Program Files (x86)\*有合法签名的，忽略 （规则激活）
4、*\AppData\Roaming路径里自己安装要实机运行的程序比如Chorme浏览器，忽略 （规则激活）
5、关门规则 所有应用程序*（不论来自哪里，不论可信不可信）一律入沙运行 （规则激活）
6、*\AppData\Local\Temp\*  有合法签名的，忽略 （规则关闭）
7、所有应用程序*，来源于网络与移动磁盘，凡是不可信的，一律入沙 （规则关闭）

日常应用，是靠前5条规则来把门的，当你要安装软件时，请关闭第5条规则，激活6、7两条规则，用完恢复。
这样设置的目的是，一般情况下，假设机子干净、没有病毒的前提下，新来的病毒（不管是从U盘来、还是网络来或邮件来），是不可能直接存放到Windows与Program Files及Program Files (x86)里面去的，那么我不管你是否有合法签名或白+黑，反正我把宿主与母体一概入沙就对了，除非我脑残自己把病毒放到Windows与Program Files里去，否则就随你闹吧，都是虚拟入沙，还怕个铲铲！这思路在逻辑上是成立的，实践上请自证。
=============================================

如果觉得以上方案太激进，可以变相做适当小加强：
1、保留官方预设规则不变
2、在原规则的后面接着写上：
*\ProgramData\* 一律入沙（不管是否可信）【自己安装软件时关闭】
?:\Users\* 一律入沙（不管是否可信）【自己安装软件时关闭】【如果自己安装的软件受影响，请在置顶位置添加排除】
这样设置，应该是不会出什么毛病，而又能对外来病毒实现有效防御（包括白+黑）
至于系统程序，可以考虑设置一个危险程序管制组，把cmd.exe, cscript.exe, hh.exe, mshta.exe, powershell.exe, wscript.exe,regsvr32.exe归入其中，引用该组，强制入沙【安装、卸载程序及系统更新时，临时关闭】

witty606

用comodo有5年了，就是没用过沙盒，一直关着。

l10x

现在用VSE,等cis不卡u了再回来试试

kfunname

1、C:\Windows\* 有合法签名的，忽略 （规则激活）

这条不太好吧，不够细致，实际上Windows文件夹里还有很多可执行文件没签名的，太粗了怕翻车

7、所有应用程序*，来源于网络与移动磁盘，凡是不可信的，一律入沙 （规则关闭）

这条呢，没有仔细测试，不过之前好像有坛友说过Comodo判断来源网络和外部设备不准确，不知道实际上Comodo是如何判断源于网络及外部设备（移动硬盘不知道会不会误判）

柯林

kfunname 发表于 2020-4-10 21:47
这条不太好吧，不够细致，实际上Windows文件夹里还有很多可执行文件没签名的，太粗了怕翻车


...

要用非白即黑模式，第一条的放行是必不可少的。是否不全，这个没仔细看过，可以在规则启用前，先看看毛豆的白名单里，是否真有遗漏（特别是有关显卡的），如有，建议自己手动加白。主要是关键程序，不可入沙，至于次要的无所谓，如果觉得不妥的也可以根据日志或显示所调整。

具体毛豆是怎么判断来源于网络与移动磁盘，这个不大清楚，不是搞程序的，没心思细根究，按个人想法，一般应该不会漏——移动磁盘，在设备路径里，好像似有专门标记的，与其它磁盘卷标记不同，应该不会弄错。至于来源于网络的判定，可能是依据内存中的路径（毕竟网上下载的文件，几乎都是网址路径TTTP/WWW....之类开头的，应该会有标记，似乎也不该弄错吧）

另：使用非白即黑模式，显然对系统更新也是有影响的（下补丁文件不影响，打补丁时就影响了），在打补丁时，也需要暂时调整为安装模式（关5、开6、7）

由于没用豆子，也不能实验这思路是否可行，需要调整哪些东东。留给喜欢折腾的同学去尝试

kfunname

柯林 发表于 2020-4-10 22:45
要用非白即黑模式，第一条的放行是必不可少的。是否不全，这个没仔细看过，可以在规则启用前，先看看毛豆 ...

哦对，第一条的话我忘了我是断网用，不带白名单，带上白名单的话，没签名基本也OK。禁运型防护基本就Comodo、VSE了，思路没问题，构建规则时麻烦点，做好以后就轻松了（VSE也可以试试禁运哦

柯林

kfunname 发表于 2020-4-10 23:51
哦对，第一条的话我忘了我是断网用，不带白名单，带上白名单的话，没签名基本也OK。禁运型防护基本就Como ...

Vse谨慎禁运，新版会出问题，像墨大他们那种全局禁运的规则，在新版上已经很难实现了

yushu280

柯林 发表于 2020-4-11 12:13
Vse谨慎禁运，新版会出问题，像墨大他们那种全局禁运的规则，在新版上已经很难实现了

大神，comodo新版本该如何设置hips实现全局禁运？我想只允许系统程序和文件夹的程序运行，其他位置的程序全部阻止运行。对新文件进行virus total和手动沙盒后，再转移到信任的文件夹，允许运行。

柯林

yushu280 发表于 2020-4-12 08:41
大神，comodo新版本该如何设置hips实现全局禁运？我想只允许系统程序和文件夹的程序运行，其他位置的程序 ...

这是一个相当麻烦的事情，需要足够的耐心进行打磨，如果非要喜欢这种思路，可以尝试逐步完善：
先保留毛豆预设的规则，让那些系统主要进程获得放行，然后再把一些次要的系统进程，赋予低一点的权限或者由弹窗来加以决定；至于自己安装使用的程序，可以参考以往的帖子与经验，分组授权加以套用。然后再进一步完善，依据经验与需要，对系统主要进程也给出保护与合理的限制，慢慢地就能得到一份完整的规则。

总的来说，用HIPS进行全局管理限制，是相当麻烦的事情，需要长期打磨调整，才能得到一个相对稳定可用的规则，虽然防毒可以“滴水不漏”，但普适性不佳，比如系统更新、安装、卸载软件，往往就须有启用另一套规则，切换到安装模式，这正是HIPS逐渐淡去的原因。

相对来说，沙盘模式就简洁普适易用——有合法签名的，云端跑过属于安全的，判白放行就可以，其它的入沙，就能基本上解决日常防毒的需求。这就是新版转向沙盘防御的根本原因。

柯林

yushu280 发表于 2020-4-12 08:41
大神，comodo新版本该如何设置hips实现全局禁运？我想只允许系统程序和文件夹的程序运行，其他位置的程序 ...

其实，对于HIPS来说，全局禁运不是重点，要玩禁运，组策略就能做到，无须HIPS
HIPS的重点在控制，比如注入防御——以comodo来说，主要是两个，自保里的内存保护与钩子保护，结束进程与消息攻击都可以看轻，特别是explorer与svchost这样的进程，防注入尤其重要。做好了防注入保护，一般的威胁都是不惧的，无须考虑禁运，配合注册表防护、驱动、钩子防御等，一般是不用担心的

全局阻止或禁运的方式，主要还是从普适易用的角度，做成普适规则给普众用的，熟悉HIPS，自己具有手动掌控力的，其实弹窗判断更给力