终极虚拟—天罗地网“迷魂阵”

柯林

毛豆什么最强？当然是主动防御，里面的，自动沙盘！有了这“神器”，防毒轻而易举。

有人说，我安着毛豆，可还是被全家桶给Q了，被白+黑给耍了，被木马病毒把资料给盗了……那是你“心慈手软，太过温柔”的缘故。

安全，当然是很多因素构成的。比如，你要是给windows系统设置个白痴密码，那要“不招蜂惹蝶”，恐怕很难。再比如，系统方面的致命bug，比如win10最近闹出的那个“遇到致命短字符就格盘”的“战略性手段”，以及许多普通人不知的0day之类；再比如cpu的致命漏洞；那可能不是什么牛皮软件或“神仙规则”能够抗住。

抛开人力所不能掌握的部分，在我们力所能及的范围内，把防御捣腾得“比较扎实”，“留给病毒的机会恨渺茫”，这是“玩防毒的人”应该追求的目标——“以最小的代价最简单的方法，实现最大化的防御”。

具体到毛豆来说，就是用好它“独步武林”的“神功”——自动沙化。众所周知，有款给力的软件，叫做Shadow Defender，能把“一切修改恢复原初”，玩的是全盘虚拟。我们要做的，是与Shadow Defender相反的思路——把病毒和未知程序全部虚拟，并尽可能地减少虚拟化下的“损失”。

具体方法，三大招——

第一招：防火墙
1、拦截危险程序联网---新建一个文件分组，取名：危险程序，添加以下文件：
*\bitsadmin.exe
*\cmd.exe
*\cscript.exe
*\mshta.exe
*\powershell.exe
*\wmic.exe
*\wscript.exe
在防火墙应用程序规则里，新建一条规则，引用这个分组，配以“被拦截的程序”（设为禁止访问网络）

2、全局询问：防火墙应用程序规则里，新建一条规则——所用应用程序*以TCP/IP协议进、出，询问并记录（不喜欢一大堆拦截记录，可以不开记录--缺点是有时候你可能不知道自己的程序被拦了）

第二招：文件隐身
把你“宝贝的东西”不给病毒看，即使进了病毒或木马，它连“你的宝贝”在哪都不知道，不也就提高了防毒防马的安全性？假设你有C\D\E\F四个盘，资料都放D\E\F盘上（你有几个资料盘就加几个），打开毛豆“受保护的资料文件”，添加以下内容：
D:\*
E:\*
F:\*
*\Cookies\*
*\index.dat
*\rasphone.pbk
*\windows\*
*\Program Files\*
*\Program Files (x86)\*
*\ProgramData\*
*\Desktop\*
*\Temp\*.dll
*\*.ini
*\*.dat
*\*.xml
*\*.jpg
*\*.jpeg
*\*.doc
*\*.docx
*\*.xlsx
*\History
这样一添加，入了沙的“可疑分子”，就让它抓狂去吧（估计很多都是运行就报错，撑不过几分钟，就自己game over了）。

第三招：终极入沙
除了系统，以及“我所安装使用的程序”，其他全是未知的“可疑分子”，一律入沙，看你还怎么蹦？
1、强制入沙需要管制的程序：新建一个文件分组，添加你想管制的程序，比如
*\iexplore.exe
*\XLUEOPS.exe
*\Xmp.exe
打开沙盘规则，添加一条置顶规则，引用该分组，设置“入沙”
2、comodo默认自带的沙盘规则不要动
3、在默认规则的下面（注意是下面），写上放行规则：新建一个文件组，取名：系统及可信程序，添加如下内容：
C:\Windows\*
C:\Program Files (x86)\*
C:\Program Files\*
D:\Program Files\*
新建一条沙盘规则，引用该分组，设为“忽略”（如有遗漏的，自己补充下，按理这几个路径放行就够了）
（你自己要用的小工具，小程序，凡是可靠的，没有安装在C:\Program Files或C:\Program Files (x86)里的，自己把它放到D:\Program Files里去用）
4、最后写上一条扫尾的终极虚拟规则：所有应用程序*一律入沙（不管它来自哪里，信誉如何）（你自己安装程序、卸载程序、升级软件，需要关闭这一条。系统更新是否受影响，需要观察，按理是应该不会，如果影响，在更新补丁的时候，临时关闭该条）。这一条一定要放在最下面，作为沙盘规则的最后一条规则，否则就死机蓝屏了！

现在，你放心地迎接病毒吧，只管手贱地双击吧，只要你不把病毒放到C:\Windows或C:\Program Files或C:\Program Files (x86)里，以及D:\Program Files里，管它白+黑还是红+灰，你看它入沙后的“醉样”(●'?'●)。只要不是针对毛豆的致命bug或系统的致命漏洞，这个迷魂“诛仙阵”，应该是来多少，收多少，一个都作不了妖！

当然，管不管用，有没有设置错误或写法错误，你可以自己测试下。比如自己写个批处理，删除D盘上的D:\123\*.TXT，保存为bat文件，双击看看；或者用个绿色软件，放到桌面，或者E盘，或者U盘上，运行看看，看它入不入沙，看它入沙后的“表现”(●'?'●)

如果有必要，可以置顶添加一条，引用分组“危险程序”，设置“入沙”（这样设置可能影响你自己的应用，能不设置就不设置）

这样一弄，你再试试，看全家桶，在线安装，后门下载器，还蹦跶不蹦跶？看“乘兴而来”的病毒，留下什么记录？老实说，毛豆有自动沙盘+防火墙就足够防毒了，至于检测，呵呵吧，再说网速，呵呵吧……不放心，要上个扫描器的，建议首选系统自带的杀毒，或者加个智量（把反勒索功能关闭）


===============  小结线 ==================

这套方案的意思是：假设我的系统是干净的，我自己安装的程序是可靠的，那么除此而外，所有外来的、新添加的东东，都是“可疑分子”，一律自动入沙。如此一来，管你是病毒还是木马，管你从哪里来（管你邮件、网站、U盘还是光盘），一律沙沙沙，除非我自己脑残——把你加为信任，而杀毒又没认出，于是漏网，否则，“来者全灭”！

这套方案有两个“漏洞”——1、自己脑残，把病毒加为信任，而杀毒模块又漏掉，于是造成损失；2、病毒早就在信任目录里隐藏多时而杀毒竟然没检出（比如藏在Windows目录里），以至于中招。对于这个，有效的对抗方法是，用个得力的杀毒扫扫吧（对C盘大扫），还有就是，用原版系统+干净的pe（比如微pe）。

还有一个，就是网络恶意代码攻击。对于这个，最有效的手段，是打系统漏洞补丁。再有，就是用安全的浏览器，比如chrome，Edge，Firefox，那些乱糟糟的浏览器还是扔掉吧。虽然禁止了“危险程序”（比如cmd.exe）联网有一定的作用，毛豆的病毒跟踪分析究竟有多大作用不大清楚，真遇上系统漏洞的，只在内存里执行的恶意代码，不落地的东东，虚拟化防御有多大作用，需要观察。除此而外，凡是落地的，进入计算机的东西，都逃不过“狂沙迷魂阵”。


=======================================
喜欢把机子防护得“滴水不漏”的，可以试试这套方案，并不复杂，简单弄几下，就能弄个“金钟罩”。
喜欢玩搭配，可以配个智量，或者最好是系统自带的Windows Defender

最佳推荐——断网用户：机子连不了网，特征码杀毒够呛的，装个CFW，用这“万物入沙大法”就可以“百毒不侵”（前提是你机子干净，在安装毛豆防火墙实施防毒之前很干净，以及没有致命漏洞——比如windows短字符格盘漏洞）。（对于宏病毒，建议用高版本的office，关闭宏功能——其实在入沙防御下，病毒是做不了怪的，但是怕它感染模板，传给别的机子，如果入沙word程序，在这套方案下，可能入沙就崩了）

希望简单折腾的，可以动手试一试。我这里网速不给力，暂时不凑热闹了，提供个思路给喜欢折腾的人试试，有用请受享。

sdtzsf

非常期待！现在在品咖啡豆！

Kinhold

就上次坛内有用了MS office 的白加黑过了毛豆的自动沙盒  。。。暂时未发现有过的EXE

柯林

sdtzsf 发表于 2021-1-26 11:25
非常期待！现在在品咖啡豆！

已完成，思路很简单，喜欢可以试试看

con16

WIn10
Program Files
Program Files (x86)
ProgramData  .....或更多主要程序所在位置

資料夾保護那個不會讓你整個加進去，只能進去挑要保護的加
因為這些地方是主要程序所在位置，給你全加進去真入沙系統也不正常

這功能我是粗略的資料D槽和桌面一些目錄保護起來
要使用的程序則看情況，有些毛豆入沙不允許這樣搞，系統都不能正常跑

還有你瀏覽器(或要用的軟件)所在位址也看要看情況，不是都可以用那資料夾保護
像瀏覽器目錄加隱藏保護，入沙都會跟你說錯誤，因為入沙後自己都看不到自己一定是有問題

我以火狐做例子，你把火狐加資料夾保護隱藏，火狐入沙時候毛豆就會出現這畫面
因為被隱藏不給讀，火狐也無法入沙執行

柯林

不联网的机子（局域网内部，或者断网单机）

安装一个comodo firewall就够了，用自动沙盘防毒：

1、默认沙盘规则，保持不动
2、引用分组“windows系统应用程序”忽略
3、引用分组“comodo应用程序”忽略
4、建立分组：用户安装使用的软件
添加已经安装好的要用的软件，比如
C:\Program Files\WinRAR\*
C:\Program Files\MPC-HC\*
C:\Program Files\Windows Media Player\*
C:\Program Files\Mozilla Firefox\*
C:\Program Files (x86)\Microsoft Office\*
（根据你的实情，自己添加）
引用该组，制定沙盘规则：忽略
5、C:\Windows\System32\* 沙盘规则：忽略
6、C:\Windows\SysWOW64\* 沙盘规则：忽略
7、C:\Windows\WinSxS\*   沙盘规则：忽略
8、建立分组：危险程序
添加如下文件
*\cmd.exe
*\cscript.exe
*\mshta.exe
*\powershell.exe
*\wscript.exe
*\regedit.exe
*\regedt32.exe
*\mmc.exe
引用分组，沙盘规则：入沙
（你自己要用注册表，组策略的时候，临时关闭该条）
9、最后一条，垫底规则，封杀一切：所有应用程序*一律入沙（不管位置与信誉）

有这一套把关，基本可以“畅玩断网），唯一的弱点是宏病毒（带毒文档或报表打开之后，虽不至于造成危害，但会感染模板，传染给别的文档。解决办法有两个：一是用高版本的office，不要开宏，或者用金山wps天然免疫的；二是下宏病毒专杀工具，以应不时之需）

如果局域网内机子互联，出于保密需要，可以对入沙程序设置“盲点”——把资料盘加入保护
假设你机子上有D\E\F三个非系统盘，存放资料的，打开“comodo设置-HIPS-被保护的对象-受保护的文件”，添加-文件夹：
D:\*
E:\*
F:\*
接着添加文件：
*\Cookies\*
*\rasphone.pbk
*\Desktop\*
*\index.dat
*\History
这样，即使有流窜网络的病毒，或者利用U盘盗窃的病毒，也能减少资料被盗的程度了

ps：不联网了，还怎么安装comodo firewall？可以用离线安装程序cis_setup_x64.msi进行安装，如果安装报错，那是权限不够，需要三部曲：
1、关掉UAC
2、禁用驱动程序强制签名
3、以Administrators的身份登陆，执行安装
安装完毕，进行正常使用时，开启UAC，开启驱动程序强制签名，以用户组身份登陆

HEMM

防火墙C:\ProgramData\Comodo\Cis\tempscrpt\*
请把这玩意儿拦截.........两个改成一个*\?script.exe，这是你教我的，你忘记了......
好多啊，我记不住，不看了，好累.......
关键是卸载了毛豆了，而且......毛豆说修复的BUG很多没有修复...........
为什么你们稀饭把浏览器入沙啊，浏览器带沙盒的.......

諾言敵不過時間

是說有沒有考慮過讓入沙判定由雲端信譽決定

Panda418

猛赞

风林12刀

很有技术含量的帖子，支持一下