。。。。。。给病毒们一次机会吧II（comodo规则最后更新：更安静一点，更安全一点）

V!RTUAL

原帖由 抓抓 于 2009-1-23 02:43 发表
地板用来以后有空闲的时候测试病毒。。。
______________________________________________________________________

刚才到样本区找了几个比较厉害点的篡改IE主页的病毒，，

运行后一路放行，，也没发 ...

测试了一下，我自己编的规则防御成功！

抓抓

原帖由 V!RTUAL 于 2009-1-24 15:32 发表


测试了一下，我自己编的规则防御成功！

可否贴出你的规则？分享一下呢，，想多了解一些不同的方法。。

V!RTUAL

还没有完整，还在学习中，想把你的规则和秘书规则优化组合起来

2189228

谢谢了~ 感激啊 新年快乐!

小静电

抓抓规则很强大，用的程序很多，眼都有点花了，仔细研究研究

kav2046

虽然不用COMODO，但同样谢谢楼主的热心奉献！祝楼主新年快乐！

抓抓

谢谢大家的支持，，
也同祝大家新年快乐！万事如意！

原帖由 小静电 于 2009-1-25 06:55 发表
抓抓规则很强大，用的程序很多，眼都有点花了，仔细研究研究

在这个规则下，那些系统程序除了logonui.exe、userinit.exe外，其它的可以不用管它，甚至可以给它们Trusted甚至installer权限，，但要把们放在分隔线下方。。
而且这里的应用软件也有充分的自由，，
我从不主张对软件过分限制，，毕竟软件就是要拿来自由应用的，。

梦思缘

看来得仔细看看了

pphsxlgb

感觉打磨这种规则作用不大,反而不利新手学习,对毛豆较了解还可以,能节约时间.
但是说给病毒一次机会,一路放行之类的话,我觉得不恰当,现在木马大多是驱动级的,驱动一旦加载一切都也晚了,所以吗规则也就不起作用了.

抓抓

原帖由 pphsxlgb 于 2009-1-25 14:55 发表
感觉打磨这种规则作用不大,反而不利新手学习,对毛豆较了解还可以,能节约时间.
但是说给病毒一次机会,一路放行之类的话,我觉得不恰当,现在木马大多是驱动级的,驱动一旦加载一切都也晚了,所以吗规则也就不起作用了.

可能大家对HIPS使用的理解上不同，，也导致了一些不同结果，，
个人认为，HIPS规则最主要的意义就是对一些行为的优先过滤，，
其实这些一路放行的过程中，主要是测试它优先阻止了哪些，，
就拿comodo来说，
每个弹窗都说明这个地方没有规则限制，
有规则限制的地方不会弹窗，而是直接优先阻止了，包括可能的一些驱动加载（驱动加载也可以在注册表里拦截），

如果你没有任何规则限制，，
那意味着你在完全安装这些木马，，
当然，如果你要完全安装木马话，
那再说下去也就没意义了。。。