对于毛豆开发人员无视日志功能短板的现象猜想官方对于毛豆规则制定的看法

juju_lin

用毛豆的TX应该都有这样的同感，毛豆的日志功能相对很多HIPS软件很不方便，没有很好的日志订制功能；也无法很快的通过日志定位到相关规则进而修改规则。不少豆友应该都向官方反应过这个问题，而毛豆至今没有对于这个意见作过相关功能的修改。本人认为并非毛豆官方故意忽视用户的感受，而是出于官方对该问题的不同看法。以下发表下人个的浅薄理解：
     我们都知道HIPS日志的最大功能是在于调试规则，方便用户能够很快的找出应用规则后出现的各种问题，而毛豆这种日志功能的缺失对于采用全局阻止例外排除思路的规则（大部分安全性很高，但适用度不够的规则都是这个思路）造成很大的困扰，大大的增加了制订排除规则的工作量及难度，有时一些问题绞尽脑汁也难得结果。这样看来，似乎毛豆对于用户的这种糟糕体验很不负责，可仔细想想，这种类型的规则存在的必要性真的很大吗？它对于“安装程序”这个普遍的HIPS之痛的不适用性往往只能使用户暂时关闭保护功能，通过寄希望于下载软件本身的健康度来确保数据安全。这相对于简单方便的SSM的禁运法又能有多少优越性可言？更安全吗，我认为双方的安全度是一样的，同样在主动安装未知软件时存在风险，而对非主动安装的未知程序两者都很安全。因为这种极致规则下多出来的FD的安全因素对于AD的禁运来说只是在硬盘上多些不能作恶的垃圾文件而已，对于防范调用cmd.exe等等的程序运行IE下载的病毒、利用溢出漏洞生成的恶意代码等效果看不出有不同，同样的加载了不驱动，更无Ring 0级别的权限取得之说。 当然说得有些绝对，但是就两者功效的区别来说的确很小 。我们在这里并不是要说SSM比毛豆更好，只是想强调那些让毛豆安静、无弹窗的规则其实效果跟SSM的断开模式很接近，花这么多的心思磕毛豆不应该只是得到SSM禁运效果的使用体验。
     HIPS软件的精髓在于与用户的交互，那些“极致”的安全规则让HIPS成了不会沟通并且经常自作主张的哑巴，这显然背离了这个主旨；然而无休止的低级的判断更会造成用户的鼠标疲劳，让人物进入狂暴状态，短时间内攻击力提升N%...游戏玩得多了。所以采取本地既有程序的学习放行，对于未知程序询问处置的方针，能够最大程度的减少不必要的弹窗，让用户只需花少部分的精力来判断有限（说真的很有限）的未知程序的风险，这样一个折衷的方案，显然在安全性与适用性上做到了很好的平衡。由于用户参与交互过程，对程序运行过程了如指掌，日志庞大的排难功能便显得没有必要了,这样也能更好提升用户的安全常识。我想这会不会也是毛豆官方考虑这个问题的出发点呢？说到这里我们又回到了标题。所以本菜鸟以为毛豆用户不妨采用在毛豆装好之后学习一遍，全局询问这样一个防毒于未知的简单规则思路，而不必去套用那些严苛的规则使自己徒添烦恼，真有安全强迫症的TX建议用简单实用的SSM禁运得了。
     当然云HIPS是解决类似问题普及HIPS的良方利器，应该是HIPS的发展方向。在这里憧憬一下...
备注：发完帖后本人会暂避论坛很久，以免被丢来的石头、鸡蛋造成心理上的伤害。 请大家下手轻点。。。

subool

随着用户越来越多, 毛豆也越来越官僚,这点不如红伞. 红伞据说有一亿用户, 总体态度还可以.

lixiang1977

毛豆的日志不能定制恐怕是出于商业目的！

虚无名

其实很多用毛豆的人，虽然用起来很顺，但安全性很低，我帮人杀毒就碰到过几个用毛豆中毒的，很多都是全局询问所有程序跑一遍或直接开学习模式用几天在拉到疯狂模式就了事，虽然这样用起来很顺，但之后没有去修改定制规则，安全性很低，这样用毛豆感觉还不如用沙盘，沙盘用的好，安全性也很高

baerzake

我猜想是因为毛豆并不是单纯做一个HIPS，它做的是一个安全平台，是想给大众一个安全解决方案，从它的发展来看，trustcast和sandbox以及CIMA的加入可以看出来，如果如楼主所说加入日志修改功能，那么必然很多人会和用EQ一样，直接套规则不弹框，有问题根据日志修改，这种模式对HIPS熟手自然是非常方便的，但对小白基本没什么用处，comodo要想发挥它的优势就在于弹框，只有弹框才能发挥trustcast功能，只有弹框用户才能选择将未知程序上报给CIMA分析，这样comodo才更有利于大众的使用，将来毛豆会充分发挥这些模块的功效，有未知文件先隔离进沙盘，然后提交CIMA分析，没问题就信任，有问题就继续在沙盘中运行，然后加入comodo的病毒库，下次你运行时报毒。当然，这是我个人猜想，没有任何官方依据。

柯林

回复 5# baerzake
同意局长观点

柯林

回复 4# 04m40125
学习模式的风险及弊端已经讨论过很多
使用HIPS后中毒，通常只能说是杯具

zhangkun0214

修改规则，坛子里好像有人建议做个规则库，不错的想法，可以参考规则库，为具体的程序修改非常具体的规则

明王

毛豆现在是大众必备了，连我这种菜鸟都用毛豆