COMODO温馨规则，More than Security [XP&Win7,Updated @2011-10-03]

群心璀璨

圆的方 发表于 2011-2-7 23:39
加了路径还是不行，也不知道是什么问题。我是直接套用大大的规则，只在相关组别里面加上程序而已，没改过 ...

看图是被拦了秒杀com口，正常的话应该不会被拦的。你仔细检查一下qq的规则里面的受保护的com口是否阻止了什么，有的话就把它删掉，直接删掉第一条分割线上由弹窗生成的与qq有关的规则也行。另外，你的日志截图看不到完整的路径，你这个路径是否包含在黑名单组里或在其他地方阻止了秒杀口~比如那四道过滤组里。。

huangzhifan1

zxzy 发表于 2011-2-8 00:41
无意进来看了一下帖子，发现论坛现在又有讨论的气氛了，那我也来讨论下。

非常汗死  放被拦截文件 是一些高危程序 还有一些注入到毛豆进程里的黑名单
比如搜狗输入法德dll文件 你用xt看下就知道了 会注入到毛豆cfp进程里哟 不采取黑名单 采取什么方法呢

有些软件比毛豆先安装吧 被注入很正常你不挂黑名单里 放哪里

再或者毛豆他自身更新也会升级些白名单 你不把白名单 有了乱七八糟的白名单 什么规则都是浮云了

群心璀璨

回复 900楼 zxzy 的帖子

内牛满面…

我发现了，p版规则（主动防御）下毛豆和md表面上不冲突，但实际上它们下钩子时有冲撞，用md自带的ark或xt查看钩子，一堆被挂钩的函数，尝试恢复所有钩子可能会蓝屏，但有时不蓝。但firewall规则下就不会有挂钩冲突~感觉md和毛豆墙算得上是很好的组合，呵呵~

huangzhifan1

zxzy 发表于 2011-2-8 00:41
无意进来看了一下帖子，发现论坛现在又有讨论的气氛了，那我也来讨论下。

至于你所说的系统可执行已经保护了 修改系统其它文件就不要紧了 请你负责任说话哟

文件保护的目的就是为了防止尽可能少的系统文件被修改吧



还有放行一些文档后缀是可以 但是N个组都放行 就说不过去

sobee

回复 888楼 zxyzhlly 的帖子

ok 那这些你可以不更新 当我没说 行了吧 最起码毛豆自身的消息得保护下吧

这应该是最基本的


不是什么口水不口水，更不更新的问题，你能给建议非常欢迎，大家都希望看到这个结果！我只是说楼主比较热心帮助小白，不像某些高人相同的问题盖N层没一个小白弄懂，最后还是简单一句自己看日志，ok再没下文。这类规则怎么能使大家受益？发点小牢骚可不是针对你哦！不要介意啊。

huangzhifan1

很简单呀 因为有时候是因为机子问题 xp上和win7 上是有差别 还有我也没去打磨贺岁版规则 所以一些人问 也就懒的去回答了 有回答的时间还不如 多看看别人规则 吸收经验做智能规则
最起码文件保护白名单方面 楼主做的不错
还有疯狂模式下 开不开可执行控制 这些都是要讨论的
主要是毛豆弹窗和日志不够细 细致点的话 弹窗还是比较好的

zxyzhlly

zxzy 发表于 2011-2-8 00:41
无意进来看了一下帖子，发现论坛现在又有讨论的气氛了，那我也来讨论下。

说的很中肯。
首先得尊重别人的劳动成果，做规则很费劲。别人的辛辛苦苦做的规则，大家用了这么多，肯定有可取的地方，起码比系统默认的强很多吧，一竿子打死的评价谁也无法接受，且不说意见提的正确与否，换位思考一下吧。
有的规则确实安全，但安全到没法正常使用，这样的规则有什么用呢？就是为了折腾？

zxyzhlly

sobee 发表于 2011-2-8 10:10
回复 888楼 zxyzhlly 的帖子

ok 那这些你可以不更新 当我没说 行了吧 最起码毛豆自身的消息得保护下吧

嗨，没弄明白，无语。

        不好意思，点错了，另起了一楼。
        再补充下，这个规则我一直在用。理解规则得从总体上看，做规则思路更重要，不能只见树木不见森林。当然这个规则很多方面可以做的更严格，但易用性肯定受影响，，但对普通使用者而言提供的防御我认为是不错的。当然，如果自己了解毛豆，完全可以在这个规则的基础上做更严厉的设置。安全性与易用性在某种程度上确实很难两全，各人有不同的标准和要求。

        顺便说说我理想中的规则，应该像图一那样。规则里面把主要文件、注册表及COM保护起来就OK，通用的允许，次重要的一些、或可用到的可以弹窗、过滤进行选择，其余无关紧要的一律放行，这样的规则无疑可以兼顾安全性与易用性。但如果规则做成了图二，只允许很少，其余全局禁运，安全吧，但用打磨起来纯粹是自虐。规则一旦做死了估计就到头了。
        用毛豆起码得承认两点：一、毛豆再智能还是个手动HIPS；二、现在的软件浩如烟海，每个人的习惯和用法还都不一样。所以期望做出来一个万人通用的规则本身就是不可能的，用毛豆就得打磨，不会打磨就不要用毛豆。那么怎么解决安全性和易用性的矛盾？我觉得图一应该是做毛豆规则比较好的思路。弹窗再怎么说也比手动看日志排除方便吧。实际上，毛豆的默认规则不就是这么做的吗？不过就是更简单、更基本而已。当然，弹窗也不能太多，否则就成了毛豆的疯狂模式。
         我想这就是楼主规则受欢迎的主要原因，是最值得肯定的地方。当然，具体哪些应该保护，哪些应该阻止，哪些应该弹窗，纯粹是战术层面的东西，完全可以讨论或自己打磨去。

        啰里罗嗦码了一大堆，只是从一个使用者、小白的角度随便说说，个人看法，欢迎拍砖。

joshuajeme

支持更新，看得我都想用回毛豆了

huangzhifan1

说白点弹窗还不是得看日志 效果其实一样 而且注册表上弹窗 还不是得有一定基础 不然一些危险的允许了
还不是一样 只是心里安全 没有规则的规则


当然现在毛豆的弹窗还远没达到智能 日志也没能达到智能  而且很多软件修改注册表只是修改一两个注册表 当然ie 迅雷除外了 完全可以通用


再说俗一点 不弹窗光看日志 排除的还快一点 弹窗我还得点允许或者阻止 累波 弹来弹去 还不是什么都学不到


再说白点 假如我用win7 可以说能做出比此规则 更通用更安全的规则 不过也快出来了 只是win7白名单要加些