COMODO温馨规则，More than Security [XP&Win7,Updated @2011-10-03]

zxzy

huangzhifan1 发表于 2011-2-8 09:42
非常汗死  放被拦截文件 是一些高危程序 还有一些注入到毛豆进程里的黑名单
比如搜狗输入法德dll文件 你 ...

呃，放拦截文件确实有用，但自己点击这些高危进程的东西的人很少吧？参考一下月光MM的规则就知道了。至于搜狗这种类型的dll肯定要放被拦截文件里。。至于比毛豆先安装的程序可以用其他工具解决。。白名单肯定不能留，留着就是祸害。。

zxzy

回复 903楼 群心璀璨 的帖子

md不是有ND么？这样搭配没冲突？

zxzy

huangzhifan1 发表于 2011-2-8 10:07
至于你所说的系统可执行已经保护了 修改系统其它文件就不要紧了 请你负责任说话哟

文件保护的目的就 ...

保护了可执行文件只是举例罢了，实际上不可能就保护可执行文件吧？

N个组都放行进去就要看前面的过滤了。。如果没有过滤好的话肯定有危险。

zxzy

huangzhifan1 发表于 2011-2-8 10:21
很简单呀 因为有时候是因为机子问题 xp上和win7 上是有差别 还有我也没去打磨贺岁版规则 所以一些人问 也就 ...

讨论的话有意思，大家一起来讨论肯定能够得到不少新的收获。

zxzy

zxyzhlly 发表于 2011-2-8 11:43
说的很中肯。
首先得尊重别人的劳动成果，做规则很费劲。别人的辛辛苦苦做的规则，大家用了这么多，肯定 ...

是啊，个人写规则想怎么写就怎么写，什么程序都可以改，管他正不正常呢。。但是你这样的规则如果放出来肯定骂声一片的。。要不就是求救贴一大堆。

huangzhifan1

做智能规则肯定又是另一个框架 文件保护 注册表 com组件 大体框架都知道 说实话贺岁版只是防火墙存在一些问题 不过已经解决了  
新的东西肯定更多  更细致 说实话即便是我自己机子上规则 安装一般软件 也只是排除 排除些注册表而已

修改文件的排除都很少


最起码注册表 和文件保护 封的还算到位

huangzhifan1

一般做规则思路就是文件保护 最起码得封住 省得以后更新规则补漏让用的人 又得打磨一遍规则 呵呵

群心璀璨

zxzy 发表于 2011-2-8 13:09
回复 903楼 群心璀璨 的帖子

md不是有ND么？这样搭配没冲突？

功能有重复，但不会冲突，不关系统防火墙就可以用毛豆就是很好的例子~

zxzy

群心璀璨 发表于 2011-2-8 13:40
功能有重复，但不会冲突，不关系统防火墙就可以用毛豆就是很好的例子~

我现在两种Hips一起用，只不过不是装在一起。。MD貌似有点复杂。。

群心璀璨

关于办公文档的保护，在浏览器组、聊天工具和下载工具组里面确实有放行，这个是为了方便下载文档时保存到自己想保存的地方，我相信这几个常用的组大家不会把病毒路径加进去的，都是太常见的程序，看图标都知道是什么，要是连这个都弄不清的话，那也没必要用毛豆了。而我规则里都是具体的.exe结尾，不是以\*整个目录加入，病毒想加进这些组不是那么简单，强调这些组的带毒不中毒感觉没多大必要。
本规则的重点不在预设规则，而在垫底的四道过滤，那些组用预设规则是因为那些组比较难打磨，怕大家改文件组名后造成规则丢失。关于文件保护，看那四条垫底规则，走一遍就知道了，文件组中的保护组protected_*只是保护要被放行的，而不是仅仅这些才受到保护。文档、压缩资料、照片资料等的保护相反是很重视的，在程序规则中优先阻止的是这些资料，就是为了保护目录里的文档、资料。
关于系统目录的保护，根据优先级关系只有在程序目录里放行的，其余都是被阻止的，事实上整个c盘都是阻止的（除了程序规则里放行的）。
其实这些在主贴里面已经说得很明白了。搞清楚垫底四条有优先级关系的规则，就知道防御能力怎么样了。由于毛豆的优先级不咋的，因此才搞了四条规则，我的md规则就只有两条。
要想知道规则的防御能力，不要在全局之外测，因为没有任何允许，和全局禁运差不多。直接把样本放到program files下测。主贴里面也说了，对于这种“自杀”行为，不能保证100%失败。但也绝对不是毫无用处~