有没有类似这样的规则？

chye

平时，只要我们习惯好点，基本上很难让病毒进入系统的。
系统基本也没崩溃过，但是，有时候网上下点软件来，或者安装东西，开挂的时候我还是会关一下毛豆的
这样盗号木马就进来了，如果仅仅是盗号的还好，我们还能发现
还有一种情况就是，成了别人的肉鸡，别说你不在意，硬盘被人翻了不说，如果你炒股，玩网游
（我见过一种木马就是带显示被控主机玩的网游的，然后批量种上特定的木马）
更烦的就是以后随时都会有别的病毒进入机子
这时，开了毛豆也不行，比如注入了像svchost之类的系统进程
默认还是会放行svchost 的很多行为

说了这么多，想必大家听的也累了，其实我想说的就是，有没有类似这样的规则：
全局限制联网，然后手动添加可信程序
系统程序全都限制一下，我知道好像svchost有域名解析服务要联网
其它程序像系统自带计算器calc.exe如果在联网，那肯定是中木马了
盗号木马的原理基本上也是要联网发邮件的，如果把发邮件这个环节给断掉
这样即使密码被截取了，也发送不出去

mxf147

用这个规则吧：http://bbs.kafan.cn/thread-943013-1-1.html
在防火墙“应用程序规则”最下边添加全局规则*，指定规则为防联网

chye

回复 2楼 mxf147 的帖子

谢谢，其实我也想讨论一下这方面的东西，在讨论中学习
论坛里关于D+的很多，但防火墙好像就没多少人在讨论

DoctorL

回复 1楼 chye 的帖子

这时，开了毛豆也不行，比如注入了像svchost之类的系统进程
默认还是会放行svchost 的很多行为

难道注入svchost这步不报么？comodo是一个4d的整体，或者说hips是一个程序执行流程的监视器~

chye

回复 4楼 DoctorL 的帖子

不是，我们有时候总要开挂，要安装东西
外-挂要注入游戏进程的，开着毛豆就用不了
那时毛豆关掉了，可能木马就进来了

DoctorL

回复 5楼 chye 的帖子

1.注入game.exe，D+提示，你放行；game.exe联网，防火墙提示，你放行；

2.注入svchost.exe，D+提示，你阻止；svchost.exe联网，防火墙提示，你阻止（即使放行也OK）；

问题不在于D+还是防火墙，而在于你对程序的判断

chye

回复 6楼 DoctorL 的帖子

哎。。话题又转移到D+上了

不止外-挂，有时候安装东西的时候你总不会开着D+吧
或者，在一台不能确定是否感染病毒的机子上

2.注入svchost.exe，D+提示，你阻止；svchost.exe联网，防火墙提示，你阻止（即使放行也OK）；

svchost.exe在联网时自带规则默认是放行的，你可以试试，开着毛豆照样可以外联出去，防火墙无提示

chye

注入svchost的木马，不止外联防不住，而且很多动作防不住
自带规则的情况下，创建文件，删除文件都不能防

DoctorL

回复 7楼 chye 的帖子

因为主防这种东西最终还是落实到D+上，防火墙是最后的一道防线。

1.安装程序可以开D+，因为有沙盘

2.注入svchost阻止了，联网放行又有何妨？

chye

回复 9楼 DoctorL 的帖子

汗。。咱能不谈D+吗？
我本来的目的就是想讨论一下毛豆的防火墙
我不是说D+防不住东西，只是我有时候要关掉D+，沙盘也基本不用
木马最多的类型就是盗号和远控
不中木马当然最好，在中了木马的情况下，让防火墙来防住木马
木马反弹连不出去，盗号程序邮件发不出去基本就相当于防住了