【更新】<<<白菜党与测试党看过来——毛豆简单易用大时代来临>>>

显示全部楼层 · 发表于 2011-5-9 14:21:50

本帖最后由眼睛贝贝于 2011-5-9 19:59 编辑

我这有三项不知是什么问题，默认规则的

显示全部楼层 · 发表于 2011-5-9 19:45:00

回复 81楼眼睛贝贝的帖子

搜索一下老贴，专门有人翻译过解释及具体说明。
图全挂了。

显示全部楼层 · 发表于 2011-5-9 20:05:54

回复 82楼柯林的帖子

柯大再帮看下是什么问题，图片又编辑下，

显示全部楼层 · 发表于 2011-5-9 20:19:10

回复 83楼眼睛贝贝的帖子

空口说也说不清楚，我帮你测下，给你参考。

显示全部楼层 · 发表于 2011-5-9 20:35:09

回复 83楼眼睛贝贝的帖子

测试结果如下：

CreateRemoteThread的测试内容是【修改系统文件，向csrss.exe 发消息，调用浏览器】：
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改文件    C:\WINDOWS\system32\dll.dll
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改文件    C:\WINDOWS\system32\dll.dll
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe

APC的测试内容是【同上】：
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改文件    C:\WINDOWS\system32\dll.dll
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改文件    C:\WINDOWS\system32\dll.dll
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe

Coat的测试内容是【同上之外，修改注册表，联网】：
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    DNS/RPC 客户端访问    \RPC Control\DNSResolver
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    修改注册表项    HKUS\S-1-5-21-1085031214-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    DNS/RPC 客户端访问    \RPC Control\DNSResolver
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    发送消息    C:\WINDOWS\system32\csrss.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    创建进程    C:\Program Files\Mozilla Firefox\firefox.exe
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    询问    出    UDP    112.115.80.151    56473    61.166.150.123    53
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    拦截    出    UDP    112.115.80.151    56473    61.166.150.123    53
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    拦截    出    UDP    112.115.80.151    56473    61.166.150.123    53
D:\GYtemp\HIPS Test Tools\CLT\clt.exe    拦截    出    UDP    112.115.80.151    56473    61.166.150.123    53

显示全部楼层 · 发表于 2011-5-9 20:54:17

回复 85楼柯林的帖子

谢谢柯大，帮测试下，一直想用好毛豆，都用不好，是太菜了，之前坛上有人说用默认规则，不如不用毛豆，看到你贴子后，又用起了毛豆，

显示全部楼层 · 发表于 2011-5-9 21:15:56

柯林发表于 2011-5-8 18:31
回复 68楼 h8888 的帖子

疯狂模式和自定义模式下，弹窗很多。一般用户用默认的安全模式就可以了。

柯大侠又换了头像了。安装的时候选择防火墙与最大主动防御，安装后，默认是全部勾选的。柯兄安得时候选的是中间的那个选项？

显示全部楼层 · 发表于 2011-5-9 21:21:24

本帖最后由 zxyzhlly 于 2011-5-9 21:22 编辑

记得我此前发帖讨论过毛豆的签名机制问题，基本上，如果不相信毛豆的白名单就别用毛豆了，再易用的规则在疯狂模式下就是自己折磨自己。想想看，程序千差万别，即使是同类程序的差别也是非常大的，用同一个规则去套或多或少都会有问题。事实上，现在的智能防火墙都依赖于白名单。普通用户用个杀软配毛豆中毒的几率是极低的，当然，前提是得懂点系统和毛豆。

显示全部楼层 · 发表于 2011-5-9 21:41:55

回复 87楼吴茗123 的帖子

先看版本吧，我习惯下防火墙版——反正暂时对毛豆的杀毒不感冒。安装时默认的那个中间（是不是有三项，记不清了，记得好像就是“防火墙最佳防护）选项。
其实按官方的本意，还是使用沙盘比较好吧——未知东东先进沙盘。对于迷信于普通测试的人来说，这样子最直观。其实对于一般的普罗大众来说，中毒的几率其实很低，杀软+毛豆默认规则的用法，按一般人的用法，真的很不容易中毒。

显示全部楼层 · 发表于 2011-5-9 21:47:37

回复 88楼 zxyzhlly 的帖子

官方搞出白名单，是经过了严格测试的（是否存在有软件厂商烧钱买通的问题，这个无法得出结论，原则上相信不会），放行的东东按病毒及恶意程序行为的标准是不存在可能对系统构成威胁的，所以使用它是没啥危害的。至于对国内一些软件有怀疑，喜欢限制，完全可以理解——有需要的就自己改造。

[讨论] 【更新】<<<白菜党与测试党看过来——毛豆简单易用大时代来临>>>

本帖子中包含更多资源