你了解毛豆沙盘的作用及正确用法吗？

柯林

这篇题目如果做个投票贴，大概会很吸引眼球，有些娱乐性，不过这不是本文的目的。本文将和大家探讨两个问题。
一、毛豆沙盘问题
毛豆沙盘究竟有什么用？相信不少人有这样的疑问。简单来说，毛豆沙盘实现两个作用——易用和安全。易用就不用多说了，自从推出云验证为基础的沙盘机制之后，毛豆弹窗直线下降，几乎到了安静得可怕而使人不安的程度。安全也不用多说，自动或手动隔离不安全的文件，阻止对实机的损害，对计算机安全提供有力的保障。
由上所述，毛豆沙盘的用法，基本上有两种——自动和手动。
A、自动入沙——开启沙盘的情况下，自动把不安全文件隔离进沙盘执行，依据设置的防护等级（默认是“部分限制”），自动应用相关权限的限制。
B、手动入沙有四种方法：
1、右键入沙——选中一个可执行文件，点击鼠标右键，弹出菜单上选“在sandbox里运行”。此种操作，无沙盘权限选项，究竟是按哪个级别执行，请大家抽时间验证。（右键入沙仅对com、exe、bat、cmd格式的文件有效）
2、面板入沙——打开毛豆控制面板，D+选项上选“在sandbox内运行一个程序”，弹出对话框上让你选择程序路径和执行权限。
3、规定入沙——打开毛豆控制面板。D+→计算机安全规则→总是sandbox，添加程序路径，配给执行权限。
4、自行入沙——复制文件到C:\VritualRoot里加以执行。此种情况下，无沙盘权限选项，使用默认设置——究竟是按哪个级别执行，请大家抽时间验证。
【右键入沙和面板入沙都属于临时入沙，规定入沙和自行入沙都属于永久入沙】
区别：自动入沙是策略性沙盘，依据用户选定的沙盘安全等级进行防护，自动阻止对受保护的文件和注册表的操作（日志当中可以看到相关记录）
手动入沙，是重定向沙盘，此时的所有行为都是虚拟的，理论上是任意堆沙沙，但阻止对实机文件的操作（日志当中没有相关记录）
那么，毛豆沙盘的正确用法究竟是什么呢？这个问题放到下面一个问题里进行探讨。

二、默认规则问题
默认规则究竟怎么样，要不要修改？这是很多新手的疑问。个人认为，在强大有效的沙盘技术支持下，完全够用，一般无须修改，应用默认规则，防毒率几乎就是100％，足够日常应用。这个结论加了几乎是三个字是什么意思呢？意思就是默认规则的防火墙部分有点问题——默认允许所有安全文件上网，并且默认设置为允许沙盘内的程序上网，如果沙盘内的程序是一个执行联网操作的木马，就漏掉了网络部分的阻截，所以说它是几乎是。
有人大概会搬出足球样本来否定默认规则，有人会问是不是一定要加FD全局才能防御？个人意见是，完全不需要加什么全局，默认规则完美防御。只要你使用正确的毛豆沙盘用法，一点问题都没有。
什么是正确的毛豆沙盘用法？简单说，自动入沙，是执行日常防御用的，你可以把它看作是对网络和移动磁盘这两大病毒入口点的防御，不是给你测试病毒或分析文件用的，要测试病毒或分析文件行为，请使用手动入沙。
也就是说，当你对一个文件（新下载的文件、未识别的文件、验证为安全但依然不放心的文件）有疑虑的时候，最好的方法，不是禁运，而是手动入沙。通过手动入沙进行重定向操作之后，可以从沙盘里看它作了哪些文件操作，可以到注册表的毛豆沙盘项里看它弄了哪些虚拟注册表操作。通过观察这些行为，一个有经验的用户可以大体判定它有没有恶意行为。这是测毒或跟踪分析文件行为的正确用法。
由上可知，默认规则，把强大的安全性和易用性结合到一起，真是又安全又傻瓜的玩意，一点都不用怀疑！

总结：新版将沙盘和D+作了明确的分工与组合——沙盘控制不安全文件，D+看管安全文件。沙盘的防护，分自动和手动两种——自动用于日常安全防护，手动用于病毒测试及程序行为跟踪分析。

ps：大家口头习惯上的D+是指计算机安全规则，不是真正的D+（真正的D+是包括沙盘和计算机安全规则及其它方面在内的整个4D防御体系，沙盘只是D+的一部分而已），本文沿用这种口误以照顾大家的习惯。

虚拟注册表行为参考下图：

柯林

1楼相关问题补充说明如下：
a、入沙文件——指所有后缀名文件，但真正起限制作用的，是可执行文件（包括脚本文件）。
b、入沙程序权限——毛豆控制面板上的“概况”下有显示。
c、默认规则的修改——不用修改也足够（参考1楼），适当修改可参考：
1、日常防毒，自动入沙搞定，要高强度，可以把沙盘防护等级调高；测毒请用手动入沙。
2、病毒防护不劳操心，交沙盘处理，剩下可以折腾的，只有对安全文件的限制，发挥D+作用的时候到了——可以对安全文件制定手动入沙规则，这个不是主流。主流做法还是过去的自定义程序规则，分组也好，一程序一规则也好，详细定制——定制到哪个程度，自己掌握（一般也就是反广告和限制流氓行为而已）。
3、FD全局加不加，自己考虑——楼上所述，不加也可以防御。如果你怕自己养不成手动入沙的习惯，为避免双击一个全局破坏病毒而自动入沙导致防护不足，可以加FD全局保护【注意，添加FD全局保护后，有些程序可能无法手动入沙运行，只能使用自动入沙了】
4、5.8新版建议勾选“增强保护模式”。
5、防火墙部分，如果想控制每个程序的网络行为，请删除“防火墙－应用程序规则”下的全部默认规则，改防火墙策略为“自定义规则”。
d、手动入沙提供了强大的功能，你不仅可以用来测毒或进行一般的跟踪分析，还可以通过右键入沙等手段把安装程序运行在沙盘，强制安装程序在沙盘里，然后为沙盘里的程序建个快捷方式到桌面，像传统沙盘一样进行使用操作（注意，毛豆默认建沙盘在C盘，此种用法建议C盘有足够空间——xp建议16G以上，win7建议25G以上）
e、足球样本测试，本人没有进行，有兴趣的自己实证。因为删除整机文件耗时太长，太难忍受。同等原理的批处理测试已验证通过。
打开记事本写下如下命令
del /f /s /q f:\*.*
pause
exit
保存为test.bat，右键将这个批处理手动入沙，DOS窗口显示该程序正逐一删除F盘上所有带后缀名的文件。执行完毕，F盘上的文件完好如初，一个也没有删除。
在C:\VritualRoot里有个test.bat文件夹，里面记录了该程序干过的一切好事。
f、右键入沙与自行入沙，所给予的限制权限是默认的“部分限制”还是“D+设置上给定的防护等级”，这一点感兴趣的自己求证。
g、个人观点，一家之言，请善加思索并实地验证后加以判断取舍，有看法欢迎一起交流探讨。

xinshiyun

嗯，安全的文件完全是信任的，d+ 作用变成了主要控制安全文件的行为。当然这是开沙盘后。有了沙盘写少了很多规则！安逸

myzuzong

右键入沙的级别和自动沙盘的级别是一致的，都是在可执行镜像控制里面设置的。
自动沙盘的策略限制作用，其实可以通过设置预定义规则来实现。而且自动沙盘过于严格，基本是全阻止。不如预定义规则可控性好。当然，自动沙盘有个巨大优势，就是继承。
不过我目前赞成用预定义规则实现少弹窗，用右键入沙实现真正的沙盘。

柯林

myzuzong 发表于 2011-12-5 10:22
右键入沙的级别和自动沙盘的级别是一致的，都是在可执行镜像控制里面设置的。
自动沙盘的策略限制作用，其 ...

自动入沙不加全局FD保护就漏了。
手动入沙经个人测试是完全在沙盘内执行而阻止对所有实机文件的操作，一样的权限继承。

yestersummer

将无法识别的文件级别设置成不信任级别，自动入沙应该不会漏吧！

柯林

yestersummer 发表于 2011-12-5 11:33
将无法识别的文件级别设置成不信任级别，自动入沙应该不会漏吧！

漏！策略型沙盘不加全局FD保护就漏！
手动入沙使用重定向沙盘，无所谓全局不全局。

有你丶我幸福

柯林 发表于 2011-12-5 11:58
漏！策略型沙盘不加全局FD保护就漏！
手动入沙使用重定向沙盘，无所谓全局不全局。

如果是无法识别的禁止呢

柯林

有你丶我幸福 发表于 2011-12-5 12:01
如果是无法识别的禁止呢

对无法识别的文件采用“阻止”的权限？那就是禁运——禁止访问该文件。程序都没有运行，无行为产生，无所谓防住没防住，唯一的结果是你的系统——安全！

有你丶我幸福

柯林 发表于 2011-12-5 12:21
对无法识别的文件采用“阻止”的权限？那就是禁运——禁止访问该文件。程序都没有运行，无行为产生，无所 ...

自动入沙 是不是在可执行控制上设置全勾勾了就是了