comodo沙盘中运行的未知程序如何鉴定是否安全？

adbyby

挑了几个样本区的勒索病毒，虽然有些能在沙盘中直接显示出勒索界面（实机无影响），但大多数是没有明显勒索特征的，viruscope也不会看，虽然能防住病毒，但是我小白无法判断程序是否安全，请大神明示

以样本区一勒索病毒为例，自动入沙

然后ccav防护失效

很棒，中标


原来comodo的沙盘也会测漏

諾言敵不過時間

按理說如果過了CCAV沙盒那麼CIS10的沙盒也會過，我沒有虛擬機等樓下來測測看

westbyte

沙盒默认不虚拟 Download 文件夹的访问,还有一个共享空间

adbyby

westbyte 发表于 2017-1-16 15:45
沙盒默认不虚拟 Download 文件夹的访问,还有一个共享空间

可以更改这种设置吗？

�〕嗦闾毓ぉ�007

adbyby 发表于 2017-1-16 16:30
可以更改这种设置吗？

可以 沙盒设置-不虚拟访问 取消掉就好了

adbyby

�〕嗦闾毓ぉ�007 发表于 2017-1-16 17:04
可以 沙盒设置-不虚拟访问 取消掉就好了

好像ccav没有这个选项

jiangz1234

adbyby 发表于 2017-1-16 17:21
好像ccav没有这个选项

建议这样搭配好点，SEP14只装杀毒模块与主防（其它不装） ，COMODO（CFW)开HIPS/防火墙，沙盒默认关闭。(记得SEP与CFW互排即可），内存占用也小。

�〕嗦闾毓ぉ�007

adbyby 发表于 2017-1-16 17:21
好像ccav没有这个选项

不好意思 忘记版本不同了 我用的cfw

tun

我测没事。在沙盒一阵子后 Viruscope 叫了 (这可谓奇迹)


不过建议 Cloud AV 还是丢了吧，厂商白名单让这东西彻底没救了。
这是几天前 Malware Traffic Analysis 上的 XMAS Ransom

Cloud AV 看到数字签名是 Zemana 就信任，
CIS没有蠢到如此，文件已被评为恶意，但改MD5或断网下都是入沙。
[更新] 原来这是BUG，已经要修了




至于鉴定是否安全…你还是丢VT和在线沙盒比较快吧，COMODO给的那一堆东西一般人看不出所以然来的，顶多就勒索能目测出寻找文件、修改文件、改名、移动文件…Viruscope又迟钝。不信任就别让他出沙了，安全比较重要。

况且一般的程序运行后无影就是有问题啊，管他安不安全。

adbyby

�〕嗦闾毓ぉ�007 发表于 2017-1-16 18:15
不好意思 忘记版本不同了 我用的cfw

hips 弹窗太多了，家里电脑也不是我一个人用，所以就换了ccav。sep14前段时间也用了，但是杀破解，绿色，无奈电脑里面太多类似软件，就换了avast+ccav