设置的但并不能在毛沙盒里强制入沙是什么情况？

柯林

k2f2l5t2 发表于 2017-8-7 23:03
你好，谢谢，你帮我提问的这个不是我的想法，我的想法其实很简单又单纯，就是我没那么复杂我只是就想看看 ...

没有用过低版本？毛豆的工作原理，貌似没理解——按设定的内容执行保护，除非内部已经优先放行！
so，自己先查查手保护的内容，再说管不管事！——请添加三个*，再看它灵敏度，不管事才真是不行，管事了就是理解欠缺！

k2f2l5t2

柯林 发表于 2017-8-7 23:11
没有用过低版本？毛豆的工作原理，貌似没理解——按设定的内容执行保护，除非内部已经优先放行！
so，自 ...

你好，我从来就没有用过毛豆低版本，貌似8版起开始入门的而且要求不高能用免费就行，我上面这样的说法就是指从8.4版开始的，低版本谁还折腾了里面很多东西肯定和现在的不一样了。

柯林

k2f2l5t2 发表于 2017-8-7 23:17
你好，我从来就没有用过毛豆低版本，貌似8版起开始入门的而且要求不高能用免费就行，我上面这样的说法就 ...

原理从来没变过——不设定列入保护，根本不起作用。所以建多少分组都是没用的，只有加入受保护的内容，才会起作用。默认就只管exe之类，txt之类根本就没有。

以上其实也是题外话，与沙盘无关。不管你用哪种沙盘，都是一样的，针对的是进程，而非文件！所以其实你说的东西，再怎么设置，都是没用的，比如txt，它是用notepad.exe打开的，而notepad.exe位于windows下，根本不在你说的目录里，再怎么写规则都没用！毛豆自动沙盘，主要靠信誉来划分进程，不可靠的进程入沙，调用的子进程继承权限入沙。所以，不管你怎么设置，文件夹内的txt文档，直接打开，notepad.exe是绝对不会入沙的。至于脚本与批处理，是因为毛豆已经定义：bat与vbs之类直接当作可执行文件，而不是数据文件，所以你设定的目录里有bat或vbs文件，不可信时，毛豆将“其”入沙---实际是把宿主入沙，只有这几个例外，其它没有（txt之类纯文本数据永远不可能）。

个人印象中，只有EQ有过“涉案程序操作指定目录时入沙”，只有它一家有过如此奇葩功能，其它一概没有——市面上流行的沙盘，都是只管进程，而绝不会去管文件与目录，你的想法无解！

k2f2l5t2

柯林 发表于 2017-8-7 23:38
原理从来没变过——不设定列入保护，根本不起作用。所以建多少分组都是没用的，只有加入受保护的内容，才 ...

好的，谢谢回复说的在理，以后还要向大婶多多请教不吝赐教，谢谢。Sandboxie软件设置文件夹强制入沙象比如任意*.rar压缩包文件还有任意.txt文本只要进了这个SB沙盘强制入沙的文件夹的设置里了，那实机里打开就一定是会在SB沙盘里打开的*.rar压缩包文件和.txt文本的。.txt文本病毒也是有过的，.rar压缩包流氓行为（解压后的文件夹格盘都格不掉，安全模式里也根本不行删除不了，最痛恨这个其中的一种了遇到过几次）有时也能遇到过。其实我也只是了解一下看看8.4版毛豆沙盒具体强制入沙的情况，第一次试水就有了1楼的好奇和疑问的。谢谢。

柯林

k2f2l5t2 发表于 2017-8-8 00:01
好的，谢谢回复说的在理，以后还要向大婶多多请教不吝赐教，谢谢。Sandboxie软件设置文件夹强制入沙象比 ...

不知道是印象有误，还是我印象有误，有时间你复测一下sandboxie看看，个人印象中，它与毛豆的沙盘是一样的，无法实现你说的防御。
设置一个位置（文件夹）入沙，打开这个文件夹，使其内的文件入沙，实际上是针对是可执行文件（Pe）文件，不是Pe文件，根本就没用。只要是Pe文件，毛豆沙盘一样的，比如压缩包内包含exe、scr、com、bat、js之类的文件，如果你就地解压运行，受该条规则限制，入沙；如果你直接点压缩包内的东东，它被压缩软件解压到%Temp%里，这时候该条规则是不起作用的，看有没有其它规则对%Temp%进行限制，没有就“过”了。

从以上原理来说，立足防御，只要一条“凡是不可信的程序一律入沙，不管它位于哪里”，这就够了。这就是CPS策略。默认安装好是CIS策略，是为了易用，照顾大多数，只对来自网络与移动媒介的不可信程序入沙，已经存在本机上的不可信程序不管，是怕小白用户大骂——“什么破玩意，什么都入沙，一点都不好用”，如此而已。从测试的角度而言，你可以设置一个目录，指定入沙，不可信的东西丢进去（压缩包就地解压），点击运行跑跑看。

文件夹病毒，很古老了，可能在学校范围还流行，一般都落伍了。它一般是隐藏文件，设置权限，用cmd命令可破，有极个别是畸形文件夹，利用的是XP的缺陷，win7以后系统应该没用了。

k2f2l5t2

柯林 发表于 2017-8-8 08:41
不知道是印象有误，还是我印象有误，有时间你复测一下sandboxie看看，个人印象中，它与毛豆的沙盘是一样 ...

你好，sandboxie并不完美我们只是按部就班地跟着官方更新的节奏更新（如果要说bug那肯定是有的），不过它的防御还是不错的而且我又sandboxie里不好双击试毒，对于我东西不多的来说我基本上够用了，至少很少清系统垃圾了。我是CFS策略然后再根据需要简单设置添加不是使用默认的也有自定义的成分（已经超过默认CPS策略了），“凡是不可信的程序一律入沙，不管它位于哪里”这点我赞成，但是我是手动去执行的而且更加严格，毛豆的策略就已经这样存在了，另外的就是“凡是可信的程序和不可信的程序以及未知程序等等这些第三方应用程序，不管它位于哪里，只要能在SB沙盘里正常运行的就一律手动入SB沙运行”（什么都手动入沙是我的挚爱只要能入，当然SB沙盘也不是什么都入的，那怕已经设置强制入沙了但对于系统文件的调配SB沙盘还是有自己的理性的，不过我会用第三方来代替便于强制自动入SB沙的用来阻止的），毛豆启用自动沙盒我只是作为辅助防护用来弥补一下sandboxie之不足的。谢谢。

k2f2l5t2

柯林 发表于 2017-8-8 08:41
不知道是印象有误，还是我印象有误，有时间你复测一下sandboxie看看，个人印象中，它与毛豆的沙盘是一样 ...

设置一个位置（文件夹）入沙，打开这个文件夹，使其内的文件入沙，实际上是针对是可执行文件（Pe）文件，不是Pe文件，根本就没用。只要是Pe文件，毛豆沙盘一样的，比如压缩包内包含exe、scr、com、bat、js之类的文件，如果你就地解压运行，受该条规则限制，入沙；如果你直接点压缩包内的东东，它被压缩软件解压到%Temp%里，这时候该条规则是不起作用的，看有没有其它规则对%Temp%进行限制，没有就“过”了。

你好，我刚才SB沙盘里强制入沙文件夹里做了个测试，先在这个文件夹里面我把.exe  .txt  .css  .chm  .bat 这5个正常文件一起压缩到yy.rar压缩包内包含有.exe  .txt  .css  .chm  .bat 这5个正常文件，然后SB沙盘设置里强制运行这个文件夹，就是这个文件夹已经被强制入SB沙了，实机里解压后运行肯定都入SB沙没必要试，按你的要求我在实机这个文件夹里打开分别直接点yy.rar压缩包内的这5个正常文件，打开的每一个文件都是入SB沙了在SB沙盘里运行的，因为每一个文件都是有很明显的窗口标题中显示的沙盘名 [#]中间名称[#]，并且窗口边框有沙盘入SB沙的标志颜色，而且直接点yy.rar压缩包内的每一个文件它被压缩软件解压到SB沙盘里面的%Temp%里了，很明显的能看到这些临时文件夹的名称，而此时在SB沙盘外面的%Temp%里面根本没有变化也没有出现这些临时文件，说明强制入SB沙运行这个文件夹里在实机中打开yy.rar压缩包（这时就已经入SB沙了[#]中间名称[#]）直接点压缩包内的文件是被压缩软件又直接解压到SB沙盘里面的%Temp%里了，说明是在SB沙盘里的有效啊，至于规则吗，比如直接点压缩包内的.exe安装文件入SB沙解压后，Win 7的UAC动作了，放行.exe安装文件释放后出现安装画面，SB沙盘里这样正常一步步放行安装的话毛豆HIPS弹窗动作了（还有防火墙弹窗也动作了），最后安装完毕后安装的文件夹所有文件只会在SB沙盘里有，SB沙盘外没有。

柯林

k2f2l5t2 发表于 2017-8-8 15:29
你好，我刚才SB沙盘里强制入沙文件夹里做了个测试，先在这个文件夹里面我把.exe  .txt  .css  .chm  .b ...

你看下是否有其它规则干扰，比如，强制压缩软件入沙运行？如果没有，说明SB具有这个功能，而毛豆不具备。

毛豆这里是很容易理解的，rar文件操作，发起者是winrar.exe，没规则规定winrar.exe入沙，它解压文件到临时目录里这个动作自然不会入沙，文件当然是解压到实机的%Temp%里，如果解压到虚拟空间的%Temp%里，逻辑上就一点都不通了

k2f2l5t2

柯林 发表于 2017-8-8 15:49
你看下是否有其它规则干扰，比如，强制压缩软件入沙运行？如果没有，说明SB具有这个功能，而毛豆不具备。 ...

你好，SB沙盘设置里没有特定的强制压缩软件入沙运行这条的，SB沙盘设置里是程序启动——强制运行文件夹，然后文件夹的设置什么都没有了就是可以手动添加电脑里的不同文件夹了，如果有必要进一步加强程序入沙的话它下面还有可添加强制运行程序，就是添加电脑里的不同程序了也包括强制运行文件夹里面的程序。 而SB沙盘设置里程序启动——强制运行文件夹和程序启动——强制运行程序这个2点就是收费SB沙盘的卖点，免费的SB沙盘设置里就这2点是灰色的不好设置的其他设置都是一样的。

毛豆其实完全可以官方底层开启和SB沙盘这样的一样的类似的功能（毛豆自动沙盒设置里的行为 阻止和受限运行也一样扩大范围），因为8.4版的毛豆沙盒的虚拟化运行已经和SB沙盘很相似了（包括重置删除），我估计只是毛豆官方不愿意这样做而已才有了虚拟化运行文件夹里限制部分程序入沙，我甚至怀疑他们官方人员的内部使用就是完全开启的和SB沙盘强制入沙文件夹几乎接近的类似的强制入沙功能。

kfk

个人印象中，只有EQ有过“涉案程序操作指定目录时入沙”，只有它一家有过如此奇葩功能，其它一概没有——市面上流行的沙盘，都是只管进程，而绝不会去管文件与目录，你的想法无解！

楼主说的是真的，Sandboxie有这功能，我也在用。

沙盒当然是管住运行的进程，
而Sandboxie的 Forced Folder 这项功能，其实是监视 目标文件：
▲把一个文件夹设为 Forced Folder，则任意程序去打开其中的任意文件，都会入沙。
▲同时，如果用户有意在沙外打开其中的文件，Sandboxie也提供了 临时允许 的方法，并且在打开前警告。

Sandboxie要靠用户自己掌控入沙，这功能显然很省心实用（“懒人模式”）。