有了SVS 还需要用虚拟机 影子系统 来运行可疑程序吗!还需要用HIPS来看行为吗!

kuririn

原帖由 hwwgo 于 2007-7-29 19:49 发表
测鸽子

測了會怎樣 我用 svs 測啦 ms沒怎樣啊

2007-07-29 20:09:09    运行应用程序      操作:允许
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\SYSTEM\qq.exe
触发规则:所有程序规则->*

2007-07-29 20:09:17    运行应用程序      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:20    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\xxx\桌面\2.exe
文件路径:C:\windows\System32\cmd.exe
命令行:/c C:\windows\uninstal.bat
触发规则:所有程序规则->*

2007-07-29 20:09:23    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:25    运行应用程序      操作:允许
进程路径:C:\windows\System32\cmd.exe
文件路径:C:\windows\System32\conime.exe
触发规则:所有程序规则->*

2007-07-29 20:09:27    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:28    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:30    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:31    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:32    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:33    修改其它进程内存      操作:允许
进程路径:C:\windows\SYSTEM\qq.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2007-07-29 20:09:39    访问物理内存      操作:允许
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

[ 本帖最后由 kuririn 于 2007-7-29 20:20 编辑 ]

hj5abc

原帖由 saga3721 于 2007-7-29 20:04 发表
还能干嘛

只是不能测试重启的软件罢了..其他不想要的东西还是可以撤消的.

hwwgo

原帖由 kuririn 于 2007-7-29 20:19 发表

測了會怎樣 我用 svs 測啦 ms沒怎樣啊
...

测05或06的鸽子.

woai_jolin

原帖由 hwwgo 于 2007-7-29 17:02 发表
以svs目前的技术来看,它一款非常不安全的sandbox.

它不能取代虚拟机,不能取代影子系统,更不能取代 hips .

楼主用它测试一下病毒就能深切体会得到的了.

我上vista只要ess没有报的病毒
且满足svs运行要求的病毒我都会用SVS运行
看ess又没有杀生成物
而且我还会用svs运行某些软件看看有没有插件
最后我只需要删除激活层就OK了
不用重起
又不怎么占资源
另外请看清我的题目
还说它是不安全sandbox
拜托它不是sandbox

[ 本帖最后由 woai_jolin 于 2007-7-29 22:29 编辑 ]

hwwgo

Symantec收购Altiris也就是半年时间,没看到svs有什么改进.

驱动被加载了,接着的动作再厉害的防御软件也是防不住的.

物理内存被改了,在厉害的还原软件也是回不去的.

svs就是sandbox,和sandboxie是同类软件.

svs2.1还是会漏,唉...

楼上多测试几个毒就知道了.

安全第一...

[ 本帖最后由 hwwgo 于 2007-7-30 00:20 编辑 ]

woai_jolin

我发这个软件
不是拿来运行病毒的
并且我的初衷也不是让大家来运行病毒
我题目上写的很明白运行可疑程序
在电脑迷上我发现了这个东西
蛮不错
我觉得svs不是拿来运行病毒的
但有些时候我拿来运行看nod是否kill生成物也摸得错
并且我前提是开了Returnil
我想做svs得人
也不是想用来运行病毒得
我冒昧的问一句你那么一直把svs往运行病毒上扯

hwwgo

相信sandbox的用户会在里面运行不少可疑程序,当然包括病毒.

安全是sandbox的基本条件,不能保证基本的安全,它的用途就少了很多.

用它制作 免安装 软件是个不错的用法.

帖子的标题太厉害,骗倒不少人.

好用的sandbox还有很多,别为一棵树放弃整个森林.

woai_jolin

我用我的svs
你用你的sandbox
我有我的分辨能力
并且我觉得我的标题没有误导任何人
运行可疑程序 莫得错 我又没有喊你运行病毒 而且我觉得你很无聊 你在jpzy的教程中留了一个这样的言大概是用svs运行个小毒 它就死翘翘
可是我用svs运行了小毒 还运行了灰鸽子这个应该不算小毒吧
没有任何问题 我的机子没有烂 我的svs也没有死翘翘
有本事写一篇文章 做点试验 截点图
专门写出svs的缺点 要以理服人
别在那说 很无聊