关于入沙程序的限制问题

柯林

最近看相关讨论，涉及入沙程序的限制与跳过问题。
以前没有注意这个问题，请有心的同学实验一下——
全局规则上添加一条沙盘路径的规则，危险项目一律阻止，看看是否有效果——能否对沙盘内的程序起到遏制作用？

紫涵

不知a256886572008的在文件保护那里加?:\*是否有效果？在沙盘里面的BAT无法删除文件。

myzuzong

根据个人推测，添加沙盘路径的规则应该没用。毛豆沙盘似乎并非总是进行了文件系统重定向，我在沙盘内运行的程序仍然可以在真实环境储存。?:\*规则有效果，不光是bat无法删文件，若把正常软件入沙，也不能访问自己应该访问的文件。

qqq123123

自动入沙的程序也受D+的影响，具体表现为以下几个方面：
1、应用程序规则中或者全局规则中对一些程序的行为做了限制“允许”、“询问”、“阻止”的话，自动入沙的程序仅仅受限于“阻止”的规则，如果规则是“询问”或者“允许”的话将会无视（或者直接视为允许操作）！
2、对于自动入沙的程序同时还受限于受保护的文件或目录，但是仅仅受限于加上“|”的规则！举个例子吧：
A程序自动入沙，可以随意操作受保护文件或目录（极个别情况除外），但是如果受保护文件或目录加入了|作为结尾的话，那么安全性将会提升N个档次！比如受保护文件或目录中有d:\你懂的\*，那么此时自动入沙的程序照样可以操作该目录，但是如果改为d:\你懂的\*|，这样设置就不可以操作；
3、曾经在官网也看过了不同沙盒策略限制问题，但是官方给的也非常模糊，具体的细节需要配合其他的HIPS或者HIPS测试工具才能发现不同策略的限制内容，当然这个工作量还是比较大的，测试也不一定完善和完整！不过，根据目前我的理解而言，低权限的沙盒策略+全局设置高危行为直接阻止+受保护文件或目录加入|作为结尾就可以实现安全性和易用性的较好的结合！电脑送修了，显卡挂了···具体细节无法测试，有条件的可以参考下我的第三条建议去测试下，然后大家一起汇总就可以知道一个大概的限制策略是什么了！···

qqq123123

紫涵 发表于 2011-11-6 22:52
不知a256886572008的在文件保护那里加?:\*是否有效果？在沙盘里面的BAT无法删除文件。

参考4楼···

紫涵

qqq123123 发表于 2011-11-7 09:48
自动入沙的程序也受D+的影响，具体表现为以下几个方面：
1、应用程序规则中或者全局规则中对一些程序的行为 ...

不知全局里面是不是这样设置就行了呢？

qqq123123

紫涵 发表于 2011-11-7 10:01
不知全局里面是不是这样设置就行了呢？

要是我的话，受保护注册表和COM接口全部阻止···内存访问阻止···还有其他的基本全部阻止，完全没必要放行！可能你会说这样不会影响易用性么？我会新建一个组，将常见程序放里面，比如直接键盘访问啊 什么的放行，然后放全局上面···这样既安全也不影响易用性···我这个规则就是配合沙盘的思路http://bbs.kafan.cn/thread-1096539-1-4.html

紫涵

qqq123123 发表于 2011-11-7 10:04
要是我的话，受保护注册表和COM接口全部阻止···内存访问阻止···还有其他的基本全部阻止， ...

信任的文件不受这个限制的吧？所以如果全部设为阻止也不影响信任文件的使用对吧？
另外能这样设置吗    ?:\*|   这样设了后是不是在沙盘的里面的文件不允许操作所有的文件，也不能访问对么？

qqq123123

紫涵 发表于 2011-11-7 10:10
信任的文件不受这个限制的吧？所以如果全部设为阻止也不影响信任文件的使用对吧？
另外能这样设置吗     ...

没那个必要，如果那样还不如直接疯狂模式！···可执行文件和资料后缀的防护下就差不多了，其他的可以暂时不用考虑，毕竟还有个云呢···

qqq123123

紫涵 发表于 2011-11-7 10:10
信任的文件不受这个限制的吧？所以如果全部设为阻止也不影响信任文件的使用对吧？
另外能这样设置吗     ...

如果毛豆能添加阻止并结束进程这个功能该多好啊，要不然总有垃圾进程驻留，灰常不爽···