【测试草率，结论错误】关于毛豆沙盘路径的测试及相关问题的报告

柯林

此文测试不够严谨，结论错误，大家不用浪费时间看了。更正说明，明天抽时间补上。
===============================================
以下测试，将唤起大家对毛豆沙盘的关注，重新认识和考虑沙盘的应用，以及是否需要程序分组、全局禁运、大量白名单排除的问题。
--------------------------------------------------------------------------
以下为个人测试结果，欢迎大家验证和交流。

个人环境：win7系统  AVG2012  COMODO5.5
本人所用win7是个残破的精简版本,只有防火墙,没有UAC,也没有启用Windows Defender,无需考虑windows系统防御机制的影响.
-------------------------------------------------------------------------------------------------
主题：如何使毛豆的沙盘发挥最大作用？这是一个值得考虑的问题。出于安全极致的考虑，大概有两种方法：
1、沙盘策略选择严厉级别（将无法识别的文件：阻止）
2、最低沙盘策略+沙盘路径拦截规则（将无法识别的程序：部分限制；计算机安全规则里添加沙盘路径的拦截规则）
这里着重验证一下第2种方法

A、测试环境：
1、默认安装:


默认安装完毕后禁用沙盘，手动开启，设置策略为部分限制：
tu1
tu2
tu3
默认的保护内容一般般（FD连可执行文件都不保护，RD基本够用不说它，COM接口也基本够用不说）
tu4
tu5

B、规则设置
⑴默认的全局规则：
tu6
⑵添加的沙盘路径测试规则：
tu7
所引用的隔离规则实际上是个全部阻止的严厉的预定义规则：
tu8

C、测试效果【以下测试全部在断网的情况下进行】：
1、在沙盘里运行程序——windows恶意软件清理助手，结果如下：
tu9
作为部分限制来讲，是不会拦截到这么多（参考下面“部分限制”的说明）：
tu10
小结：补充的沙盘路径拦截规则对沙盘内运行的程序起到了限制作用。
2、在沙盘外运行程序——comodo测试工具clt.exe，看自动入沙后的效果：
弹第一个窗，选择进沙盘（如果点“允许”，就是信任该程序为安全可靠的程序，那就悲剧了）：
tu11
一阵无声拦截，又跳了一个：
tu12
然后一路无声，到了结果：300分——有3项没过：
tu13
第20项网络访问没过，跟毛豆防火墙规则默认允许所有程序外联有关，需要修改防火墙规则。
第24、25两项没过，应该跟默认安装得到的默认规则在保护内容的欠缺上有关，讲究极致的自己补强（或者在安装时选第三项：防火墙与D+最大保护）
拦截日志：
tu14
怎么样，这个成绩还不错吧？比起默认规则的90分以及某些同学打磨的规则，分数并不低——最重要的一点是，什么都没有做，只是添加了一条沙盘路径规则，只会影响沙盘里的程序，对沙盘外的程序无任何影响（不像全局阻止+例外排除需要大量白名单，什么白名单都不需要——如果把毛豆默认策略：未知程序一律入沙当作防御病毒的有效策略的话，那么这种方法拦截的只是病毒及不明身份的程序，对已知安全程序无任何影响。）

结论：添加一条沙盘路径拦截规则是可行的有效的，配合毛豆自动把不明程序入沙的策略，在有效阻挡病毒的同时，无须添加白名单及程序分组，值得推荐。【出于更多安全性考虑，你还可以把沙盘的防护等级设置得更高一些，不一定选最低等级的“部分限制”】

附录：沙盘选择最高策略的阻挡，结果又如何呢？同样以clt.exe进行测试：
tu15
tu16
结果悲剧了——秒杀：直接禁运，没法测试：
tu17
tu18
这结果跟论坛很多人一直追求的禁运式秒杀惊人的相似。看来要追求最高安全的同学，不妨选择“阻止”的沙盘策略。

通过以上两种方法的测试，顺便还证明了这样一个问题——沙盘与D+规则基本上是并行的：一个程序运行时，毛豆看它进不进沙盘？如果不进沙盘，就按D+执行；如果进沙盘，先按沙盘设定的防护策略（预置规则）执行，沙盘预置规则管不到的，则按D+规则执行（如果D+规则没有专门对沙盘路径制定规则，则按全局规则执行，无论是沙盘路径规则还是全局规则，如非明确阻止，则一律无视（忽略也等同于允许））。

又有点毛病了，图片上传失败，看这个附件吧：
论坛下载速度慢的，下网盘的文件：http://115.com/file/aqyu5hfy

图片一再上传失败，没辙了，看附件吧

柯林

C:\VritualRoot\*授权为“被隔离”的程序，仅仅是本次测试的一个举例，不具有必然推广意义，究竟给C:\VritualRoot\*授予多大的权限，请根据自己的需要进行。该路径规则配合沙盘策略使用，沙盘策略从“部分限制”到“阻止”有很多个等级，请选择一个合适的级别使用。
注：以上说的自己的需要和合适的级别，是指在你需要把一些程序放沙盘里运行的情况下，能够保证程序正常运行而又不会产生危害系统安全的行为，这样一个考虑。
===================================================

经过实测5.8，结果与1楼所测的5.5相去甚远。5.8防护能力有了质的提高，特别是沙盘与D+的集成问题，已经处理得相当不错，以往嫌弃毛豆沙盘是鸡肋，专门找沙盘来搭配的豆油，个人以为到了改变旧观念的时候了。

使用5.8以及后续版本，个人建议忘掉本次测试，直接默认规则，就是安全性与易用性的最佳结合，防毒能力一点都不用担心。讨厌规则与折腾的朋友请注意，毛豆的易用性时代真的来了——6.0正式版的推出，一定会给你耳目一新的感觉。

谁说太阳底下无新事？每时每刻，都有新事物产生，只有老花眼看不到新事物而已。

FOXFFF

我先占个楼，柯大不介意吧？

柯林

FOXFFF 发表于 2011-11-7 15:56
我先占个楼，柯大不介意吧？

欢迎你测试验证，看是否我个人一时现象。

图文较多，慢慢编辑。

FOXFFF

柯林 发表于 2011-11-7 16:01
欢迎你测试验证，看是否我个人一时现象。

图文较多，慢慢编辑。

速度编辑，现在看不到效果图...话说毛豆一直不能设置沙盘倒沙是我的一个心病，所以一直没用沙盘...问下柯大，那个让沙盘倒沙的批处理能否真的干净的把毛豆的沙盘倒干净？任何版本都通用么？多谢了....

柯林

FOXFFF 发表于 2011-11-7 16:06
速度编辑，现在看不到效果图...话说毛豆一直不能设置沙盘倒沙是我的一个心病，所以一直没用沙盘... ...

有时也清除不干净——个别程序在运行或是受毛豆保护时，会有残留。

先看附件吧，抽时间再整理图片。

TTTAOa

坐看全文！学习中

FOXFFF

柯林 发表于 2011-11-7 16:11
有时也清除不干净——个别程序在运行或是受毛豆保护时，会有残留。

先看附件吧，抽时间再整理图片。

倒不干净岂不是很悲剧......PS:卡饭貌似还没维护好啊，附件下载不了，不知其他人能否下载.....我今天在卡饭下载的几个都没成功.......

柯林

FOXFFF 发表于 2011-11-7 16:15
倒不干净岂不是很悲剧......PS:卡饭貌似还没维护好啊，附件下载不了，不知其他人能否下载.....[:13 ...

系统运行完成后，你可以打开进去看，实际上没啥危害——在沙盘已经作了限制的情况下（参考本文所述：只须把未知及危险程序自动入沙，其它一概不用考虑）

ps：win7系统，开启系统UAC就已经很强悍了——任何非法对系统的修改都是无效的，哪怕当前是系统管理员。

柯林

抽风了，图片一再上传失败，没心情了，晚上看好点不