【测试草率，结论错误】关于毛豆沙盘路径的测试及相关问题的报告

myzuzong

柯林 发表于 2011-11-7 18:50
你可以自己比较一下

看了你的文章，我又专门安上了comodo，5.8的，测试了几个程序，包括clt，发现添加c:\vritualroot*与否没有影响。。

柯林

1、添加C:\VritualRoot\* 这条规则，仅仅是对沙盘内运行的程序进行限制，与自动入沙无关——自动入沙是毛豆设计的功能，在你开启沙盘的情况下，毛豆会把未知程序或虽然列入信任文件但还有所保留和怀疑的文件放进沙盘运行。
2、C:\VritualRoot\*是配合沙盘策略（将无法识别的程序限制为某某级别）用的，建议选择一个合适的沙盘策略。
3、C:\VritualRoot\*授权为“被隔离的程序“，仅是本测试的一个举例，具体授予什么权限，需要根据你自己的需要进行——譬如，你要把一些exe格式之类的电子书运行于沙盘，如果C:\VritualRoot\*授权为“被隔离的程序”，可能电子书就没法运行，这个时候你需要自定义规则（把驱动加载、内存访问、物理内存访问、磁盘访问、键盘访问、受保护的文件（某些内容）……等加以限制，保留一些无害的操作给它）。

柯林

FOXFFF 发表于 2011-11-8 10:08
下载附件看到完整版的报告，感觉确实不错啊，这个比折腾来折腾去易用多了....但是不知啥时毛豆可以做 ...

估计毛豆是这么想的：进了沙盘的程序，限制它产生危害即可——只要产生不了危害，相当于是活死人一个，我管你在不在沙盘里面的，反正一开机我的驱动已经早早加载，直到关机为止，整个系统都在我毛豆的监控之下，你沙盘内的”小丑“永远蹦达不了，让你呆着无伤大雅。

柯林

myzuzong 发表于 2011-11-8 12:30
看了你的文章，我又专门安上了comodo，5.8的，测试了几个程序，包括clt，发现添加c:\vritualroot*与否没有 ...

没测过5.8，不知道5.8是否如你说的超越了。
从理论上讲，一个按路径规则办事的HIPS，直接颠覆路径规则是不合逻辑的。
此事留给5.8的用户实测验证。

FOXFFF

柯林 发表于 2011-11-8 12:50
估计毛豆是这么想的：进了沙盘的程序，限制它产生危害即可——只要产生不了危害，相当于是活死人一个，我 ...

那样的话不会占用磁盘空间么？

柯林

FOXFFF 发表于 2011-11-8 13:05
那样的话不会占用磁盘空间么？

正常情况之下，在你不把大量程序手动入沙的情况下，自动拦截入沙的程序，能有多少？对于云端不能识别的恶意程序，你能遇到多少，会有多大的尺寸？病毒一般就是几十KB，上M的都少。以这种实际情形而言，确实是可以忽略。实际上很多人已经违背毛豆的设计本意，自接把这个专为防毒而设计的沙盘当作一般的沙盘来运行程序使用了。

myzuzong

柯林 发表于 2011-11-8 13:04
没测过5.8，不知道5.8是否如你说的超越了。
从理论上讲，一个按路径规则办事的HIPS，直接颠覆路径规则是 ...

是这样的，我观察vritualroot文件夹，发现自动入沙的很多程序并没有拷贝副本到vritualroot，很多时候vritualroot是空的。这样的话，路径规则不就无效了吗。

智琛

嘿嘿。
WIN7的测评，支持。

柯林

myzuzong 发表于 2011-11-8 13:56
是这样的，我观察vritualroot文件夹，发现自动入沙的很多程序并没有拷贝副本到vritualroot，很多时候vrit ...

理论分析，有时候不能对应实际情况，请以实测为准——
1、安全模式，不加该路径，同样的“部分阻止”，测clt，选择进沙盘，看最后的分数与日志；
2、安全模式，加该路径，同样的“部分阻止”，测clt，选择进沙盘，看最后的分数与日志；
3、比较分数和日志，得出结论。

myzuzong

柯林 发表于 2011-11-8 15:34
理论分析，有时候不能对应实际情况，请以实测为准——
1、安全模式，不加该路径，同样的“部分阻止”，测 ...

我正是按照你说的操作，我机器上的5.8而言，两种方式是一样的。