【测试草率，结论错误】关于毛豆沙盘路径的测试及相关问题的报告

mxf147

FOXFFF 发表于 2011-11-9 12:12
-，-这个不能有.....柯大找个毛豆区的高人去反馈下吧，要不找清风版主？

俺只能看不能说
等台湾同胞或Fake5吧

FOXFFF

mxf147 发表于 2011-11-9 12:15
俺只能看不能说
等台湾同胞或Fake5吧

斑斑也这样.....看来只能找台湾同胞了.....作为斑斑乃应该为了广大毛豆饭友学好鸟语冲进毛豆论坛.....

柯林

FOXFFF 发表于 2011-11-9 12:12
-，-这个不能有.....柯大找个毛豆区的高人去反馈下吧，要不找清风版主？

你联系一下他吧

FOXFFF

柯林 发表于 2011-11-9 12:18
你联系一下他吧

他已经出现了....

柯林

mxf147 发表于 2011-11-9 12:11
我的理解也是这样，测试结果貌似也证明这点，离线包用T盘外链可以吗？

只要有个连接就好吧
昨晚更新两次，到最后都失败了，到官网下，速度更龟速

myzuzong

柯林 发表于 2011-11-9 12:09
是和全局有关，我测试的结果，发现貌似是：先按沙盘限制级别规定的内容（内部规定，不可见）执行，沙盘没 ...

我的测试结果跟你的叙述有点差别。

沙盘等级的高低与D+日志中能够看到的拒绝的多少似乎没有关系。而是与采用的系统安全机制的强度的高低有关。比如，毛豆利用系统安全机制很大程度上采用了"Job"这个系统机制。Job机制能够对进程集合施加一些全局限制。沙盘安全等级越高，Job的限制越多，也就是沙盘安全等级描述所说的限制越多。

而对于D+规则而言，允许的就允许，阻止的就阻止，询问的并非忽略。受保护的文件、注册表、COM，都是阻止的。而消息钩子等则是弹窗询问。启动进程是直接允许的，但是子进程会继承入沙。

你可以尝试在受保护的文件、注册表和COM里面加入三个*，入沙盘后，无规则的程序将无法运行，因为COM组件中重要的ALPC Port访问被阻止了。

柯林

myzuzong 发表于 2011-11-9 12:29
我的测试结果跟你的叙述有点差别。

沙盘等级的高低与D+日志中能够看到的拒绝的多少似乎没有关系。而 ...

没有必要加三个*，默认规则，对于重要项目已经列入监控，对于沙盘中的进程，如果全局询问项目真是按照阻止执行，碰到受保护的相关项目，就该有反应。
加载钩子进行弹窗询问，这个无法确定究竟是按沙盘策略还是全局规则的询问执行。

沙盘策略（限制内容）：根据操作界面的说明，确实是使用了系统提供的安全限制，至于除了系统本身的安全保护机制外，还有哪些额外的规则，内部规定就不清楚了。

myzuzong

柯林 发表于 2011-11-9 12:39
没有必要加三个*，默认规则，对于重要项目已经列入监控，对于沙盘中的进程，如果全局询问项目真是按照阻止 ...

的确没必要加3个*。我加3个*的目的是为了说明，沙盘会访问拒绝受保护的文件、注册表、COM，即使D+规则中没有程序规则，并且“所有应用程序”规则是全部询问。

柯林

myzuzong 发表于 2011-11-9 12:42
的确没必要加3个*。我加3个*的目的是为了说明，沙盘会访问拒绝受保护的文件、注册表、COM，即使D+规则中没 ...

这个问题，可能需要结合版本来看。5.8以前的版本，沙盘功能貌似有些欠缺，测试时，的确出现了忽略全局询问规则的情形，5.8版本则是你说的禁止访问受保护内容，我的复测应该也说明了这一点。这个问题我确实疏忽了，一概而论，误导了。新版本确实有很大的加强。

mxf147

这网速太不给力了

http://d.1tpan.com/tp0306419395