个人的沙盒测试和结论

显示全部楼层 · 发表于 2011-11-9 15:53:08

footman 发表于 2011-11-9 15:49
不就是禁止（阻止）产生新的文件吗

但，不是給重定向沙盤用的。

显示全部楼层 · 发表于 2011-11-9 15:53:29

footman 发表于 2011-11-9 15:41
是的

我看到别人有的规则只打开了可执行文件控制，但是后面的SB没有打开，难道这个时侯是策略沙盘起作用？

显示全部楼层 · 发表于 2011-11-9 15:55:45

a256886572008 发表于 2011-11-9 15:43
sandbox 內置規則是不會顯示的，要自己實驗。

看来官方应该考虑沙盘内程序对系统的操作了，沙盘内置规则应该对沙盘内程序要做出删除，修改不是文件本身的文件时做出限制。

显示全部楼层 · 发表于 2011-11-9 15:56:52

紫涵发表于 2011-11-9 15:53
我看到别人有的规则只打开了可执行文件控制，但是后面的SB没有打开，难道这个时侯是策略沙盘起作用？

没打开沙盒时起作用的只有阻止策略，其他部分限制、低权限策略因为要入沙所以要打开沙盒才起作用

显示全部楼层 · 发表于 2011-11-9 16:00:02

a256886572008 发表于 2011-11-9 15:53
但，不是給重定向沙盤用的。

还是不怎么理解

加|后
1.实机中是否能产生新的文件
2.VritualRoot中是否能产生新的文件

显示全部楼层 · 发表于 2011-11-9 16:00:34

footman 发表于 2011-11-9 15:56
没打开沙盒时起作用的只有阻止策略，其他部分限制、低权限策略因为要入沙所以要打开沙盒才起作用

我觉得打开安全模式后，再打开自动沙盘，不明程序都直接入沙了，就是说已经没有行为分析了。
要么直接信任，要么入沙，不像没有沙盘时程序第一步都要等你做出决定。

显示全部楼层 · 发表于 2011-11-9 16:04:29

本帖最后由 footman 于 2011-11-9 16:13 编辑

紫涵发表于 2011-11-9 16:00
我觉得打开安全模式后，再打开自动沙盘，不明程序都直接入沙了，就是说已经没有行为分析了。
要么直接信 ...

有些程序是直接入沙的，也有些程序是有弹窗让用户选择入沙的。程序入沙后就有行为分析了，所以有些有害的程序有时过会就会被云查杀掉了。

显示全部楼层 · 发表于 2011-11-9 16:09:34

本帖最后由 a256886572008 于 2011-11-9 16:10 编辑

footman 发表于 2011-11-9 16:00
还是不怎么理解

加|后

1. 那條規則所顯示的目錄下，無法新建文件。

2.不能

------------------
策略沙盤和重定向沙盤，一個程序，同一時間，只能選一個來用。

显示全部楼层 · 发表于 2011-11-9 16:11:56

紫涵发表于 2011-11-9 16:00
我觉得打开安全模式后，再打开自动沙盘，不明程序都直接入沙了，就是说已经没有行为分析了。
要么直接信 ...

策略沙盤，有行為分析的，打開日誌，就知道阻止什麼了。

我在樣本區發的病毒日誌，全是部份限制的。

显示全部楼层 · 发表于 2011-11-9 16:12:35

a256886572008 发表于 2011-11-9 16:09
1. 那條規則所顯示的目錄下，無法新建文件。

2.不能

也就是加了|后连重定向那也无法新建文件了。

那么如何让沙盒的程序不在实机中不产生新的文件并且不影响程序的运行？

[分享] 个人的沙盒测试和结论