关于沙盘路径测试报告的更正

柯林

http://bbs.kafan.cn/thread-1122876-1-1.html 这个帖子里的一些观点是错的，用5.8反复测试表明，添加那样一条沙盘路径没什么作用：
1、写一个批处理，内容如下：
cd C:\Program Files\Opera
start opera.exe
pause
exit
运行结果是，不论沙盘路径选择的是“被隔离的程序”还是自定义的禁止运行程序，opera浏览器一样的被调用打开。

2、去掉沙盘路径，全局规则全阻止，运行上面提到的批处理，虽然跟上面一样，comodo不认识该程序已经隔离进沙盘，还是无法阻挡opera的调用和运行。

3、把测试程序clt.exe放在沙盘里，沙盘路径改成“受信任的文件”，测试结果一样的高分（跟clt在D盘或F盘运行后弹窗选择入沙一样的结果），该阻止的一律阻止。

4、默认规则，全局规则全部改成阻止，与全局规则默认的全部询问，分数是一样的，差别仅仅是，在全局阻止的情况下，clt调用浏览器没有成功（没出现浏览器窗口），而在默认的全局询问下，浏览器被启动（显示为继承CLT的权限，入了沙盘，保持和clt一样的权限）。

【以上测试，是在沙盘策略为“低权限”的情况下进行的】

以上结果表明，沙盘与D+【抱歉，这里不应该提D+，准确的说应该叫“计算机安全规则”】是各自独立的，不受计算机安全规则的影响。沙盘的效果，取决于两个方面，一个是沙盘策略（你给定的什么权限级别），一个是计算机保护内容。

总的来说，沙盘中的程序，除了安装钩子会被询问，其它的危险动作，比如加驱、内存访问、磁盘访问、键盘记录等等，一律被阻止；对于列入保护的内容（文件保护、注册表保护、com接口保护），在个人测试的“低权限”级别下，一律被阻止。

沙盘作为防御病毒的有力举措，效果是非常明显的，请大家不要再盲目地关闭沙盘了——所有病毒和未知程序一律自动隔离进沙盘（入了沙盘基本上就已经是判了死刑）。
对于希望使用沙盘来运行一些程序——比如游戏、电子书等的用户，建议选择默认的“部分限制”或者是加强型的“低权限”；
对于要求秒杀病毒及恶意软件的用户，你可以选择沙盘策略的高级别乃至最高级别的“阻止”。

左岸麦田

学习了。昨天刚下了新版沙盘。

柯林

左岸麦田 发表于 2011-11-11 13:04
学习了。昨天刚下了新版沙盘。

下新版沙盘？

左岸麦田

柯林 发表于 2011-11-11 13:11
下新版沙盘？

搞错了。我那个是纯沙盘。

柯林

左岸麦田 发表于 2011-11-11 13:12
搞错了。我那个是纯沙盘。

Sandboxie

FOXFFF

降权是沙盘很强大的一个功能....PS;这个算是毛豆沙盘不同于其他沙盘的一点么？

柯林

FOXFFF 发表于 2011-11-11 13:27
降权是沙盘很强大的一个功能....PS;这个算是毛豆沙盘不同于其他沙盘的一点么？

基本上所有沙盘都具有降权的特性，谷歌浏览器之所以安全也就是因为它自带沙盘。

毛豆沙盘的妙处在两点：1、自动隔离入沙  2、添加的保护内容对沙盘里的程序具有致命性的影响，或者换句话说，受保护的文件后面加条竖线只影响入沙程序【这一点就是防毒不碍正常程序的亮点】

FOXFFF

柯林 发表于 2011-11-11 13:35
基本上所有沙盘都具有降权的特性，谷歌浏览器之所以安全也就是因为它自带沙盘。

哦，这样啊....那么毛豆的降权相对于其他沙盘是否权限管理的更加严格？

柯林

FOXFFF 发表于 2011-11-11 13:37
哦，这样啊....那么毛豆的降权相对于其他沙盘是否权限管理的更加严格？

大概不能这么说。
唯一不同是，其它沙盘比如sandboxie可以详细设置，毛豆的只能选用哪个防护级别而不能进行具体的设置，这是易用化的表现。

FOXFFF

柯林 发表于 2011-11-11 13:41
大概不能这么说。
唯一不同是，其它沙盘比如sandboxie可以详细设置，毛豆的只能选用哪个防护级别而不能进 ...

多谢科普....但是毛豆沙盘的设置也太简洁了，啥也木有...