楼主: 柯林
收起左侧

[讨论] 你了解毛豆沙盘的作用及正确用法吗?

  [复制链接]
myzuzong
发表于 2011-12-5 16:51:32 | 显示全部楼层
fwj123 发表于 2011-12-5 16:41
其实手动入沙最大的问题是——只能在原程序的右键菜单才能选择,太麻烦了。

如果能做到入沙时,有一个弹 ...

这明显是毛豆设计人员2了。sbie,360sandbox都可以在快捷方式上选择入沙。
柯林
 楼主| 发表于 2011-12-5 16:58:59 | 显示全部楼层
fwj123 发表于 2011-12-5 16:41
其实手动入沙最大的问题是——只能在原程序的右键菜单才能选择,太麻烦了。

如果能做到入沙时,有一个弹 ...

你没仔细看贴
谁说只能右键?四大方法,任你选择
柯林
 楼主| 发表于 2011-12-5 17:01:39 | 显示全部楼层
柯林 发表于 2011-12-5 16:58
你没仔细看贴
谁说只能右键?四大方法,任你选择

其实,我也没时间彻底测试完毕,四大方法中,那两个可以选择权限的与右键入沙和自行入沙这两个不可以选择权限的,是否有不同?这问题留给感兴趣的豆油求证。
fwj123
发表于 2011-12-5 17:18:06 | 显示全部楼层
本帖最后由 fwj123 于 2011-12-5 17:20 编辑
柯林 发表于 2011-12-5 16:58
你没仔细看贴
谁说只能右键?四大方法,任你选择


不是没有仔细看贴,只是习惯把右键入沙叫作手动入沙而巳。

四种手动中,右键入沙直接方便
myzuzong
发表于 2011-12-5 17:25:38 | 显示全部楼层
柯林 发表于 2011-12-5 17:01
其实,我也没时间彻底测试完毕,四大方法中,那两个可以选择权限的与右键入沙和自行入沙这两个不可以选择 ...

早已验证过,右键入沙的级别就是可执行镜像控制里选的级别。
h8888
发表于 2011-12-5 17:30:51 | 显示全部楼层
“手动入沙,是重定向沙盘,此时的所有行为都是虚拟的,理论上是任意堆沙沙,但阻止对实机文件的操作(日志当中没有相关记录)”

“通过手动入沙进行重定向操作之后,可以从沙盘里看它作了哪些文件操作,可以到注册表的毛豆沙盘项里看它弄了哪些虚拟注册表操作。通过观察这些行为,一个有经验的用户可以大体判定它有没有恶意行为。这是测毒或跟踪分析文件行为的正确用法。”

这有点弄不懂,柯大,能否解析一下。

柯林
 楼主| 发表于 2011-12-5 18:57:10 | 显示全部楼层
h8888 发表于 2011-12-5 17:30
“手动入沙,是重定向沙盘,此时的所有行为都是虚拟的,理论上是任意堆沙沙,但阻止对实机文件的操作(日志 ...

a2等人已经讲过了,手动入沙就是重定向沙盘,相当于是把程序放在沙盘里运行了,此时,跟传统沙盘基本上是一样的,除了加驱等高危操作历来不被沙盘所允许外,文件虚拟化和注册表虚拟化一直在进行——也就是说,管你要进行什么文件操作和注册表操作,都是允许的——在沙盘里提供一个虚拟空间任你发挥,但是,仅止于沙盘内,不得对沙盘外进行任何实机操作。即:你要修改某个文件,可以从沙盘外读取并复制到沙盘内任你修改,但是不把你修改的结果存到沙盘外,也不允许你直接去改沙盘外的东东。这就是所谓的沙盘内任你玩,任你堆沙沙。

手动入沙,对于记录FD和RD行为比较详细,但是对于AD貌似没踪迹可寻;要考察AD行为,又需要转到自动沙盘——凡阻止的AD操作有日志记录。这两方面结合起来,最大的用途就是——利用默认规则的沙盘进行详尽的病毒分析报告;当然也可以对不放心的程序如流氓程序进行跟踪分析。
柯林
 楼主| 发表于 2011-12-5 18:59:31 | 显示全部楼层
myzuzong 发表于 2011-12-5 17:25
早已验证过,右键入沙的级别就是可执行镜像控制里选的级别。

OK
h8888
发表于 2011-12-5 19:10:21 | 显示全部楼层
柯林 发表于 2011-12-5 18:57
a2等人已经讲过了,手动入沙就是重定向沙盘,相当于是把程序放在沙盘里运行了,此时,跟传统沙盘基本上是 ...

实际上,在沙盘里运行的情况在D+日志里是有显示的,并不是无记录。
360Tencent
发表于 2011-12-5 19:12:57 | 显示全部楼层
本帖最后由 360Tencent 于 2011-12-5 19:19 编辑

Reference:

http://bit.ly/ukry6J

http://bit.ly/rwxDLa


非常详细。。。


Remember Comodo Sandbox is a default-deny sandbox where unknown apps are run in it by default. it is NOT a on-demand sandbox just to sandbox some applications, even though you can do it.


从4开始官方就不建议手动入沙,尽管毛豆本身可以这样做。。。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 11:04 , Processed in 0.101509 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表