默认规则测试足球样本，100％拦截！

柯林

测试环境：windows XP SP3   CIS套装
测试目的：默认规则的沙盘强度（不加FD全局下的实机文件保护能力）
测试方法：实机测试 系统管理员账户 关闭毛豆杀毒 解压样本后复制到system32下 右键入沙
测试时间：10分钟 （11:29-11:39）
停测原因：心疼硬盘，不愿意无用功下狂转偶的硬盘
测试结果：100％阻截
测试规则：准默认规则  
特别说明：为了避免咬文嚼字的纠缠不清，此处特别说明，所用的测试规则不是原汁原味的默认规则——默认不开沙盘偶开了；默认不勾选增强保护偶勾了；默认“总是sandbox”空的偶添了几个程序；默认D+规则没有?:\Program Files\*.exe这条规则偶加了（防QQ等程序添加开机启动）；默认防火墙规则俺修改了。这些东东与本次测试无关，对本次测试没有任何影响，完全可以忽略。测试规则已经添加在上面，有兴趣的导入验证。
截图资料如下：
基本设置






开测：


测试结果，这东东把四个盘都“改了”：



结论：无法穿透毛豆沙盘，100％Blocked！

附加说明：手动入沙重定向后，允许沙盘内程序堆沙沙，该样本的基本行为是——第一步读取并复制实机文件到沙盘，第二步清空沙盘内复制过来的文件，重复这一操作。此外，样本运行时调用了浏览器，有联网行为。

紫涵

看来自动入沙的还得加全局保护。

柯林

忘了说明：实机测试

柯林

紫涵 发表于 2011-12-5 12:23
看来自动入沙的还得加全局保护。

自动入沙没全局保护测这个就是——挂！

有你丶我幸福

柯林 发表于 2011-12-5 12:26
自动入沙没全局保护测这个就是——挂！

那怎么样可以不挂 求安全。。。

柯林

有你丶我幸福 发表于 2011-12-5 12:34
那怎么样可以不挂 求安全。。。

要测试样本，请使用正确的沙盘用法——手动入沙。

喜欢非标用法——自动入沙测毒，请加FD全局保护。

yestersummer

我是在虚拟机里面测的，加了FD全局。结果是很安全，嘿嘿！

柯林

yestersummer 发表于 2011-12-5 12:46
我是在虚拟机里面测的，加了FD全局。结果是很安全，嘿嘿！

知道样本行为不超出基本逻辑和认知，不犯低级错误的情况下，实机测试也是一样的。

穿破沙盘的毒基本上很少听说，开个沙盘来实机测试是有保障的，像传统的sandboxie等就好了。

yestersummer

我这重装一次系统要4-5个小时，搞怕了，实机上的环境搭建太费时间，所以所有的病毒都是在虚拟机上测试！

柯林

yestersummer 发表于 2011-12-5 12:54
我这重装一次系统要4-5个小时，搞怕了，实机上的环境搭建太费时间，所以所有的病毒都是在虚拟机上测试！

在虚拟机上测试是最安全也是最好的习惯，坚持。