【砖头】毛豆沙盘的文件虚拟化真2

myzuzong

柯林 发表于 2011-12-8 12:38
看来，防止格式化问题，应该再度引起关注，采取一些必要措施。
1、新版增强保护模式一定要勾选
2、加不加 ...

这样倒是可以解决直接用format.com格盘的办法。

不过如果真想搞你，用api函数fmifs.dll!FormatEx来格盘，也就没辙了。

柯林

myzuzong 发表于 2011-12-8 12:44
这样倒是可以解决直接用format.com格盘的办法。

不过如果真想搞你，用api函数fmifs.dll!FormatEx来格盘 ...

那就只能把沙盘等级开到最高来看看

一般来讲，现实中能下到这种恶意批处理的机会还是很微小，现实安全意义不大，主要是话题讨论上的意义

ps：没试过dll方面，fmifs.dll之类入沙有效果否？

myzuzong

柯林 发表于 2011-12-8 13:15  那就只能把沙盘等级开到最高来看看   一般来讲，现实中能下到这种恶意批处理的机会还是很微小，现实安 ...

的确只是讨论话题的意义。真正的病毒基本不会干格盘这种蠢事。。

这个dll入沙没什么用，它只是导出函数用的。

楼上有人说他的win7x64可以防。如果真是这样，那么可能就是我个人的人品问题。

不过不可否认的是，毛豆沙盘的许多处理，特别是兼容性方面，比SBIE还是有相当差距。

yestersummer

为了进一步增强安全性，开了毛豆还是有必要像我这样开UAC的！

紫涵

yestersummer 发表于 2011-12-8 15:00
为了进一步增强安全性，开了毛豆还是有必要像我这样开UAC的！

开UAC不冲突吗，当一个程序UAC和毛豆同时问你的时侯。。。

myzuzong

紫涵 发表于 2011-12-8 15:11  开UAC不冲突吗，当一个程序UAC和毛豆同时问你的时侯。。。

是冲突。有两个明显表现，一是请求提升的程序无法入沙，二是D+会提示两次运行程序。
SBIE无问题，是毛豆沙盘方面的差距。

紫涵

myzuzong 发表于 2011-12-8 15:21
是冲突。有两个明显表现，一是请求提升的程序无法入沙，二是D+会提示两次运行程序。
SBIE无问题，是毛豆 ...

程序无法入沙，是不是表示也无法运行？

yestersummer

不会冲突啊，UAC开默认，不要开最高！样本区的病毒基本不会激活UAC，但是毛豆会拦截！

yestersummer

只有需要提权的操作才会激活UAC！

yestersummer

我的系统环境就是win7 X64，数字卫士加毛豆防火墙，毛豆开CPS，加FD全局，沙盘一般用不信任。从样本区下的病毒都是压缩包，下载后360立马杀掉，360不杀的，解压后运行那就很有意思了！直接点样本，360杀之，随后弹窗提示入沙，时间先后可以忽略不计！一般的样本没有激活UAC的！