关于【360隔离沙箱】建议充分发挥其判断可执行文件是否安全的能力！！！

JillPal

guidanba 发表于 2011-12-28 11:36
不知道，抱歉。。这个贴只是说下，360目前的防护似乎是有漏洞的。

关于360的沙盘关注的少，所以有些问题隐藏的比较深。

leisong

360没说过所有未知程序全部自动入沙啊，只考虑针对播放器、电子书等未知风险程序自动入沙，那是考虑到3-4亿用户的易用性和文件的安全性考虑，绝大多数用户根本不知道入沙后在哪里能够找到入沙的文件。

所以楼主所说的问题和沙箱无关，至于主防本身肯定不是全能的，目前不防任何键盘记录，等待3.0的面世

不过添加一个所有未知程序自动入沙的非默认选项提供给高级用户那倒是可行的。

guidanba

leisong 发表于 2011-12-28 18:51
360没说过所有未知程序全部自动入沙啊，只考虑针对播放器、电子书等未知风险程序自动入沙，那是考虑到3-4亿 ...

不是这意思啊，，，，，，，是说大家下载和ＩＭ里接受到的文件，若３６０网盾报未知时，那怎么办？？３６０网盾报未知的情况是比较多的，难道一直报未知，可以利用沙箱的能力来判断是否安全啊，尤其是可执行类文件，这个入沙判断是否安全，是后台运行的，相当于下载保护的升级版，相当于下载保护的二次判断。

guidanba

leisong 发表于 2011-12-28 18:51
360没说过所有未知程序全部自动入沙啊，只考虑针对播放器、电子书等未知风险程序自动入沙，那是考虑到3-4亿 ...

因为目前３６０的网盾还比较不够，判断是否安全应是在云端毒库查询得知的，有了就报毒，没有就报未知，未知的可以利用本地的沙箱来判断是否安全，当然要后台运行。而且这个文件是复制一个入沙运行看下结果。

leisong

guidanba 发表于 2011-12-28 18:59
因为目前３６０的网盾还比较不够，判断是否安全应是在云端毒库查询得知的，有了就报毒，没有就报未知，未 ...

想用沙箱来自动判断是否安全，这涉及到复杂的行为分析技术，而360主防主要发展的是单项拦截，云端行为分析大概是主要针对特定流行木马的

所以还是要等3.0来看看还有哪些突破性进步

guidanba

leisong 发表于 2011-12-28 19:03
想用沙箱来自动判断是否安全，这涉及到复杂的行为分析技术，而360主防主要发展的是单项拦截，云端行为分析 ...

不复杂吧？？。沙箱后台运行一下未知的可执行文件就行了，有毒就弹窗，无毒就不弹窗

leisong

guidanba 发表于 2011-12-28 19:06
不复杂吧？？。沙箱后台运行一下未知的可执行文件就行了，有毒就弹窗，无毒就不弹窗

有毒无毒不还是需要云库判定，那和实机运行有多大区别？
你提供的那个样本沙箱下报毒可能只是特例

guidanba

leisong 发表于 2011-12-28 19:09
有毒无毒不还是需要云库判定，那和实机运行有多大区别？
你提供的那个样本沙箱下报毒可能只是特例

只少沙箱运行不会说先丢了账号。

guidanba

leisong 发表于 2011-12-28 19:09
有毒无毒不还是需要云库判定，那和实机运行有多大区别？
你提供的那个样本沙箱下报毒可能只是特例

如果我当时断网后手动入沙箱运行看报不报毒，可惜了。

360主动防御

感谢反馈, 沙箱机制对于普通人来说还是有点不容易搞清楚.
容易让他们困惑自己的文件到底被写到哪里去了.
所以这个应用场景我们一直再做探索. 也应用到了一些比较特殊的场景中 比如 keygen 看片 电子书等几乎不会产生有效写动作的场景. 对于IM传过来的文件. 网购模式会有比较强的拦截.
这个场景使用沙箱并不合适. 用下载保护来做这个提醒比较合适.
但做了提醒也麻烦. 因为比较少人能分清楚什么叫做可执行文件 什么叫做不可执行文件.
总之, 楼主的建议很好, 我们会内部讨论此类问题的处理.
谢谢.