360沙盘能拦截进沙盘的程序的键盘记录么？

yhjtj

样本：http://bbs.kafan.cn/thread-1254518-1-1.html
360沙盘能拦截进沙盘的程序的键盘记录么？如果不能拦截那不是存在危险么？
贴上ssf的日志
2012-3-25 19:26:28,C:\WINDOWS.0\explorer.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\仓库背包装备技能材料1\VyvRyh.exe)
2012-3-25 19:26:38,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\仓库背包装备技能材料1\VyvRyh.exe,53,Allowed ;启动一个应用程序 (C:\Program Files\BaofengUpdates\Updates.exe)

2012-3-25 19:26:56,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\仓库背包装备技能材料1\VyvRyh.exe,53,Blocked ;启动一个应用程序 (C:\WINDOWS.0\system32\rundll32.exe)
2012-3-25 19:27:04,C:\Program Files\BaofengUpdates\Updates.exe,26,Blocked ;改变关键注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,Common Start Menu)
2012-3-25 19:27:08,C:\Program Files\BaofengUpdates\Updates.exe,50,Allowed ;通过DNS解析服务访问网络
2012-3-25 19:27:15,C:\Program Files\BaofengUpdates\Updates.exe,41,Allowed ;修改关键文件或位置 (C:\WINDOWS.0\system32\wininfo.dat)
2012-3-25 19:27:20,C:\Program Files\BaofengUpdates\Updates.exe,40,Blocked ;打开其它进程并获取修改权限 (<pid=4>)
2012-3-25 19:27:33,C:\Program Files\BaofengUpdates\Updates.exe,48,Allowed ;传出的网络访问-出站
2012-3-25 19:27:37,C:\Program Files\BaofengUpdates\Updates.exe,20,Blocked ;记录键盘输入


组件 Updates.exe (pid=400) (这步就是360报的远控)
正试图 建立一个传出的网络连接(TCP)
远程地址=bb569041219.vicp.cc(113.103.213.80) 远程端口=7777
行为类型 代码: 48
技术信息: 28,6,0
是否允许这个危险行为?

驴肉火烧

应该不能

lll714775117

貌似可以

-oAo-

理论上不会，沙盘是虚拟的

MJ君

4L扯淡……

沙盘仅仅是虚拟一个环境出来……

在没有判断是毒之前，怎么拦截？

该记录还是记录……

XMonster

应该会拦截吧

leisong

沙箱本身并不增加防键盘记录，本身拦截的还是 拦截，本身无拦截的还是不拦截

XMonster

leisong 发表于 2012-3-26 21:41
沙箱本身并不增加防键盘记录，本身拦截的还是 拦截，本身无拦截的还是不拦截

这点很蛋疼，如果用沙箱测样本的话很不爽

yhjtj

leisong 发表于 2012-3-26 21:41
沙箱本身并不增加防键盘记录，本身拦截的还是 拦截，本身无拦截的还是不拦截

可360本身是有拦截键盘记录的功能的，有功能不拦截，说不过去了
当用户不了解这些，万一把陌生程序放进沙盘去测试或使用的同时，在沙箱外输入密码，而360又没有相应联网发送控制，岂不悲剧了？

z13667152750

yhjtj 发表于 2012-3-26 22:41
可360本身是有拦截键盘记录的功能的，有功能不拦截，说不过去了
当用户不了解这些，万一把陌生程序放进沙 ...

另一个可能,该病毒在联网被拦截的情况下不会进行记录键盘的行为

ssf日志中,你允许了其联网,但是在360测试中,拦截了联网

你应该测试下,不在沙箱中运行,360是否拦截键盘记录