收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 avast! 『普及下』关于小A自动沙盘的开启条件
123下一页
返回列表 发新帖
查看: 7579|回复: 22
收起左侧

[卡饭原创] 『普及下』关于小A自动沙盘的开启条件

  [复制链接]
brynhild.ran
发表于 2012-5-8 18:46:36 | 显示全部楼层 |阅读模式
本帖最后由 brynhild.ran 于 2012-5-8 20:49 编辑

本帖主要是图文说明小A自动沙盒的开启条件(在什么情况下会触发自动沙盒)

主要内容:翻译自动沙盒设置界面里的英文,让更多的TX方便理解;附加几个截图。

由于没KEY,无法对A7收费版的沙盒进行全面讲解,遗憾。



      不知因何原因,自动沙盒设置里(包括手动沙盒也是如此)最重要的几项说明内容并没有被翻译成中文,这导致一些TX对其开启的条件产生疑惑,下面我将对其进行翻译,并截图展示几个例子。

如图,红框中的英文如下:


reasons for autosandboxing
自动沙盒启动原因

static analysis finds the file suspicious
静态分析发现可疑文件
符合于某些绿色/破解软件。可疑,但又不确定是病毒的一般就会以此理由弹窗询问是否入沙。
可疑文件、威胁文件、病毒文件,这些在本质上是有区别的。
例子:打开HDTunePRO绿色单文件破解版时弹窗建议你入沙,而不是直接报读,要么信任;要么KILL。


the file prevalence / reputation is low
文件流行度/信誉度低
当打开某些罕见程序或者信誉度很低的程序时会弹窗,在引入混合云之后这对小A在监控防御上的提升非常大。
例子1:打开风行时弹窗,估计是信誉问题(风行有自动修改启动项等流氓习惯)

例子2:文件信誉警告,这是提醒你该文件/程序非常罕见,再你打开后也会建议入沙


the file origin / source is suspicious
文件产生点/来源可疑
两个条件,产生点是源头追溯;来源则是对下游分销判断,估计都是对混合云与全球网络社区的充分利用
没有图:请TX补充


the file is executed form a remote / removable media
执行该文件将会产生一个远程的/可移动的介质。
没有图:请TX补充

generic heuristics /  suspicious context
通用(全局的)启发式/可疑的情况下
这是对第一个条件的补充,一个是基于静态分析,一个是基于全局启发式。
没有图:请TX补充


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4经验 +10 人气 +3 收起 理由
久久度 + 1 很给力!
cyk553312 + 1 感谢解答: )
360Tencent + 1
哀酱俏佳人 + 10 感谢提供分享

查看全部评分

回复

举报

回忆
发表于 2012-5-8 18:55:56 | 显示全部楼层
好帖子,学习了,
回复

举报

乐在天涯
发表于 2012-5-8 19:28:46 | 显示全部楼层
最喜欢图文并茂的啦! 感谢楼主
回复

举报

追影子的十三
发表于 2012-5-8 19:30:00 | 显示全部楼层
好强大的感觉
回复

举报

zhym91
发表于 2012-5-8 19:49:01 来自手机 | 显示全部楼层
呵呵……学习了…
回复

举报

lgdx
发表于 2012-5-8 19:52:01 | 显示全部楼层
知识普及贴收藏。。
回复

举报

584208730
发表于 2012-5-8 20:23:38 | 显示全部楼层
学习了,自己很少出这样的弹窗。。。
回复

举报

jilixinye
发表于 2012-5-8 20:44:39 | 显示全部楼层
学习下。。


ps 偶小A沙盒 一直关闭的。。自己有沙箱 实在不行影子系统 虚拟机
回复

举报

凶汉
头像被屏蔽
发表于 2012-5-8 20:47:35 | 显示全部楼层
好帖 学了
回复

举报

360Tencent
发表于 2012-5-8 20:52:25 | 显示全部楼层
本帖最后由 360Tencent 于 2012-5-8 21:20 编辑

https://blog.avast.com/2012/03/2 ... re-you-annoying-me/

Several reasons why we activate the AutoSandbox:

Static analysis finds the file suspicious
Static analyses checks file content and looks for suspicious strings in file headers similar in virus definitions. Main static analysis reasons are:

Application is not signed
It’s not mandatory to have a signed application, but signed software is statistically less likely to be harmful.

Use of executable file encryption/compression
App writers and installers(self extracts) like executable compression/encryption because it makes reverse engineering more difficult. But, it is also used by malware to hide from antivirus scanners. A compressed/encrypted file without a digital signature is doubly suspect.

The file prevalence/reputation is low
All new unknown files are potentially dangerous. Whenever they have become widespread, there will not be a reason to AutoSandbox them anymore.

The file origin/source is suspicious
Freewebs and some file distribution servers have a reputation for paying less attention to the quality and origin of their software than official distribution servers. This is a long-run issue of reputation and income management.

The file is executed from a remote/removable media
Running an application from the USB drive may cause the AutoSandbox dialogue box to appear –but the same app from your local hard drive may not. That is because many harmful apps are spread through removable media, increasing the odds of potential danger.

Generic heuristics/suspicious context
Invalid digital signatures
Suspicious file names
And there are more…



根据官方博客的内容,启动自动沙盒的原因有以下几条

静态分析发现文件可疑


静态分析会检查文件内容,找寻文件头中与病毒定义类似的可疑字符串。启动静态分析的主要理由如下

应用程序没有数字签名

文件加壳或者加密,一个没有数字签名的文件如果再加壳,那就更可疑

文件信誉不良(出现时间短,使用人数少,普及性低)

文件的来源/出处可疑(不是通过官方服务器下载的文件,文件来自网盘和某些在线分享站点)

文件从远程或者可移动介质启动(亲,是from不是form,所以翻译也连带着错了)

通用检测(启发在这里)

无效的数字签名

文件名可疑

and more...

评分

参与人数 2经验 +5 人气 +1 收起 理由
billgates1996 + 1
风葶云 + 5 版区有你更精彩: )

查看全部评分

回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 02:36 , Processed in 0.157336 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表