关于毛豆的沙盘和可执行控制设置的问题

哥舒夜带刀

如果沙盘和“将无法识别的程序限制”都打开，那是不是未知程序既在沙盘中运行了，又部分限制了？如果只打开沙盘不开限制，是不是只是在沙盘中虚拟运行？如果只开限制不开沙盘，是不是未知程序只是限制？
对这两个东西感觉很含糊啊，求高人指点一下。
另外，部分限制不开沙盘的话足够吗？

贾君鹏的妈妈

在开启沙盘的情况下，可执行控制里的五个等级就是对应着沙盘入沙程序的控制程序的，不开启沙盘，这个没验证过 可能只有设置为“阻止”才是有效的 默认的就是部分限制 如果你有一个杀软的话 部分限制就可以。

老虎猫

不需要开沙盘！设置阻止，黑名单或许都阻止了。但规则都阻止不了白名单NND。实验过！其他几个级别随便点个！

fovfinal

老虎猫 发表于 2012-5-11 19:44
不需要开沙盘！设置阻止，黑名单或许都阻止了。但规则都阻止不了白名单NND。实验过！其他几个级别随便点个！ ...

同样表示不喜欢毛豆的沙盘，有些设置略微蛋疼啊

老虎猫

fovfinal 发表于 2012-5-11 19:51
同样表示不喜欢毛豆的沙盘，有些设置略微蛋疼啊

我自己点毒的经验呵呵！设置阻止的话！黑名单估计拿的下！但对白名单太悲惨了。有签名的应该都忽略不记，连规则都忽略。要选，其他几个级别随便选个，配合规则拿下白名单！

fovfinal

老虎猫 发表于 2012-5-11 19:57
我自己点毒的经验呵呵！设置阻止的话！黑名单估计拿的下！但对白名单太悲惨了。有签名的应该都忽略不记， ...

不过我为了比如安装东西时观察弹窗，还是关了

柯林

老虎猫 发表于 2012-5-11 19:44
不需要开沙盘！设置阻止，黑名单或许都阻止了。但规则都阻止不了白名单NND。实验过！其他几个级别随便点个！ ...

请给出样本或测试，证明结论——个人经验，白名单无法逃过规则：请把全局规则设成全部阻止，证明你说的穿越规则现象。

老虎猫

柯林 发表于 2012-5-11 20:43
请给出样本或测试，证明结论——个人经验，白名单无法逃过规则：请把全局规则设成全部阻止，证明你说的穿 ...

额！找样本好多天前了，那天我明明知道规则设置，禁住了conime.exe，点了几个样本结果。多几个出来。。。做个简单调用  设置阻止下，CMD  阻止了，对conime.exe调用。运行下，CMD结果，还能正常运行！其他照规则好多禁止的都关不住了！  取消阻止下，规则顺利阻止！

柯林

老虎猫 发表于 2012-5-11 21:05
额！找样本好多天前了，那天我明明知道规则设置，禁住了conime.exe，点了几个样本结果。多几个出来。。。 ...

你的话有点乱
cmd不用调用conime，一样可以运行

请全局规则设为阻止，看样本是否还能突破——创建进程、内存访问、加载驱动、安装钩子、受保护文件……如果有突破，那就证明白名单无视一切，否则，白名单还得按规则办（询问对于白名单等同允许；内部防水的超级白名单内容不在讨论之列）

老虎猫

柯林 发表于 2012-5-11 21:31
你的话有点乱
cmd不用调用conime，一样可以运行

反了，前后！  但全局阻止，对好多规则！阻止掉的！通通，可以运行起来了！你可以去默认规则里玩玩！