看中CLT测试的满分党看过来

柯林

无论你用默认规则，还是默认规则修改版，不管是CPS还是CIS，在进行CLT测试时，如果不能拿满分，如果DDE这一项过不了：
●这一项是调用浏览器联网，模拟的是“恶意程序”通过正常程序来联网，实际测试的是DDE——程序间通信。
如果你采用全局禁运——禁止非法程序调用浏览器，该测试可以通过，但似乎并不合乎测试的本意——因为浏览器的窗口出来了，尽管显示的空白页或网页不可打开的提示。

★经再三测试，于毛豆来说，这东东测试的就是一个东东：\Device\KsecDD   （受保护的文件和文件夹里加了这一条，包你高兴）
这一条真的是实现了“拦截程序间通信”，于毛豆默认规则来说，就是阻断“沙盘”内程序与沙盘外程序的通信——沙盘内程序不可以调用沙盘外的任何程序，几乎是闷杀了所有被毛豆列为未知程序的东东（如果它靠自身实现一切功能，无须调用任何其它程序者例外）

使用意见：如果你在乎所谓测试，所谓分数，请加上这一条（凡事有得必有失，以默认规则版本来说，加上这一条后，很可能一些电子书、chm文档之类，无法在沙盘里运行了，要运行，只能将它们列为信任文件【信任文件几乎就是“可信程序”的权限，要么扫毒，要么自己想法降权，风险自负】）；如果在乎用沙盘来隔离运行不放心的程序的，请无视。

喜欢成天“痛扁”样本的，喜欢所谓分数的，喜欢所谓安全的，请尝试：
FD 全局添加如下监控对象
?:\*
重要的设备和管道：\Device\NamedPipe\browser
                            \Device\NamedPipe\samr
                            \Globalroot\RasAcd
                            \Global??\FltMgrMsg
                            \DosDevices\Pipe\*
                            \Device\KsecDD
网络通信（设备管道）：\Device\Ip
                                \Device\Icmp
                               \Device\Tcp*
                              \Device\Udp
                              \Device\NamedPipe\ROUTER
                              \Device\NetBT_TcpIp_*
如果是CIS，请添加    网络通信（Sockets）：\Device\Afd\Endpoint
                                                               \Device\Afd\*Hlp
                                                              \Device\Nsi
当然，以实际来说，除了网络通信，其它那些几乎都是多余，甚至连网络通信这些也是多余——因为在 \Device\KsecDD的拦截下，沙盘内的程序与沙盘外的程序失去了联系，什么程序都调用不了，它还能做些啥呢？

注意：这些东东，请不要在全局规则里添加——毛豆现行的路线是：只要不添加全局规则或具体的程序规则中，默认规则的智能模式下，所有立为监控的对象（依据全局规则的设定+智能规则自动添加的默认隐藏规则），只对沙盘内的未知程序起作用，反之，则对沙盘外的程序生发作用【安装程序可能例外——如果你勾选“自动检测安装程序/升级程序并把它们运行于沙盘外”时，也许会置顶套用“安装与更新”，当然也有可能是自动添加于全局规则下而受影响，自己验证吧】

a256886572008

等 重定向型自動入沙  回來，那些規則就要準備淘汰了

我發現，"右鍵入沙"還有"總是入沙"，那些規則會完全失效。

例如：沙內程序可訪問網路

柯林

a256886572008 发表于 2012-6-10 01:56
等 重定向型自動入沙  回來，那些規則就要準備淘汰了

我發現，"右鍵入沙"還有"總是入沙"，那些規則 ...

可能是bug

但愿沙盘不要太丑陋和单调，估计也不会允许建多个沙盘，希望选项别太寒酸和死板

a256886572008

柯林 发表于 2012-6-10 09:13
可能是bug

但愿沙盘不要太丑陋和单调，估计也不会允许建多个沙盘，希望选项别太寒酸和死板

應該不算 bug，因為那些規則屬於 FD。

剛好 手動入沙  重定向。

firefox3

重要的设备和管道：\Device\NamedPipe\browser
                            \Device\NamedPipe\samr
                            \Globalroot\RasAcd
                            \Global??\FltMgrMsg
                            \DosDevices\Pipe\*
                            \Device\KsecDD
网络通信（设备管道）：\Device\Ip
                                \Device\Icmp
                               \Device\Tcp*
                              \Device\Udp
                              \Device\NamedPipe\ROUTER
                              \Device\NetBT_TcpIp_*
如果是CIS，请添加    网络通信（Sockets）：\Device\Afd\Endpoint
                                                               \Device\Afd\*Hlp
                                                              \Device\Nsi

头都看大了也不知道这几条是作什么用

柯林

firefox3 发表于 2012-6-10 09:36
重要的设备和管道：\Device\NamedPipe\browser
                            \Device\NamedPipe\samr
    ...

你将它们列入监控，隔离进沙盘的程序，就不可以使用这些东西，安全性高了呀

firefox3

柯林 发表于 2012-6-10 09:39
你将它们列入监控，隔离进沙盘的程序，就不可以使用这些东西，安全性高了呀

不用沙盘的话这几条还要加不？

a256886572008

firefox3 发表于 2012-6-10 09:41
不用沙盘的话这几条还要加不？

你沒用重定向型sandbox，那些規則和HIPS共用。

firefox3

a256886572008 发表于 2012-6-10 09:43
你沒用重定向型sandbox，那些規則和HIPS共用。

就是说要加 是吗？

柯林

a256886572008 发表于 2012-6-10 09:33
應該不算 bug，因為那些規則屬於 FD。

剛好 手動入沙  重定向。

毛豆厂家的思维已经定型了，没法改了，要不然，最好像其他产品那样，加个子程序的选项，那样规则就清晰了