★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

a256886572008

darkwolf_99 发表于 2012-12-26 17:20
我没有手动强制IE入沙。反正，只要IE没有在用户的信任列表里，v6就不会拦截这个com接口的利用，你可以试试 ...

直接把 trusted.db 刪除掉。

試了一下，只要開了 safe mode 還有 信任廠商，就算不在裡面，還是不會被入沙。

darkwolf_99

a256886572008 发表于 2012-12-26 17:50
直接把 trusted.db 刪除掉。

試了一下，只要開了 safe mode 還有 信任廠商，就算不在裡面，還是不會 ...

至少，这个情况还是要注意。感觉还是个bug

另外，“完全虚拟”级的安全性也太差了

毛豆的信任厂商很奇怪，删除了这个，不在线检测，也会自动放过一些签名程序，不知道是不是有内置

a256886572008

閒閒沒事把 QQ入沙，看看和病毒同在沙盤裡，有何情況發生，結果如下：

只要病毒被BB入沙為 restricted 或是 untrusted，就無法隱藏 入沙的QQ。

真神奇！

等下測測，連病毒也來個永久入沙看看。

darkwolf_99

a256886572008 发表于 2012-12-26 20:48
閒閒沒事把 QQ入沙，看看和病毒同在沙盤裡，有何情況發生，結果如下：

只要病毒被入沙為 restricted 或是 ...

但，看不到拦截了哪里，因为没有日志

a256886572008

QQ 和 病毒都是永久入沙，結果一樣是窗口沒有被隱藏。



為了避免有人說，QQ和病毒不同level，測試不準確，以下提供相同level的。

結果，還是一樣能攔截。

a256886572008

darkwolf_99 发表于 2012-12-26 20:50
但，看不到拦截了哪里，因为没有日志

1. OS 降權的，不會在日誌內出現。

2. 如果 同在沙盤內還可攔截，那麼應該是 OS降權 攔截了。
原因：partially limited 、fully virtualized 沒有降權，limited、restricted、untrusted有降權且越後面越嚴格。

3.結論：
對於這隻，comodo還是得靠 OS 攔截，軟件本身無法攔截地很好。

4.樓主要不要試試，sandboxie 開 drop rights，然後QQ與病毒同沙盤，看看能否攔截？

5.試了一下sandboxie的 drop rights，無法攔截。

看來，和 comodo 的 limited 降權 差不多。

trisfree

darkwolf_99 发表于 2012-12-26 15:37
又测试了几次，终于弄清楚是怎么一会事儿了

那该用什么级别呢？限制性可以不

a256886572008

trisfree 发表于 2012-12-26 21:24
那该用什么级别呢？限制性可以不

嚴格程度：partially limited < limited < restricted < untrusted

開 restricted 以上，才能攔截。

trisfree

a256886572008 发表于 2012-12-26 21:27
嚴格程度：partially limited < limited < restricted < untrusted

開 restricted 以上，才能攔截。

也就是必须不信任或者阻止咯。。

a256886572008

trisfree 发表于 2012-12-26 21:36
也就是必须不信任或者阻止咯。。

untrusted --> 不信任，blocked --> 阻止

-----------------
用 restricted 就夠了，我不知道中文翻譯是什麼。