COMODO的这个数据保护目录是干嘛滴

Candygu

h8888 发表于 2014-2-28 20:30
正常到不得了。因为手动入沙的程序不受到系统的限制手段限制，只受到沙盘策略的限制，毛豆在操作界面里早 ...

虚拟化+策略限制的程序也能访问添加到“被拦截文件”中的文件，怎么解释？

h8888

"被拦截文件"仅是受hips控制的，对沙盘来说，只是一个普通的文件，沙盘里能访问外边的文件也属正常吧？！

myzuzong

h8888 发表于 2014-2-28 21:06
"被拦截文件"仅是受hips控制的，对沙盘来说，只是一个普通的文件，沙盘里能访问外边的文件也属正常吧？！

不正常。sandbox里的进程仍然受到hips规则的显性约束。此处应该是“被拦截文件”这个功能考虑不周。

h8888

myzuzong 发表于 2014-2-28 21:25
不正常。sandbox里的进程仍然受到hips规则的显性约束。此处应该是“被拦截文件”这个功能考虑不周。

这个可能是这样的：自动入沙，如果等级不选完全虚拟化，则受到毛豆的内置策略限制(到底有否虚拟就不清楚了)，不足的地方，可由hips弹窗补充；手动入沙，就是虚拟加沙盘策略限制（完全虚拟化除外），与沙盘外面的hips无关联。

myzuzong

h8888 发表于 2014-2-28 21:35
这个可能是这样的：自动入沙，如果等级不选完全虚拟化，则受到毛豆的内置策略限制(到底有否虚拟就不清 ...

不是的。沙箱内的进程受到hips规则的约束，无论是手动还是自动，无论是虚拟化还是策略限制。

如图所示，我将ping.exe复制两份到D:\，并重命名为pinga.exe和pingb.exe。

1.在hips规则中禁止cmd.exe执行pinga.exe，并且将pingb.exe添加到“被拦截的文件”。




2.运行cmd.exe，并试图执行pinga.exe和pingb.exe（下同），可以发现二者均不能运行。说明hips规则和“被拦截的文件”都生效了。



3.将cmd.exe手动入沙（右键入沙），发现pinga.exe不能运行，pingb.exe可以运行。说明手动入沙的进程仍然受到hips规则的约束，“被拦截的文件”却失效了。



4.将cmd.exe设置为自动入沙（完全虚拟化级别），结果同上。




5.将cmd.exe设置为自动入沙（部分限制级别），结果同上。





结论：入沙进程，无论自动还是手动，无论虚拟化还是策略，都受到hips规则的显性限制。“被拦截的文件”作为hips模块的一部分，却对入沙进程失效了。显然，“被拦截的文件”这个功能的设计考虑不周。所以目前建议不要使用“被拦截的文件”来禁运特定程序。

h8888

15楼的实验只能说明沙盘外的程序能摆脱沙盘内的程序对它的控制，不是我说的在沙盘外能否控制沙盘内程序的问题。至于其它问题，要等我有空换回毛豆7.0才能做实验了。

h8888

现在，我认为用好毛豆只有以下两种方案（防火墙模块不在讨论的范围）：（1）关闭行为拦截（即自动入沙），想要控制的程序均不应手动入沙，hips设为疯狂模式；或（2）关闭hips，把行为拦截设为阻止（注意：一定要选阻止，其它的等级意义不大），入口程序手动入沙并选择合适的限制等级，其它疑似带有流氓性质的程序也应强制入沙运行。简单的说法就是：要么用hips，要么就用沙盘加沙盘策略。

h8888

再次安装CIS 7.0，做了一下实验，得出以下结论：图中的“被拦截的文件”准确地说应该是被拦截的应用程序，只是不能运行，但可以被读取，而且只有当hips开启时才生效，关闭hips就失效；图中的“数据保护目录”则仅对入沙的程序有效，即入沙的程序不能访问这些文件，包括读取。

柯林

h8888 发表于 2014-2-28 20:30
正常到不得了。因为手动入沙的程序不受到系统的限制手段限制，只受到沙盘策略的限制，毛豆在操作界面里早 ...

毫无逻辑！
好好的读读毛豆的限制说明！

补充：毛豆的沙盘再怎么猪，它也是个沙盘。大区里玩沙盘的一大堆，这种问题放到沙盘里说，就是一个字——猪！毛豆的官人能做出这么猪的沙盘，只有一个解释：脑袋被驴踢扁了！

柯林

柯林 发表于 2014-3-8 13:11
毫无逻辑！
好好的读读毛豆的限制说明！

[fly]命令代号：猪猪猪!

猪头特工局火星1号命令：全体社会成员禁止访问国家机密文件！but，关在监狱里的犯人可以无视以上命令，本局特许所有犯人随时随地访问国家机密文件，“为达此人道主义目的，本局将特别开通监狱内部直达国家机密档案室的秘密通道”！

                                                                                                                                                                                                                                                                                                                此令

                                                                                                                                                                                                                                                                                                                            ——猪头特工局  糊糊局长（签名）
                                                                                                                                                                                                                                                                                                                              火星纪元猪年猪月猪日[/fly]