跟上新版本，与时俱进，不做凹凸曼！

智琛

HEMM 发表于 2015-4-16 12:05
不稀饭自动BB，应该说沙盘偶都用不习惯，还是高H适合偶，好玩！可惜！脑子太死板，毛豆的D+又.......神秘的 ...

还是裸奔好啊

羽扇纶巾

激情怒海生，才思天外落。此情唯君有，此才非君无。柯大笔触，跳荡着毛豆之魂。顶贴！

柯林

在捣鼓自动沙盘的时候，需要注意的相关问题（有意思的哈，自己实验）：

虚拟化就是重定向，不虚拟（限制运行与忽略）就没定向，哪些东东需要虚拟，哪些东东不需要？哪些东东不虚拟比虚拟好，哪些又相反？【从限制运行、虚拟化、阻止，再到忽略，有不同的级别可供选择】

保护内容还需要加强不？加哪些进去比较合适？

---------------------------------------------------
现在的自动沙化，已经实现了，非可靠程序（文件鉴定为未知的）入沙降权，简单高效的决然二分法，很久之前某些人嚷嚷着希望有的功能，现在真的有了，好好利用吧


ps：一般就默认都够安全了，用好默认的都ok啦，会修改强化默认规则的就不错了。这些极度DIY的问题，是给折腾党们玩的，一般人可无视。

蓝色天气

谢谢分享，终于看到教程了，可以折腾了

蓝色天气

谢谢柯大，收藏了

witty606

智琛 发表于 2015-4-16 17:38
还是裸奔好啊

又引来你这位神人啦！

聪明的我

嗯，这很好，难得有写的很细的

witty606

柯林 发表于 2015-4-16 10:06
我也是菜鸟啦，老菜鸟而已，大家一起交流，玩玩而已。

柯大，在看了你的贴子后，我也装上了最新的8.2版。有问题请教下！
我用comodo做的是完全无需参与的“过滤型”规则，过滤掉自己不需要的软件，特别是国产无良安全软件，捆绑安装盛行啊！原先v5我用的是阻止文件写入(FD)，阻止注册表服务(RD)，限制安装目录执行(AD)。
现在，换到v8.2打算使用bb最简单高效的防护，bb上可以直接以目录为对象进行阻止。感觉bb只有AD的概念，无法做到FD和RD.特别是RD写进的垃圾数据让我觉得不爽。我理解的对吗？如要进行RD，是否还应该建hips规则？

柯林

witty606 发表于 2015-4-17 09:21
柯大，在看了你的贴子后，我也装上了最新的8.2版。有问题请教下！
我用comodo做的是完全无需参与的“过 ...

BB与HIPS的不同之处，除了AD上降权之外，主要是FD与RD上：HIPS你可以采用直接拦截的方法，BB与沙盘一样，采用的是虚拟，就是“允许它操作”，但是是操作到虚拟区域，而不是实机，譬如它创建一个程序到windows目录，是虚拟区里的windows目录，而不是实机上的windows目录。这也不是说它可以“为所欲为”，按照沙盘定义，沙盘内的程序不可以访问沙盘外的东东，譬如沙盘内运行的程序不可以访问沙盘外运行的程序的内存之类等等，至于沙盘内的程序是不是可以完全访问本机磁盘，在做了保护扩展（例如把D:\*之类的磁盘列入受保护文件）之后，它是否还可以读取、改写，需要实测一下，有兴趣可以写两个复制及删除的批处理到沙盘里运行下看看，或者用相关的测试工具测试一下。

虚拟后“创建”的东东，你重置沙盘的时候，点击删除，就啥都没了，跟影子系统一样的道理，所有的更改都伤害不了实机。说到数据安全的话，只要IE之类的程序没有在沙盘里运行，就算它是个病毒木马，它运行在沙盘里，没法注入到沙盘外运行的IE之类上网程序上，做不了坏事的。

===================================
补充下：所谓的“允许它操作”，是不是全允许，这个要以实测为主，例如注册表的保护键值，在不同的沙盘限制级别下，是不是它都有权访问，这个要实际测试了才知道。

witty606

柯林 发表于 2015-4-17 11:05
BB与HIPS的不同之处，除了AD上降权之外，主要是FD与RD上：HIPS你可以采用直接拦截的方法，BB与沙盘一样 ...

感谢回复！
不知道行为“阻止”这个级别有没有入沙？我的感觉是这个阻止好像就是直接拒绝了，根本没有入沙。事实上我确定是不需要的软件，也不必入沙。哈