默认规则防毒能力测试---对抗加密勒索的能力到底怎么样

柯林

comodo默认设置，防御病毒的能力到底如何？很多人好奇。俺也是好奇宝宝，测试一下看看。
--------------------------------------------------------------------------------------------------------
一楼：基本情况说明
二楼以后：部分测试结果

=========================
测试目的：了解自动沙盘防御的能力
测试方法：实机测试，有限测试【短期测试，有限样本测试】
导向性：无 【客观测试，无任何导向性】
测试报告：成功，记录成功；失败，记录失败。
警告：本帖内容，仅代表一时个体性，本人不对你因本帖所导致的任何后果负责，请理智选择，切勿随意模仿！
===== 测试有风险，本帖所述内容，请谨慎参考======
系统环境：64位win7

==============
所用安全软件：CIS  
CIS设置（默认设置）

沙盘部分








----------------------
防火墙部分






=============================
具体测试报告在二楼

柯林

1号样本测试，来源http://bbs.kafan.cn/thread-2031450-1-1.html
测试结果：防御成功，文件没有被加密【其间系统较卡，样本大量占用cpu】
测试报告（毛豆日志【沙盘内的内容不贴了】）


***********************************
2号样本测试 ，来源：http://bbs.kafan.cn/thread-2031348-1-1.html
动作一大堆，隔离进沙盘，对实机无影响
毛豆日志自己看：

************************************
3号样本测试，来源http://bbs.kafan.cn/thread-2031272-1-1.html
测试结果，防御成功，没有被加密
毛豆日志点评：这货主要行为，调用cmd.exe，相继执行C:\Windows\System32\consent.exe与C:\Windows\System32\wbem\WMIC.exe ，创建aygdohvrlcur.exe到我的文档目录里，由aygdohvrlcur.exe执行加密操作
防火墙显示，aygdohvrlcur.exe已联网（毛豆默认设置不阻挡入沙程序联网）

AD行为一大堆，与2号样本差不多：
样本释放的恐吓信息：

小结：自动入沙很强大，对付这些东东就小菜一碟，默认已经绰绰有余。只要毛豆不抽风，根本不是问题，测试不过是浪费时间。建议用ccav，那个bug较少

柯林

4号样本测试，来源http://bbs.kafan.cn/thread-2030958-1-1.html
此类东东，行为模式一样的，一来就调用cmd.exe，然后创建病毒文件exe到我的文档里进行加密操作【执行文件操作前，UAC会弹窗询问（如果没有拦截到之前的创建病毒exe动作，此时还有一个拦截机会——UAC的拦截）】

自动入沙，操作虚拟化，没用


***********************************
5号样本测试，来源http://bbs.kafan.cn/thread-2030565-1-1.html
一样的，不起作用
病毒联网：
基本行为一样的，似乎没多大创意：启动cmd.exe，创建病毒体到我的文档执行操作：


针对加密勒索病毒，有N多环节可以拦截：入口防御--阻止病毒体exe等文件创建；我的文档等危险位置禁运或入沙；不明程序禁止联网；手动HIPS禁止不明程序访问数据盘、文档图片等文件等

柯林

有限简单测试表明，自动沙盘机制很强大，应对这些常见的加密勒索，很轻松，完全能够胜任！当然，这个只是有限的测试，要就此得出一个明确的结论，显得还不够严谨，测试仅供参考。个人观点，一般普通应用，如果不会设置，就用默认，在环境还算可以的地方，没啥大问题，如果会设置，还是适当地加强。对一般人很重要的一点，要有好的习惯和良好的安全意识，养成善于保护自己的好习惯。


另外强调下，默认的入沙权限部分限制级，还是宽了，防御截图、QQ粘虫之类，需要限制级别才行。普通用用，一般遇不到什么强毒的环境也倒无所谓，环境差，或者需要高一点安全性的，需要拔高一点限制级别，至少拉到低权限（像默认自带沙盘规则第一条入沙规则，来自网络与U盘的不可信程序，拉高为限制级别吧，一般也影响不大，个别受影响的程序加白下

柯林

没多大意义的测试，实际与逻辑推理是一样的

HEMM

这么强大？嗯.......介个......
好吧！实机必须必写个服字

柯林

HEMM 发表于 2016-3-4 15:44
这么强大？嗯.......介个......
好吧！实机必须必写个服字

实际证明，跟当初想的一样，入沙确实很强，自动入沙理念先进，只要毛豆不抽，沙盘不被穿，拦截没有问题

由于是文件操作全部虚拟化，数据保护都不需要再增添什么额外的，加不加都一样，这个比做HIPS规则方便且强大多了

CCAV很有前途，弄个CCIS就ok了，或者最好是提供沙盘与防火墙组件下载，杀毒么，用家自己配一个

cwl12315

毛豆对加密勒索，只要入沙了，基本无问题。不过现在有些病毒自带数签，默认还是会漏
-------------------------------------------------

PS. CCAV不知道怎么回事，装BD重启会卡，装卡巴重启会卡，只有单装CCAV没事。不晓得是不是个人问题。

HEMM

柯林 发表于 2016-3-4 15:53
实际证明，跟当初想的一样，入沙确实很强，自动入沙理念先进，只要毛豆不抽，沙盘不被穿，拦截没有问题
...

啊！我还是更稀饭CF，CIS就算了，CCAV嘛......和我8字不合，免得我看它不爽它看不不爽的。
实机双击我可不敢，游戏多欢乐多，嗯...俗话说的好，胆子小没烦恼~
没想到你还真双击啊.......我记得....嗯..好吧！
自动沙盒我不稀饭，虚拟影子沙盒三用不惯不会用。
毛豆似乎不好搭配，除非不勾选虚拟化，但有这个功能吧，不勾选我又觉得怪对不起它的，勾选了怕和虚拟化各种BB安软打架，也是难

HEMM

cwl12315 发表于 2016-3-4 15:59
毛豆对加密勒索，只要入沙了，基本无问题。不过现在有些病毒自带数签，默认还是会漏
-------------------- ...

说那么多，快把规则交出来我抄一斤~