HIPS與自動沙盒

諾言敵不過時間

BBCALL 发表于 2016-4-25 20:34
虛擬化就是入沙呀，当然有绿色框
不會自行入沙是因为你程序的位置在沙盒设置外
internet的设置，无本机 ...

我的情況是這樣，我使用一個程序檔案評等為無法識別
我的自動入沙規則是預設的，也就是無法識別會被入沙
而我也開著HIPS設為安全模式
然後我打開這個判別為無法識別的程序時，正常開啟了(沒有入沙)
                                        ↑
這為什麼沒有按照沙盒內的規則無法識別就入沙呢?
然後為了弄清楚為什麼
於是，我關閉了HIPS
再次打開同一個程序→自動入沙了!!

之後我將那個程序的檔案評等由無法識別更改為→惡意
沙盒設置保持不變。
HIPS設置安全模式。
運行程序→程序成功運行..
雲名單用的不一樣嗎?

諾言敵不過時間

Candygu 发表于 2016-4-25 20:44
清空沙盒的规则后，未知程序不会入沙才对啊，因为已经没有入沙的规则与之匹配了。是不是那个地方没有设置 ...

不是清空，是恢復預設置
如圖，應該要入沙才是正確的
可是當我開啟HIPS使用安全模式後居然就不入沙了...

諾言敵不過時間

剛剛試著雙擊一個評價為惡意的樣本
為什麼一個彈窗都沒有，就自動消失了...(讓我驚嚇了一下..開著killswitch盯著處理序)
日誌裡面也找不到相關的警示或是提示
後來發現放在上傳的路徑上霜及後會自動被解決
放在其他路徑上雙擊沒反應(可以理解，因為沙盒就是這麼設置)
可是為什麼還是木有任何日誌... 比方說阻止什麼的

BBCALL

諾言敵不過時間 发表于 2016-4-25 21:04
不是清空，是恢復預設置
如圖，應該要入沙才是正確的
可是當我開啟HIPS使用安全模式後居然就不入沙了 ...

不一样？

BBCALL

諾言敵不過時間 发表于 2016-4-25 21:02
我的情況是這樣，我使用一個程序檔案評等為無法識別
我的自動入沙規則是預設的，也就是無法識別會被入 ...

檔案評等為無法識別并不意味的一定会入沙，这要看沙盘的规则。
在主题：win10 64位comodo沙箱虚拟化来源一项中少了一个本地磁盘
其中提到规则预设无本地盘，因此，如果程序在根目录时或毛豆无法追其来源时，则不入沙

HEMM

点开沙盒，打开自动沙和尚选项，新建一个虚拟化运行，目标选择文件组-所有应用程序。来源添加.....选择在桌面或者任意文件txt，再双击这个新添加的来源.txt，把来源改成一个*，后面是任意加任意。信誉一栏文件级别勾选无法识别的。确定！把这个规则往下拉到最后。
等于理论上美好管辖所有未知文件入沙，理论上........
还想更BT?没问题，再在这个基础上把选项一栏里设置限制等级为不信任等级，等于未知文件沙盘禁运。
还可以把沙盘额外套用个虚拟化，直接新建虚拟化选项，路径选择沙盒文件夹本身，确定！把这个规则放在沙盘规则的下面。
但是.......沙盒怎么玩都挺粗，虽然D+就很粗了，沙盒是为了更加易用化便更粗一成，限制起来偶尔太死，松了吧又感觉太松，限制尺度把握也不是很好。

諾言敵不過時間

那如果設置就是這樣的..那是否也算是完全虛擬?

HEMM

諾言敵不過時間 发表于 2016-4-26 13:50
那如果設置就是這樣的..那是否也算是完全虛擬?

你要担心就在桌面上新建个txt文档，然后改后缀名为.exe，DLL等双击验证。
看起来默认的没指定来源，你可以自己弄个来源呗。勾选文件源跟踪，按道理是会跟踪来源的，按道理.........
但是....你懂的，还是指定比较好，硬性的给它加上些规则，加上规则都未必按照剧本来，何况还是未指定
我再多说一句好了，我的规则是有指定明确来源的，但是沙盒有时候并不按照剧本办事，双击电子书攻略的时候，在未进行排除的情况下，有几率直接放过并不入沙，当然我还是排除了该文件。加上明确的规则是多一重保障，但是也架不住毛豆抽风。
比如小子的神网测试中就有未知的DLL并不入沙，先不说安全模式不安全模式，我疯狂模式就搭配了个WD，还有时并不照剧本来....不按照剧本来并不单指沙盒，D+也是，防火墙规则每次都是起效的，就那俩货会抽的。
不信可以自己测试，多双击些牛鬼蛇神，电子书，DLL啥的....

BBCALL

諾言敵不過時間 发表于 2016-4-26 13:50
那如果設置就是這樣的..那是否也算是完全虛擬?

全部不设定叫做完全虚拟化

123AZ

BBCALL 发表于 2016-4-25 18:59
都虚拟化了，有什么还要问使用者？那就不叫入沙了，不用担心，还没碰过可以穿过的。

我的那个样本就可以穿沙