cis新手请教：应用软件的安装和使用

HEMM

yourfellow2005 发表于 2018-1-16 23:49
刚才关闭HIPS，VTRoot文件夹中的软件还是无法运行

你要求怎么个入沙，是仅仅入沙不干预，还是稍做限制？
要求入沙但不限制，这样！


如上建组进行集体排除一样，建组调用过来，集体虚拟化运行，就算入沙，文件可以是安装到任意路径的，只要把这些要入沙的程序统统丢进这个组内就好。
要稍做限制就勾选限制等级为部分。记得这些规则一定要排列在未知入沙的规则之上

yourfellow2005

HEMM 发表于 2018-1-17 01:29
你要求怎么个入沙，是仅仅入沙不干预，还是稍做限制？
要求入沙但不限制，这样！

衷心感谢你啊！我是一步步在你们的指导下学习。
问题又来了：1.“入沙但不限制”会对实机有影响吗？比如，万一有病毒会感染系统吗？还有，所谓建组，把程序都丢进去，具体怎么操作呢？


2. 像浏览器、QQ、优酷视频等要求联网的软件，应该如何设置入沙，既要保证联网又要保证安全，如何才能两全其美？

HEMM

yourfellow2005 发表于 2018-1-17 08:07
衷心感谢你啊！我是一步步在你们的指导下学习。
问题又来了：1.“入沙但不限制”会对实机有影响吗？比如 ...

布吉岛！我个人沙盒规则为虚拟化限制性级别，勾选到这个级别后，根本大部分程序入沙后无法运行，都是入沙并闪退，极少有程序能在这个级别运作。部分限制我也玩过，很多程序能在这个级别运行。

据样本区饭友反馈来看，没有穿沙的，不过不知道是采取的什么级别。
我个人没遇到过，长期关闭着防护也没测，开启的时候也几乎没有入沙的，由于我规则采取的方式一向极端，如上不是闪退就是无法运作，阻断我玩过了一下就没玩了，没趣......
目前虽然我个人没发现有这种，不过既然有个限制选项，我个人采取的方式就是不影响我运行我就勾选，影响了我就降一个级别，直到不再影响.......
我个人建议你建两个组，一个作为部分限制，一个作为不限制，仅仅进行虚拟化。都放在部分限制组里，运行不了，改丢到仅仅虚拟化的组别里。

话说.......有必要强制入沙嘛.......程序要做限制用HIPS限制比较细腻，虽然COMODO的HIPS也是大刀阔斧有点粗.......但沙盒的可调整的地方太少。沙盒作为前瞻防护，我一般用于外来下载的未知程序配合COMODO的信誉，用来省事的，双击后未知的入沙。用于日常各种程序丢进去........似乎.......我个人嫌烦，这样不如虚拟机直接。

2 浏览器现在大多自带沙盒，我个人不会入沙的，没这方面的经验，我的沙盒只控口子，不针对特定的软件。
你要弄，还是如上，建组直接把程序丢入组内，然后沙盒调用该组自己调试限制方法。
个人不推荐.....不方便，且可能会出问题。尤其是腾讯一家，入了沙可能运作不能或异常。

基本上我个人不推荐什么都入沙，怎么舒服怎么来，我是用电脑的，不是担心电脑被各种病毒轰炸的，我只堵口子，然后该玩玩该乐乐。安全固然重要，但是舒适度也不能丢，所以我的规则虽然尽量往严格向走，但是并不妨碍我日常使用各种软件，除了最近因要控制一些系统程序，之前设置的太过严格，影响日常，我又不想管的松，拿不出好的方案来，就搁置了。其实是可以马虎过的，只要给那些个系统程序本来就有的权限就好，但我强迫症，一定要控一控，太费脑子和精力就没玩了，防护所有关闭。

kfk

关于1：
如果全都入沙，就不叫“自动”了。

关于2：
入沙运行 是内存中的事，VTRoot中的 只是沙盒放在硬盘上的文件缓存。
VTRoot ≠ 沙盒。

要运行安装在沙盒内的程序，请参考我的相关回答（以及引用，以及引用的引用）：
https://bbs.kafan.cn/thread-2110004-1-1.html

如果对我提供的内容有不解之处，欢迎追问。

paink

yourfellow2005 发表于 2018-1-16 22:54
柯姐晚上好！两个问题还是没有搞明白：
1.为什么VTRoot文件夹中的程序（安装的和免安装的绿色软）都无法 ...

1.VTRoot，个人理解为虚拟根目录，它是毛豆的沙箱内程序对象的实际目录。
2.设置程序自动入沙，这正是规则的用武之地，去沙箱规则中设置对某些程序对象自动入沙即可。

个人观点：
        虚拟机、容器（container）、沙箱/沙盘、containment这三个词汇的区别搞清楚，你就知道毛豆的沙箱的定位和功能作用了。
①用过虚拟机的都知道这是什么东西，但它基于机器底层，常见的vbox、vm等都是这种彻底的、全方位全功能的虚拟。
②容器（container）侧重于对对象的包容支持，但它并不从实体机器的底层开始虚拟，所以它不叫虚拟机。容器更加侧重于运行环境构建，所以对内外部接口要求特别多。类似于docker等软件，有一定的专门性，专门针对某类软件设计。
③沙箱/沙盘。顾名思义，它就是用来推倒的（我不邪恶！我不邪恶！），侧重于过程可重复和重建性。
④containment。毛豆的沙不叫虚拟机、不叫容器、container、也不叫做沙箱/沙盘，而是叫做containment或sandbox（当然它就是沙盒），它与前面说的沙箱/沙盘有一定的区别，那就是它还侧重于隔离和控制。见containment的英语用法。

综上：
        VTRoot目录在实机环境中是受毛豆控制的，里面的程序不可能在实机中运行，它是入沙程序的虚拟目录，仅对沙内程序有意义。就像你在实机双击virtualbox的虚拟系统文件一样，它们的运行依赖于虚拟环境，实机环境中是运行不了的。
        毛豆的沙不是容器一类，不应该用来在其中安装程序使用，而是单纯的用来控制运行。也因此，对于安装包程序，请使用av和证书签名扫描，来确认是否安全。当然，你可以用containment来测试一下安装包行为怎么样，但这意义不大，沙内环境单一荒芜，测试结果依赖于警报、日志等控制和监视手段，毛豆对沙内程序的警报、日志我没测试过，但我对具体效果持悲观态度，毛豆应该不会闲着没事记录沙内程序的行为吧。对于打算较长期使用的程序，还是在沙外安装吧。

paink

柯林 发表于 2018-1-16 11:57
这个要分两种：CCAV是所有不认识都入沙；CIS与CFW默认自带沙盘规则不包括本地，易用性的考虑。

快捷方 ...

快捷方式入沙从系统层面是可行的，但需要区别运行方式。
快捷方式是实际程序的“法人代表”，我是这么看的。
当首次打开仅有快捷方式的文件夹时，无论windows defender、还是毛豆的sandbox，都会扫描实际的程序。
   所以，对快捷方式右键入沙是可行的，测试也很容易，确实能入沙。但把这个快捷方式拖到沙内就不一定能运行了，我没试过，毕竟沙内程序的运行目录是VTroot，如果沙内一开始就能访问其他目录，或者借由某些父类程序可以访问读取实际目录的话，此条件下运行快捷方式应该是也可以入沙的。

柯林

yourfellow2005 发表于 2018-1-16 23:49
刚才关闭HIPS，VTRoot文件夹中的软件还是无法运行

前两天试用别的，一时间记不起；今天重装双卡组合，一看，你这问题很简单——规则决定的：
默认设置已经禁止那个目录内的程序运行，你再怎么弄，也是被拦截：




HIPS类产品（包括沙盘）的逻辑很简单：一切按规则执行！【无用户指定规则，则按默认设置执行】

yourfellow2005

kfk 发表于 2018-1-17 19:27
关于1：
如果全都入沙，就不叫“自动”了。

衷心感谢这么费心解答，其实我事先拜读过你的问答，只是我太菜，还得好好研读一下，如果再有疑问到时请教，再次感谢！

yourfellow2005

柯林 发表于 2018-1-19 16:19
前两天试用别的，一时间记不起；今天重装双卡组合，一看，你这问题很简单——规则决定的：
默认设置已经 ...

柯姐晚上好，我是从零开始跟你学习呢。碰到一个问题就请教一个，你的不厌其烦的态度非常让我敬佩！

kfk

yourfellow2005 发表于 2018-1-19 22:03
衷心感谢这么费心解答，其实我事先拜读过你的问答，只是我太菜，还得好好研读一下，如果再有疑问到时请教 ...

可能我写得不够清晰通俗。
针对的也都是各人的具体问题。

你也问具体问题（举实例）好了，我具体答，更有针对性。