对于报毒报得很厉害的KeyGen类程序，是用毛豆的沙盘好呢还是另外下个SB好？

www-tekeze

专业挑刺儿 发表于 2018-5-11 07:12
我不清楚你这是哪里来的成见或者是偏执？
为什么主防一定和沙盒有关系？我是没有看出来。
而且我发现你 ...

你给的那几个链接我会抽空看下，但不会深究的 (在火绒论坛你应该知道，我是干硬件而不是软件的，没那么多时间和精力啊)，过于本土化、民族化不好，过于西化就很好吗？ 同一种技术每家都有自己的看法和说法，呵呵，但在真正的专业人士敲代码的那些人眼中，也许就是那么回事吧，不看广告看疗效！ PS：真正的核心技术，通过公开资料是不会让你看到的，说的和做的也许很不一样呢 (商业竞争需要?)。另外古人有云：尽信书不如无书。。。

专业挑刺儿

www-tekeze 发表于 2018-5-11 11:19
你给的那几个链接我会抽空看下，但不会深究的 (在火绒论坛你应该知道，我是干硬件而不是软件的，没那么多 ...

你有点偏激了。
你还是不了解回滚的原理是备份技术，而且回滚是有限制的。
卡巴不可能备份一个程序超过100mb的操作量，因为在这之前如果有恶意行为早就已经判断出来了。
备份技术也不可能知道对一个文件的修改，比如直接加个0进去。只能备份即将被删除文件，记录生成的新文件，或即将被修改的注册表，或引导区。
这和沙盘没有关系，至少我是这么认为的。卡巴，诺顿，趋势的主防，和沙盘并没有什么关系，更不牵扯到什么重定向技术。
各大杀软在云使用沙盒的，用于检测样本行为，以判别黑白。本地一般用虚拟机之类的，也算是个“半个”沙盒，静态动态启发都要用到。详见：https://www.kaspersky.com/enterprise-security/wiki-section/products/emulator
我不是很想批判火绒，我是想说，你感觉你没啥自己的想法啊，火绒官人说什么，你就点点头。可能我会错了你的意，但我觉得你从他人哪里得到的一些东西有些偏激，不是特别靠谱。

专业挑刺儿

www-tekeze 发表于 2018-5-11 11:19
你给的那几个链接我会抽空看下，但不会深究的 (在火绒论坛你应该知道，我是干硬件而不是软件的，没那么多 ...

@ccboxes  
抛砖引玉。有兴趣接着说下去嘛。

ccboxes

www-tekeze 发表于 2018-5-11 11:08
注了个小号？ 我还想你给我打赏几个人气呢，你不是一直让我到卡饭玩吗，对新人给点见面礼啊。。

...

主防和沙盒没有任何关系。

对于这种来自国外的概念，国内的任何文章都不能拿做证据。

Sandbox有时单指Sandboxie？你也太高看一个几年前差点破产最后被收购的小众软件厂商了。

Sandbox只意味着一种隔离环境，无论是Sandboxie还是浏览器中的沙箱，本质上都是通过文件系统的重定向和对原有API的Hook及隐藏营造出的隔离运行环境，虚拟机本质上也是Sandbox。Defensewall就是Sandbox，没有所谓的记录操作并回滚，只不过自定义程度高一点，能选择什么行为不重定向，被隔离的程序相互之间不隔离罢了。不知道一开始是那个一知半解的看到官网介绍中的“policy-based restrictions”就造出一个策略限制型沙盘的概念，还脑补了一套完全不对的运行机制。

RollBack和Sandbox是完全不一样的，在病毒运行时，主防只是记录下操作的内容以供分析而已，所有指令都对真实系统造成了影响。这与Sandbox截然不同，Rollback远不如沙盒安全，但换来的就是大大提高的执行效率，兼容性，易用性。CIS这种自动沙盒就不能做到像主防那样全自动静默运行，必须要提示用户哪一个程序已经入沙，不能将更改保存到系统。

总之RollBcak和Sandbox是不同原理的东西，不能扯到一块。你非要强调主防的回滚是基于Sandbox的，给我看出一股优越感来，还是不要对自己的工具产生情绪为好。

www-tekeze

专业挑刺儿 发表于 2018-5-11 13:41
你有点偏激了。
你还是不了解回滚的原理是备份技术，而且回滚是有限制的。
卡巴不可能备份一个程序超过 ...

大体看了下卡巴的回滚，用的是Watch，然后形成记录，最后根据记录去逆向操作，确实不算Sandbox技术，具体的你也已经解释得很清楚了，我不再说。。。好吧，各家都有自己的技术，但这种回滚也算是对效率的妥协吧，只是回滚效果对于覆盖型操作实在不给力啊，但愿卡巴的主防能早点发现恶意行为并终止吧。 但你之前说“为什么主防一定和沙盒有关系？我是没有看出来”，那请教下，主防不跑行为吗？ 如何创建一个模拟实机运行的环境呢？ 离开Sandbox技术行吗？

PS：给你介绍个样本，看下尤金的主防能否提早发现，这是个简单而暴力的勒索程序，对exe、dll一样通吃！ 玩不玩是你的事，偶不负责哈。。。注意：测的是主防，想玩真就别搞假。。http://bbs.huorong.cn/thread-40847-1-1.html

www-tekeze

专业挑刺儿 发表于 2018-5-11 13:41
你有点偏激了。
你还是不了解回滚的原理是备份技术，而且回滚是有限制的。
卡巴不可能备份一个程序超过 ...

火绒官人说什么，我就点点头？ 哈哈，为何选用火绒，这恰恰体现了我有自己的主见，具体原因以后有机会再说吧 (实际在火绒论坛说过的，但算不上系统性的说)，不过也没必要深究了，没有绝对的好与不好，各人选择适合自己的才是真好。。

www-tekeze

ccboxes 发表于 2018-5-11 14:25
主防和沙盒没有任何关系。

对于这种来自国外的概念，国内的任何文章都不能拿做证据。

我说过“Sandbox有时单指Sandboxie”吗？？ 看下34楼好不，我的原话是：“狭义的沙盘可能专指Sandboxie这个软件”，别把我说的“沙盘”替换成“Sandbox”好吗。。。过于理论化的东西，我确定没去深究过，毕竟我的工作是和硬件打交道而不是软件。。。Sandboxie是个什么厂商大体我还知道，始终没花钱用了人家的软件这么多年啊，前面也多次表达了，我看重的是重定向操作与能力，绝不是Sandboxie这个软件或厂商！ 另外，我之前的发言没有粉饰过Sandboxie这个软件和厂商吧？ 同样，你也没必要打击人家啊，好歹在重定向沙盘这种软件上，发展了这么多年，我还找不到能替代它的呢。。。你后面说的重定向是通过对文件、磁盘进行Hook，这些我没意见哈，之前你也说过了，后面也论不到我说。。。至于RollBack，火绒官人的原话用的是“最优方案”，而不是“唯一方案”，意思大不一样。。。

www-tekeze

www-tekeze 发表于 2018-5-11 15:39
我说过“Sandbox有时单指Sandboxie”吗？？ 看下34楼好不，我的原话是：“狭义的沙盘可能专指Sandboxie ...

最后说一句，很多IT方面的东西都是舶来品，之后加入了不少本土化的东西，但 I'm Chinese，接受某些本土化的东西我不反感，最起码贴地气，交流时能找到更多有共同语言的人，毕竟我不是敲代码的程序猿，只是普通的软件爱好者，否则我可能只去看雪而不来卡饭了。。。
PS：但关于RollBack、Sandbox方面的，我会找些资料看下，尽量规范点没有错，感谢楼上两位朋友提醒。。

专业挑刺儿

www-tekeze 发表于 2018-5-11 15:17
大体看了下卡巴的回滚，用的是Watch，然后形成记录，最后根据记录去逆向操作，确实不算Sandbox技术，具体 ...

你狠奇怪啊
主防都是在真是世界里监控样本运行的呀，sandbox实在隔离环境运行样本的。
所以样本对实机做了什么，主防就能监控到什么，就能记录什么行为，所以才能回滚。
按你说的要sandbox技术才能监控，那么各大杀软的文件监控是怎么实践的？普通的文件监控怎么知道硬盘上有文件的修改等操作？难道。。。没有难道，你自己现在也应该觉得着了魔吧。
最基本的加各种钩子，hook，你总该知道吧？最原始的实现文件监控的方法，钩住之后有东西东西了上钩了，软件就知道有事情发生了，就能去主动扫描文件。主防不也是通过类似的方法知道样本做了什么吗？
这之间，，，，，跟sandbox又能有什么关系呢？

另外你的样本太简单了
不要以为行为越多，样本越厉害。真实情况是，行为越多，杀软越容易判断他是恶意的。

对一个入库样本测试卡巴主防太难了。就不做花那个精力了。

www-tekeze

专业挑刺儿 发表于 2018-5-11 15:56
你狠奇怪啊
主防都是在真是世界里监控样本运行的呀，sandbox实在隔离环境运行样本的。
所以样本对实机 ...

关于Hook，截个图吧，文件、磁盘等等都是Shadow Defender的天下，SBie也得靠边站，包括火绒。。。

我之前说：“这是个简单而暴力的勒索程序”，什么称为简单？ 呵呵，你却对我说：“不要以为行为越多，样本越厉害。真实情况是，行为越多，杀软越容易判断他是恶意的。”，嗯，受教了哈，既然你把我看成个小白，继续对话还有意思吗。。     好了，这个帖子我不再顶了，你自已慢慢玩吧。。     补充：后面我还跟了句“对exe、dll一样通吃！”，也就是说连勒索基本的遍历行为都省了，但你还认为人家行为多呢。。
“按你说的要sandbox技术才能监控”？？   额，我说过吗？？ 怎么我都不知道啊。。    算了，走人。。。