为什么现在的安软大多都放弃了本地沙盒呢？

GreatMOLA

前些年的avast有本地沙盒的功能，好像是会把可疑程序先在沙盒运行一遍然后检测行为吧。这种方式我感觉不就是现在的ESET LiveGuard之类的本地化版本吗，这类功能为什么现在都慢慢上云了呢？貌似还在做本地沙盒的就只有comodo了，其他的要么就是沙盒不参与防护，要么就是云端沙盒。
ESET有时候发现可疑程序，自动把文件上传到LG服务器，中间上传的速度真的感人，要是拿到本地沙盒运行不就省掉了上传过程了吗。

些许拙见，请多指教。

orzro

本地沙盒依赖的是本机计算能力和数据库，在线沙盒依赖的是服务器的性能和大数据分析，单论分析水平肯定在线沙盒高啊

GreatMOLA

orzro 发表于 2022-8-15 13:20
本地沙盒依赖的是本机计算能力和数据库，在线沙盒依赖的是服务器的性能和大数据分析，单论分析水平肯定在线 ...

有道理！不过网络一出问题面对未知威胁就很容易嗝屁啊！
没沙盒的话，卡巴这种主防带回滚的也是一个很好的选择！

orzro

其实我个人也觉得反病毒软件需要较强本地主防能力，如果太依赖在线分析处理能力，网络故障或者新病毒把网络阻断，不就完蛋了，虽然这几率不高，但是防病毒怕的就是万一啊。

欧阳宣

本地沙盒很影响本地程序执行的性能啊

想想看wd卡exe在坛子里被喷了多久

多步主防+信誉云的组合足以保证既有联网时的快速响应 又有本地的充足防御 本地沙盒是一个两头都不占的过时技术

anthonyqian

eset没放弃啊… 产品内沙盒技术还在用的。铁壳也没放弃本地沙盒技术的。

GreatMOLA

欧阳宣 发表于 2022-8-17 03:08
本地沙盒很影响本地程序执行的性能啊

想想看wd卡exe在坛子里被喷了多久

是的，所以我觉得卡巴的那种防御思路很值得借鉴，云安全网络+本地主防+回滚。
用沙盒确实很容易卡exe，不过如果将是否进入沙盒分析交给用户选择或者加入黑白名单之类的机制可能会好很多。

GreatMOLA

anthonyqian 发表于 2022-8-17 07:35
eset没放弃啊… 产品内沙盒技术还在用的。铁壳也没放弃本地沙盒技术的。

ESET非企业版有本地沙盒吗，不是只有LG云沙盒吗
是的，了解了一下，发现BD也保留了本地沙盒

wohaofan1200

主要是考虑本地沙河占用大拖慢系统影响客户体验，其次是本地容易被针对

GreatMOLA

wohaofan1200 发表于 2022-8-17 10:17
主要是考虑本地沙河占用大拖慢系统影响客户体验，其次是本地容易被针对

所以说如果要做本地沙盒，一是要做好占用控制，不是所有程序都需要进入沙盒分析；二是要做好反检测反逃逸。
做一个好的本地沙盒确实不是一件容易的事情又要保证用户体验还得保证进入沙盒的程序的行为与实体机一致。