comodo沙盤的Leaktests測試

akuma

列出的項目都是沒通過的項目
手動在沙盤內選取一個程式：低權限等級
8. Invasion: FileDrop
13. Injection: Services
24. Impersonation: DDE
27. Hijacking: WinlogonNotify
28. Hijacking: Userinit
29. Hijacking: UIHost
30. Hijacking: SupersedeServiceDll
31. Hijacking: StartupPrograms
32. Hijacking: ChangeDebuggerPath
33. Hijacking: AppinitDlls
34. Hijacking: ActiveDesktop
Score    230/340

手動在沙盤內選取一個程式：不信任等級
8. Invasion: FileDrop
13. Injection: Services
27. Hijacking: WinlogonNotify
28. Hijacking: Userinit
29. Hijacking: UIHost
30. Hijacking: SupersedeServiceDll
31. Hijacking: StartupPrograms
32. Hijacking: ChangeDebuggerPath
33. Hijacking: AppinitDlls
34. Hijacking: ActiveDesktop
Score    240/340

手動用右鍵選取Leaktests測試程式
8. Invasion: FileDrop
13. Injection: Services
24. Impersonation: DDE
27. Hijacking: WinlogonNotify
28. Hijacking: Userinit
29. Hijacking: UIHost
30. Hijacking: SupersedeServiceDll
31. Hijacking: StartupPrograms
32. Hijacking: ChangeDebuggerPath
33. Hijacking: AppinitDlls
34. Hijacking: ActiveDesktop
Score    230/340

自動把未辨別的程式執行於沙盤
7. Invasion: PhysicalMemory
24. Impersonation: DDE
Score    320/340

4種測試都是COMODO4.1的沙盤預設模式，沒有任何更改
低權限等級和不信任等級竟然只差10分
手動用右鍵選取沙盤Leaktests測試，也只得230分
估計它的預設值應該也是低權限等級
但自動把未辨別的程式執行於沙盤模式
居然比不信任等級模式分數更高...
我之前一直以為手動添加程式進入沙盤和自動進入沙盤是一樣的
但測試完才知道居然分別這麼大...
而不用沙盤直接測試Leaktests 就340滿分

darkwolf_99

因为很多项测试是写文件和注册表，在沙盘里都虚拟了，当然通不过，自然分就低了，但不代表防御降低，因为并没有写实机

akuma

回复 2# darkwolf_99 的帖子
不過我最搞不懂的是手動和自動添加入沙盤
有很明顯的差別...這到底是差別在哪 ＝ ＝

   

柯林

回复 3# akuma 的帖子
可能是：
手动添加，已经指定了权限，一般不会最低
自动添加，可能会调用内部黑白名单进行判定，危险及不明程序会尽可能地降低权限；测试程序在黑名单中应该近视于病毒，自动判定应该会按病毒处理

顺便补充下，如果p2p等软件自动运行于沙盘有问题，请手动添加在沙盘里并给予低权限，问题一般会解决

   

darkwolf_99

回复 3# akuma 的帖子

沙盘的自动或手动设置里有没有勾选注册表和文件的虚拟化？

pastport

那个leaktest没有针对沙盘做更新
使用沙盘的话
成绩低很正常
另外CIS自动加入沙盘运行的程序
是没有开启文件和注册表虚拟化的
成绩变化很大

dzw

问个小白的问题：怎样设置毛豆沙盘让它能模拟注册表的I/O？

akuma

to darkwolf_99 沙盤都是預設的設定，所以應該都有虛擬化
to 柯林,pastport 感謝解答～
COMODO往沙盤發展絕對是正確的，不過還有很大的進步空間
像目前這樣的設定，手動添加就完全無法達到自動運行的效果
而且毛豆也無法自訂排除於沙盤外的程式～