“自动检测安装/升级程序并将它们运行于沙盒以外”去掉后，安装程序是否要退出毛豆？

72380656

看了论坛老大的文章“CIS沙盒其实也很强”后有点疑问，“自动检测安装/升级程序并将它们运行于沙盒以外”去掉后，如果安装程序是否要退出毛豆才行？

ALEXBLAIR

看了论坛老大的文章“CIS沙盒其实也很强”后有点疑问，“自动检测安装/升级程序并将它们运行于沙盒以外”去 ...
72380656 发表于 2010.7.2 09:04

不是这样的
从实验后的结果看，CIS的沙盘有一个逻辑漏洞。
假设程序A你不信任，然后（自动、手动）丢入沙盘。按照我们的想法是，这个程序所有的行为都会在沙盘的监控下进行隔离。

但是，当这个选项被选中时，就会有意外产生。

比如，程序A，调用了某个setupB,但是SetupB是有签名的（CIS默认把有签名的文件都认为是安全的），那么SetupB所执行的部分就会在沙盘外。

这种做法看似很合理，其实隐患很大。

举个不是很恰当的例子：（这个问题CIS已经黑名单处理了）
rundll32.exe是标准的系统文件，但是他只是一个loader,由于CIS只是判断主文件的属性，也就是loader的属性，自然把它当作可信任的对待，将其移到沙盘外。

但是，如果rundll32.exe load的是一个木马dll，那就是在沙盘外执行这东西了。

同理，即使setup安全，你也会遇到一些可能不愿意看到的程序，比如国内不少流氓软件的安装包其实是有数字签名的，比如N年前的3721就是一个典型的例子（近几年的流氓避免5毛口水就不举例了）

72380656

学习了

baerzake

回复 3楼 72380656  的帖子


    无需那么麻烦，你可以点击下次在沙盘外运行，然后退出重新运行就可以安装了。

baerzake

程序A，调用了某个setupB,但是SetupB是有签名的（CIS默认把有签名的文件都认为是安全的），那么SetupB所执行的部分就会在沙盘外。

回复 3楼 72380656  的帖子

楼主我想问一下，这里得出的结论是否是测试过？因为comodo官方称未知程序在沙盘中调用信任程序那么信任程序也会在沙盘中运行的，另外comodo并不默认信任所有有签名的程序，而只是信任签名在其信任软件厂商列表中的程序。所以这里需要和你核实一下。

72380656

回复 4楼 baerzake  的帖子

嗯，对，还是你有经验
   

柯林

回复 2楼 ALEXBLAIR  的帖子
好久不见了，罗大！

   

baerzake

程序A，调用了某个setupB,但是SetupB是有签名的（CIS默认把有签名的文件都认为是安全的），那么SetupB所执行 ...
baerzake 发表于 2010.7.2 10:04

我特意做了一个实验，证明即使是在comodo的信任软件厂商列表中，如果是沙盘中程序调用的话一样是在沙盘中运行的。

实验如下：下载process explorer汉化版，运行后提示在沙盘中运行，然后用PE调用火狐【在信任厂商列表】，此时查看日志可以发现火狐一样受到了沙盘的限制，被阻止的行为出现在了日志中，如果直接运行火狐是没有任何日志的，也就是说不会阻止任何动作。
FF被调用后的日志


下图看到FF由PE调用


个人浅见，和萝莉探讨，欢迎萝莉成为毛豆一员

lovezoupan

看来沙盘 安全性还是不错的啊

ALEXBLAIR

回复 7楼 柯林  的帖子


    嘿嘿~~