那个样本，comodo开启沙盘的话，应该是穿越了沙盘和d+。

liudianshui

如下步骤，1，添加非系统盘组，如，d:\*,e:\*...,并将该组添加到受保护的文件里面，

2，开启沙盘，并调节到不信任级别，关闭云。

3，运行样本，comodo弹框告之，样本运行在沙盘中，

关闭样本进程，在查看你的非系统盘，每个盘下面会创建一个名字为“您电脑中存储了未经我公司许可的软件，所以您的电脑中文件已经加密而且已隐藏，请您尽快联系zydaw@yahoo.com.cn获取解决办法！”的文件夹。

按照原来的一直说法，
如果沙盘被过，那么d+会起作用的，结果确是，穿过沙盘，d+没有也没有任何提示，就在受保护的文件里添加了几个文件夹。好在并没有在实机进行文件“写”操作。


如果关闭沙盘，是不会出现这样的状况的，每一个新建文件夹都会提示。

看来沙盘和d+的配合应该是有疏漏的地方。

闪人。

zxzy

..我就是用沙盘测试的。。。不过我没有那个您电脑中存储了未经我公司许可的软件，所以您的电脑中文件已经加密而且已隐藏，请您尽快联系zydaw@yahoo.com.cn获取解决办法！的文件夹、、我用*\*.*监控发现。。会被过。。继续改成*结果还是。。没有用虚拟机测试是因为我才刚卸载没多久   。。。   我还以为真的被过了。。

qqq123123

如下步骤，1，添加非系统盘组，如，d:\*,e:\*...,并将该组添加到受保护的文件里面，

2，开启沙盘，并调节 ...
liudianshui 发表于 2010.10.5 19:55

最新通用规则完美防御该小马！···

sdc6882278

COMODO沙盘的工作机制：

*.将程序看做一个具有受限系统用户账户权限和“windows job”权限的“windows job”。



*.文件虚拟化。文件重定向至C:\Sandbox下。



*.注册表虚拟化。注册表键值重定向至 Hkey_local_machine\system\sandbox\[app name]\[app created keys]。



*.关于D+限制的特别设定。技术上说，技术上来说，在沙盘中运行的软件能够写硬盘但是它无法做到：a.写入（比如感染）被CIS保护的文件和注册表键值。b.获取管理员特权。c.消耗大量系统资源。d.键盘记录或者屏幕抓取，安装windows钩子，访问受保护的COM接口以及直接在内存中访问运行在沙盘外的程序。

在下貌似想到一件事情，毛豆是不监控文件夹的创建，除非在规则里加|，因此被穿的原因大概在这里，要是文件的话，没准会被挡下来，在下对那个样本能穿透沙盘感到很好奇，因为这个毛豆的沙盘可是连ring0的木马都比较难穿的耶

附加流程图一张

darkwolf_99

回复 1楼 liudianshui  的帖子


    这个测试不能说是穿了沙盘，因为如果进程自动进沙盘，毛豆是不启用注册表和文件虚拟化，从测试版到正式版都是这样，除非手动加入程序进沙盘

sdc6882278

回复 5楼 darkwolf_99  的帖子
这个测试不能说是穿了沙盘，因为如果进程自动进沙盘，毛豆是不启用注册表和文件虚拟化，从测试版到正式版都是这样，除非手动加入程序进沙盘那么请问没有注册表和文件虚拟的化，这个沙盘除了d+严格限制以外，貌似没其他用了吗?请大神解答。
经在下实验证明，5楼的大神说的是正确的，那么毛豆这个地方出现了一个问题，为什么自动进沙盘不开启虚拟化呢，不过在d+的日志中发现了程序的行为，也就是说虽然没开起虚拟化，但是会在日志中记录下他的全部行为。可否这样认为?

   

darkwolf_99

回复 6楼 sdc6882278  的帖子


    毛豆一直想提高hips的易用性，可能开发者认为如果对自动进沙盘的进程启用虚拟化，该进程创建的一些文件，如用户的程序配置文件，都在沙盘的路径里，在正常路径下没有，对虚拟化不了解的部分用户来讲，降低了易用性。其实可以多个选项，是否把自动进沙盘的进程虚拟化，呵呵

sdc6882278

回复 7楼 darkwolf_99  的帖子
在下也深有同感，因为以前都认有虚拟化的沙盘，就可以基本上杜绝恶意程序留下来的垃圾文件，看样子要改进在下的fd规则了。谢谢解答。

   

491866227

一般用手动的，comodo的沙盘基本没什么用处。

抓抓

。

曾经特意开sandbox测试一个样本(样本名字忘记了)，，也发现过这个问题。。。

从开始到结束，俺对sandbox都没什么兴趣，，，

甚至有时候都无法理解喜欢用沙盘的同学们。。。