BUG还是漏洞：跟我一起轻轻松松过毛豆沙盘 征求验证

hlytg

      相信很多人有这样的经历：浏览网页，从网页中点击下载链接自动由下载工具下载软件，然后进入下载工具中，用下载工具自带的打开文件夹功能打开下载软件所在的文件夹。
      现在我们开始过毛豆沙盘：打开卡饭，从病毒样本区（或其他地方下载一个不带数字签名的压缩包）下载一个样本压缩包，用上面的方法进入样本目录，用winrar或其他解压工具解压，完成之后稍等一会，你再去看毛豆中的“受信任的文件”中是否已经出现了刚才解压出现的病毒样本（或文件）。此时你双击样本，毛豆会把它当作是信任的，当然此处讨论的过沙盘，不大可能过D+和AV。
       PS：验证或测试病毒样本最好在虚拟机中进行。
        如果验证属实，建议暂时勾去Sandbox设置中的"自动信任那些来自可信安装程序的文件"并向官方反映能否在"自动信任那些来自可信安装程序的文件"的后面增加一个排除项，用来排除可信的下载工具调用可信的explorer，然后再调用可信的winrar解压出可信的下载文件（有可能是病毒文件哟！）。

11.27 8：30 刚才用同一台机子重新验证了一次，不再出现这种情况，真是诡异，猜测与云有关
         10：55刚才下载了一个压缩包，又出现了上述情况，日志中没有与云有关的内容，费解
附上图片：
       卡饭上的病毒样本，感谢样本作者guwurong

第六张跑到最前边来了，将就看吧

群心璀璨

表示很震惊，毛豆安全模式也太“智能”了吧？！

mxf147

没有测试，真的吗？

slm513

回复 1楼 hlytg 的帖子

你的意思是毛豆把winrar解压出来的文件判断为安装程序了？

lixiang1977

我和你的实验结果刚刚相反，解压的文件会被自动添加到不能识别的文件中！

dfyd007

现在还V3，但V4、V5也都用了一小下，貌似V5还有些BUG吧？
楼主说的沙盘也用过一下，比如把IE一直放在沙盘中。这个功能好像还有个选项就是那个下载的文件是否沙盘吧？楼主是不是先说说这个前提？

hlytg

回复 6楼 dfyd007 的帖子

IE没有放在沙盘中，下载的文件也没有在沙盘中。

hlytg

回复 4楼 slm513 的帖子

偶的意思是毛豆把winrar解压出来的文件判断为受信任的文件 了

slm513

回复 8楼 hlytg 的帖子

那你说的“建议暂时勾去Sandbox设置中的"自动信任那些来自可信安装程序的文件”？

hlytg

回复 9楼 slm513 的帖子

偶做过测试，勾去Sandbox设置中的"自动信任那些来自可信安装程序的文件”，同样的操作在“受信任的文件”就不会出现