问一个很弱智的问题，关于金山毒霸沙箱的问题，急盼各位高手解答！

seehere

你的passallpt如果是本来就在桌面的话，瑞星报是不是主防报的。因为有这些句子
C:\Users\XXX\Desktop\passallpt.exe写文件C:\KSafeBox\3CD38810\Users\XXX\Desktop\aaa.txt
2011-03-19 20:05:42 C:\Users\XXX\Desktop\passallpt.exe创建文件C:\KSafeBox\3CD38810\ataiodrv.sys C:\KSafeBox\3CD38810\ataiodrv.sys
2011-03-19 20:05:42 C:\Users\XXX\Desktop\passallpt.exe写文件C:\KSafeBox\3CD38810\ataiodrv.sys C:\KSafeBox\3CD38810\ataiodrv.sys
2011-03-19 20:05:42 C:\Users\XXX\Desktop\passallpt.exe打开服务ataiodrv ataiodrv
2011-03-19 20:05:42 C:\Users\XXX\Desktop\passallpt.exe安装服务ataiodrv ataiodrv

如果是主防报觉得应该正常。
但如果passallpt没在桌面的话，报就不正常了。

fzq198776

seehere 发表于 2011-3-19 20:30
你的passallpt如果是本来就在桌面的话，瑞星报是不是主防报的。因为有这些句子
C:\Users\XXX\Desktop\pas ...

是主防报的，可是在沙箱里不是应该是一个独立的虚拟环境吗？？怎么其他的安全软件依旧可以拦截沙箱里德病毒呢？？

hzqedison

回复 17楼 fzq198776 的帖子

沙箱是模拟的虚拟路径，瑞星读取的 是沙箱hook的地址。呵呵

也就是说 瑞星读取的是一个 经过沙箱“创造”的真实路径

你想怎样

回复 14楼 q4585406 的帖子

是不是真的 ?  

虚拟机下载病毒都会被实机杀软拦截 ???

举个例子如何

seehere

fzq198776 发表于 2011-3-19 20:32
是主防报的，可是在沙箱里不是应该是一个独立的虚拟环境吗？？怎么其他的安全软件依旧可以拦截沙箱里德病 ...

金山沙箱与虚拟机还是不一样的。不完全独立。
主运行文件仍是实机，但程序的操作（释放文件写文件）会重定向到沙箱得时文件。所以即使释放毒，仍是桌面那个文件释放的，不过放的路径已经不是程序想放的地方的。所以瑞星主防报主文件应该是对的。而且我觉得如果有监视敏感的杀软还应该能报金山的沙箱临时文件有毒。

iippuiui

漏漏更健康

q4585406

回复 24楼 你想怎样 的帖子

实机ESS，开vm虚拟机XP系统，进卡饭下载一个病毒包，下载完后或下载完成的那一刹那会被实机ess拦截。（病毒已入库的情况下）

你想怎样

回复 27楼 q4585406 的帖子

你是不是把在虚拟机下载的软件的路径设置在共享磁盘里面了 ?

如果是这样的话, 实机的杀软应该是能监控到

如果这个路径不是共享磁盘,  那实机杀毒软件也能监控拦截太不可思议了.  

seehere

你想怎样 发表于 2011-3-19 21:23
回复 27楼 q4585406 的帖子

你是不是把在虚拟机下载的软件的路径设置在共享磁盘里面了 ?

应该不是这情况。
据说如果VM是选net方式上网，主机能监控到虚拟机下载时的毒

byxxdrls

回复 29楼 seehere 的帖子

nat方式
好像听说过实机中的杀毒软件能监控到虚拟机上下载的病毒。