作者wwman (记忆拼图)
看板AntiVirus
标题[问题] 请问现在 沙盒 是最好的防勒索方式吗?
时间Mon Jan 9 13:25:06 2017
有没有 有经验的大大分享一下
现阶段的电脑该怎麽样防勒索呢?是用所谓的 沙盒 沙箱吗?
本人是用Windows XP
请问一下 要去哪找沙盒 沙箱 来安装? 本身用360的防毒也有个内建沙箱
但是好像大家是用别款的沙盒 另外沙盒是免费软体还是要花钱注册呢?
或者沙盒的操作方法影片的教学呢? 知道网路上也是有资讯 但是好像是各种不同品牌的
的资讯 也看不太懂 要用哪一种 所以想请比较有经验的大大 可否教学一下
要用哪种沙盒比较好 跟怎麽使用呢
直接安装哪个程式? 然後用沙盒开启一个chrome 或IE浏览器吗? 设定要注意哪些呢?
可以用这样就安全了吗?就不怕中毒跟勒索了吗? 这样就可以看线上影片吗?
现在很多线上影片很多广告弹出 也有中毒过!
麻烦厉害的大大请告知 先谢谢 另外P币可能也不太够
大概只能回馈分享资讯的大大500P~1000P的P币 以表感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.241.6.170
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1483939510.A.665.html
1F:→ SakeruMT: 至少先升到Win 7吧,XP太老旧,防御软体也会渐渐不支援 01/09 13:48
2F:→ SakeruMT: ,砂盒就是让你把陌生的程式丢进去跑过一遍,万一中勒 01/09 13:48
3F:→ SakeruMT: 索病毒把砂盒抹除就好。比较着名的就是Sandboxie跟Como 01/09 13:48
4F:→ SakeruMT: do内建的砂盒功能。 01/09 13:48
5F:→ SakeruMT: 面对勒索软体,最基本的异地备份工作肯定要做,纵然现 01/09 13:50
6F:→ SakeruMT: 在防毒有行为防御或启发式防御,仍然有第一时间受到感 01/09 13:50
7F:→ SakeruMT: 染的苦主产生,再好的防毒软体,也抵不过使用者一次的 01/09 13:50
8F:→ SakeruMT: 失误 01/09 13:50
9F:→ SakeruMT: 另外一个小故事是曾有勒索软体过砂,我印象中苦主是Ava 01/09 13:53
10F:→ SakeruMT: st,它侦测到可疑软体自动入砂测试,结果测试没发现问 01/09 13:53
11F:→ SakeruMT: 题就自动放出来本机运行,然後就中了... 01/09 13:53
12F:→ wwman: 请问楼上 不能永久在沙盒内测试吗?不是有些软体会过阵子 01/09 14:38
13F:→ wwman: 才会中毒 才会勒索 不会马上中毒 不是吗?那样你怎麽判断的? 01/09 14:38
14F:推 mayuyu: 沙盒目前最常用的是Comodo和Sandboxie 01/09 15:42
15F:→ mayuyu: Comodo是自动沙盒 凡是未知程式会自动丢沙盒处理 01/09 15:42
16F:→ mayuyu: 直到程式运行结束 所以不会有放出来的问题 01/09 15:42
17F:→ mayuyu: 它的弱点可能是病毒黑加白 被Comodo的白名单放行 01/09 15:43
18F:→ mayuyu: 所以没有被自动放入沙盒 但是只要有进沙盒 01/09 15:43
19F:→ mayuyu: 病毒就没有机会 YouTube搜寻cruelsister1 01/09 15:43
20F:→ mayuyu: cruelsister1有制作一个建议的Comodo设定影片 01/09 15:44
21F:→ mayuyu: 照影片设定就不会有问题 01/09 15:44
22F:→ mayuyu: Sandboxie的使用方法和用途和Comodo有些不一样 01/09 15:44
23F:→ mayuyu: Sandboxie是由使用者一开始就将浏览器、Office、PDF 01/09 15:44
24F:→ mayuyu: 这些会引进病毒的程式或档案放在沙盒里执行 01/09 15:45
25F:→ mayuyu: (付费版可以设定 指定的程式不论从何处开启 01/09 15:45
26F:→ mayuyu: 只要在系统上一起动就会强制进入指定的沙盒 01/09 15:45
27F:→ mayuyu: 或者是指定的资料夹底下的档案或程式 01/09 15:45
28F:→ mayuyu: 只要一开启就自动进入指定的沙盒中运行 01/09 15:45
29F:→ mayuyu: 这样就不需要使用者手动将程式放入沙盒) 01/09 15:45
30F:→ mayuyu: 沙盒内的程式对系统所做的修改、下载的资料 01/09 15:46
31F:→ mayuyu: 或者触发的程式也通通都关在虚拟的沙盒里 01/09 15:46
32F:→ mayuyu: 所以如果浏览器下载和触发了病毒 01/09 15:46
33F:→ mayuyu: 病毒也只能待在沙盒里而无法对真实系统进行破坏 01/09 15:46
34F:→ mayuyu: Sandboxie还带有anti-exe的功能 可以强化沙盒的限制 01/09 15:46
35F:→ mayuyu: 除了使用者设定放行的程式 禁止其他程式在沙盒内启动 01/09 15:46
36F:→ mayuyu: 譬如说浏览器的沙盒内只允许chrome.exe和输入法的程式启动 01/09 15:46
37F:→ mayuyu: 所以如果病毒想要利用rundll32.exe 或者修改iexplore.exe 01/09 15:47
38F:→ mayuyu: 都会被禁止而无法运行 01/09 15:47
39F:→ mayuyu: 本来病毒即使运行也都是在沙盒内 无法破坏真实系统 01/09 15:47
40F:→ mayuyu: 强化限制後病毒连启动都有困难 基本上就完全没有机会 01/09 15:47
41F:→ mayuyu: Sandboxie使用上比较方便的地方是 01/09 15:47
42F:→ mayuyu: 它可以快速将沙盒内的资料还原到真实系统 01/09 15:47
43F:→ mayuyu: 也可以设定让沙盒内的程式能直接存取指定的资料夹 01/09 15:48
44F:→ mayuyu: 譬如说让浏览器能直接存取、修改真实系统的浏览器设定档 01/09 15:48
45F:→ mayuyu: 部分下载资料如果确定是安全的绝对没有病毒 01/09 15:48
46F:→ mayuyu: 可以将下载资料直接写进真实系统的特定资料夹 01/09 15:48
47F:→ mayuyu: 这样就不用在清空沙盒之前还要先还原这些资料回真实系统 01/09 15:48
48F:→ mayuyu: 另外Sandboxie还有一个功能是程式多开 01/09 15:48
49F:→ mayuyu: 可以将程式安装在不同沙盒里 在系统上同时开启多个相同程 01/09 15:49
50F:→ mayuyu: 所以Sandboxie的使用方法和用途 和Comodo有些不太一样 01/09 15:49
51F:推 mayuyu: 还有作业系统最好升级到WIN7以上 因为Sandboxie这些 01/09 16:20
52F:→ mayuyu: 沙盒的设计 都需要用到Vista/WIN7以上作业系统的功能 01/09 16:20
53F:→ mayuyu: 即使沙盒有支援XP 在XP底下沙盒的安全性也会比较差 01/09 16:20
54F:→ cys070: 其实近期comodo的辨识器和防毒(你有用的话),也增加辨识度 01/09 16:20
55F:→ mayuyu: 譬如说Sandboxie在Vista/WIN7以上是利用作业系统 01/09 16:20
56F:→ mayuyu: 的安全层级机制 沙盒内的程式从一开始就没有任何权限 01/09 16:21
57F:→ mayuyu: 是靠Sandboxie帮它向作业系统转发要求 01/09 16:21
58F:→ mayuyu: 沙盒内的程式才能正常运行 即使Sandboxie程式当机了 01/09 16:21
59F:→ mayuyu: 也不用担心沙盒内的程式跑出来 因为没有Sandboxie 01/09 16:21
60F:→ mayuyu: 沙盒内的程式就变成废物 没有任何权限 连运行都无法运行 01/09 16:21
61F:→ mayuyu: 新版的(4以上的)Sandboxie并不是一个阻挡器或者限制器 01/09 16:21
62F:→ mayuyu: 相反的 它是沙盒内程式赖以运行的必需品 01/09 16:21
63F:→ mayuyu: 阻挡或限制终有疏漏 所以新一代的沙盒设计例如Chrome 01/09 16:21
64F:→ mayuyu: 都是采用这种利用作业系统底层安全性层级机制的设计 01/09 16:22
65F:→ mayuyu: 在XP上就无法使用这些功能架构 所以建议最好更换作业系统 01/09 16:22
66F:→ cys070: 其实我是比较建议用comodo 01/09 16:49
67F:→ cys070: 平常也不用自己特别把浏览器入沙,碰到有问题就被放进去 01/09 16:51
68F:→ cys070: 一般使用还会开HIPS和防毒,这些也可以辅助 01/09 16:52
69F:→ cys070: 都被过就轮自动沙盒出场 01/09 16:52
70F:→ cys070: 前面讲测试,那位看他是刻意测试沙盒能防到什麽地步 01/09 16:53
71F:→ cys070: 关闭comodo其他功能 01/09 16:53
72F:推 mayuyu: SBIE和Comodo的沙盒在用途上有些不一样 01/09 20:14
73F:→ mayuyu: 也有人是两种都使用(Comodo调整设定可以和SBIE相容) 01/09 20:14
74F:→ mayuyu: Comodo的用途比较倾向於防御未知程式 01/09 20:14
75F:→ mayuyu: 执行未知程式的时候自动进入沙盒 01/09 20:14
76F:→ mayuyu: 沙盒主要是监控用 用完就清空 不保留沙盒内的资料 01/09 20:14
77F:→ mayuyu: 而SBIE的用途比较像是在系统中开辟一个孤立的空间 01/09 20:15
78F:→ mayuyu: 让程式在这个隔离的空间中运行 01/09 20:15
79F:→ mayuyu: 它的用途很多 除了防止病毒破坏真实系统 还可以 01/09 20:15
80F:→ mayuyu: 1.多开程式 可以建立好几个沙盘 01/09 20:15
81F:→ mayuyu: 例如游戏1 游戏2 游戏3 同时开启三个同样的游戏练功 01/09 20:15
82F:→ mayuyu: 2.测试程式 想安装新程式 程式没有毒 01/09 20:15
83F:→ mayuyu: 但是不希望装太多东西 在系统中留下太多垃圾 01/09 20:16
84F:→ mayuyu: 用完就删希望清除得乾乾净净 就像从来没有安装过 01/09 20:16
85F:→ mayuyu: 可以把程式安装在沙盒中 用完要删除直接清空沙盒即可 01/09 20:16
86F:→ mayuyu: 3.限制程式 可以禁止程式存取指定的档案、资料夹、 01/09 20:16
87F:→ mayuyu: 登录档键值、IPC通讯、COM物件、网际网路存取 01/09 20:16
88F:→ mayuyu: 或者是和系统中其他不在沙盘中的程式沟通 01/09 20:17
89F:→ mayuyu: 这个功能可以用来做很多事......。 01/09 20:17
90F:→ mayuyu: SBIE是一开始就让程式入沙 所以没有白名单漏掉入沙的问题 01/09 20:17
91F:→ mayuyu: 让程式一开始就入沙听起来好像很麻烦 01/09 20:18
92F:→ mayuyu: 但其实所谓的入沙只是进入一个隔离的空间 01/09 20:18
93F:→ mayuyu: 程式使用上和运行在真实系统中没有分别 01/09 20:18
94F:→ mayuyu: 通过设定也可以让沙盘中的程式直接存取指定的资料夹 01/09 20:18
95F:→ mayuyu: 将资料直接写入真实的系统 01/09 20:18
96F:→ mayuyu: 也可以等之後再把沙盘中的资料还原回真实系统 01/09 20:19
97F:→ mayuyu: 所以沙盒内的操作是可以保留的。 01/09 20:19
98F:→ mayuyu: 它可以用一用就丢 也可以把需要的资料保留 01/09 20:19
99F:→ mayuyu: 甚至是将确定安全的资料直接写进系统。 01/09 20:19
100F:→ mayuyu: 付费版可以强制程式在指定的沙盘中开启 01/09 20:19
101F:→ mayuyu: 例如强制firefox.exe在「Firefox」这个沙盘中开启 01/09 20:20
102F:→ mayuyu: 则系统上不论哪一个程式呼叫启动firefox.exe 01/09 20:20
103F:→ mayuyu: 只要firefox.exe启动就一定在「Firefox」沙盘中启动。 01/09 20:20
104F:→ mayuyu: 免费版没有这个功能 不过可以在程式上右键 01/09 20:21
105F:→ mayuyu: 选「从沙盘中开启」 或者是将Firefox的快捷 01/09 20:21
106F:→ mayuyu: 修改为"C:\Program Files\Sandboxie\Start.exe" 01/09 20:21
107F:→ mayuyu: /box:Firefox /nosbiectrl /hide_window 01/09 20:21
108F:→ mayuyu: "C:\Program Files\Mozilla Firefox\firefox.exe" 01/09 20:22
109F:→ mayuyu: 这样点击这个快捷也会自动从沙盘中启动。 01/09 20:22
110F:→ mayuyu: 所以要让指定程式入沙不会很麻烦 实际操作和日常一样 01/09 20:22
111F:→ mayuyu: 两个沙盒用途有些不同 可以的话两个都推荐试试看。 01/09 20:22
谢谢mayuyu大 先给您700p币 谢谢分享资讯
※ 编辑: wwman (123.241.6.170), 01/09/2017 21:43:39
112F:→ wwman: 也有给1F sakeruMT大 300P 也是感谢分享资讯 01/10 01:47
114F:→ abramtw: tml 01/10 03:59
115F:推 mathrew: 装 comodo 吧, 企业版的 Comodo 号称 你中勒索软体,就 01/10 19:42
116F:→ mathrew: 赔偿你 5000 镁 01/10 19:42