Re: [問題] 怕中毒如果不用沙盒,防毒推薦?

作者: mayuyu ((・ω・)ノ)   2016-05-24 17:27:38
※ 引述《nmcat (打瞌睡的貓)》之銘言:
: 最近版上勒索軟體的攻擊災情不斷
: 有朋友上班的公司就發生了!
: 現在的防毒軟體應該都差不多了吧
: 除了基本的病毒防護惡意網站過濾行為偵測
: 應該也都要有才算的上是好的軟體了
: 有朋友建議說若會害怕
: 可以弄個沙盒來玩
: 把不清楚又想點的連結弄在沙盒裡開
: 就知道是不是中毒了
: 我自己估狗覺得有點難就是
: 有沒有付費防毒推薦
: 防護措施比較完善的
: 不然沙盒亂用等下搞死自己~
沙盒不會複雜啦,以Sandboxie為例,
裝好以後在檔案上右鍵「從沙盒中開啟」就可以了。
或者可以改瀏覽器捷徑,捷徑的目標改為
"C:\Program Files\Sandboxie\Start.exe"
/box:指定的沙盒 /nosbiectrl
"瀏覽器的路徑\iexplore.exe或chrome.exe或firefox.exe"
以上三行接起來。
這樣點瀏覽器的捷徑圖示就會自動用指定的沙盒開啟了。
其他其實不太需要設定,為了方便,
可以加個讓沙盒直接存取瀏覽器的設定資料夾和下載資料夾,
其他快取和暫存的檔案都留在沙盒裡,這樣要清理反而很方便,
直接清空沙盒就好了。
不過Sandboxie會和部分防毒軟體衝突,例如卡巴斯基2016,
所以要使用SBIE前先確定系統的防毒可以搭配SBIE。
Sandboxie原本和其他沙盒軟體一樣是使用系統核心層的鉤子,
Sandboxie 4.x版之後改成利用Windows本身的安全機制,
把沙盒裡的程式的安全層級設為最低的Untrusted和NT AUTHORITY\
ANONYMOUS LOGON群組,在這種情況下程式根本無法正常運作,
所以要透過SBIE在使用層的鉤子SbieSvc來幫它取得訪問系統的權限。
所以SBIE其實不是一個阻擋器或限制器,相反的
沙盒裡的程式反而是靠SBIE來幫它打開窗口,
才能取得訪問系統的權限。
沒有SBIE居中幫忙,沙盒裡的程式什麼事也做不了。
也因為如此,即使SbieSvc不幸當掉了,沙盒裡的程式還是被鎖在沙盒裡,
沒有了SbieSvc,沙盒裡的程式就無法和外界溝通,直接變成了廢物。
另一個利用Windows本身安全層級和群組機制的沙盒是ReHIPS,
ReHIPS認為SBIE的點子很棒,
但是直接打入Untrusted和NT AUTHORITY\ANONYMOUS LOGON群組,
程式什麼事也做不了,變成需要SbieSvc來開放功能和權限,
而這個開放的規則列表會非常複雜,
開放的某些功能交互組合可能會提供意想不到的逃出漏洞,
而龐大的規則列表和程序間的通訊也可能會帶來執行效能的下降。
不過目前已知會產生漏洞的API都被SBIE禁止了,
此外實際使用上也感覺不出有顯著的效能下降。
所以以安全性和方便性來說,我還是推薦SBIE。
另外還有一個已經不再維護的軟體Secure Folders,
它可以鎖住資料夾只允許特定程式存取,
甚至可以直接指定附檔名只允許特定程式存取,
例如音樂資料夾或.mp3只允許指定的播放軟體存取,
其他軟體都不能讀寫這些資料夾或檔案。
這個軟體經過實測也可以保護檔案不被加密,
但是對修改MBR直接重開機在進入作業系統前加密的軟體無效,
還有它已經不再維護了,所以對於將來的加密勒索軟體不一定有用。
其他還有類似的軟體例如Easy File Locker,
但是Easy File Locker也不能阻擋底層磁碟寫入,
所以我覺得......還是用SBIE吧。
作者: ikuJJ (暗夜行者)   2016-05-24 20:47:00
記得卡巴之前有說會改善和sandboxie的相容性,但改到現在....
作者: mayuyu ((・ω・)ノ)   2016-05-24 21:41:00
因為卡巴2016改版和系統核心掛勾太深了 SBIE說很難處理從去年到現在我已經放棄了 看今年八月的2017會不會修正明明多年來都相安無事的說......
作者: abyz (妳們來吃烤雞吧)   2016-05-25 00:11:00
我也是KIS2016跟SBIE最新版一直相衝 以前用2015相安無事後來在國外網站看到說SBIE v3.76能相容卡巴 之後版本就不行安裝後的確能在KIS2016下開啟了 但用舊版SBIE總是心裡不放心
作者: yzukv (しりあナドレイ)   2016-05-26 18:46:00
推一下這篇!希望新的卡巴2017跟Sandboxie新版能相容
作者: abyz (妳們來吃烤雞吧)   2016-05-26 22:04:00
原來新版是這種hook方式 謝謝麻友桑的詳細分析 長見識了那這樣為了兼容KIS2016 用3.76版SBIE 就失去防護意義了...
作者: George017 (阿丙)   2016-05-26 22:35:00
那ReHIPS或是SBIE如果要進行高權限操作時又該如何?
作者: tony816 (阿育王)   2016-06-07 14:51:00
新手請教一下能否用sandboxie配comodo firewall 謝謝

Links booklink

Contact Us: admin [ a t ] ucptt.com