→ SakeruMT: 至少先升到Win 7吧,XP太老舊,防禦軟體也會漸漸不支援 01/09 13:48
→ SakeruMT: ,砂盒就是讓你把陌生的程式丟進去跑過一遍,萬一中勒 01/09 13:48
→ SakeruMT: 索病毒把砂盒抹除就好。比較著名的就是Sandboxie跟Como 01/09 13:48
→ SakeruMT: do內建的砂盒功能。 01/09 13:48
→ SakeruMT: 面對勒索軟體,最基本的異地備份工作肯定要做,縱然現 01/09 13:50
→ SakeruMT: 在防毒有行為防禦或啟發式防禦,仍然有第一時間受到感 01/09 13:50
→ SakeruMT: 染的苦主產生,再好的防毒軟體,也抵不過使用者一次的 01/09 13:50
→ SakeruMT: 失誤 01/09 13:50
→ SakeruMT: 另外一個小故事是曾有勒索軟體過砂,我印象中苦主是Ava 01/09 13:53
→ SakeruMT: st,它偵測到可疑軟體自動入砂測試,結果測試沒發現問 01/09 13:53
→ SakeruMT: 題就自動放出來本機運行,然後就中了... 01/09 13:53
→ wwman: 請問樓上 不能永久在沙盒內測試嗎?不是有些軟體會過陣子 01/09 14:38
→ wwman: 才會中毒 才會勒索 不會馬上中毒 不是嗎?那樣你怎麼判斷的? 01/09 14:38
推 mayuyu: 沙盒目前最常用的是Comodo和Sandboxie 01/09 15:42
→ mayuyu: Comodo是自動沙盒 凡是未知程式會自動丟沙盒處理 01/09 15:42
→ mayuyu: 直到程式運行結束 所以不會有放出來的問題 01/09 15:42
→ mayuyu: 它的弱點可能是病毒黑加白 被Comodo的白名單放行 01/09 15:43
→ mayuyu: 所以沒有被自動放入沙盒 但是只要有進沙盒 01/09 15:43
→ mayuyu: 病毒就沒有機會 YouTube搜尋cruelsister1 01/09 15:43
→ mayuyu: cruelsister1有製作一個建議的Comodo設定影片 01/09 15:44
→ mayuyu: 照影片設定就不會有問題 01/09 15:44
→ mayuyu: Sandboxie的使用方法和用途和Comodo有些不一樣 01/09 15:44
→ mayuyu: Sandboxie是由使用者一開始就將瀏覽器、Office、PDF 01/09 15:44
→ mayuyu: 這些會引進病毒的程式或檔案放在沙盒裡執行 01/09 15:45
→ mayuyu: (付費版可以設定 指定的程式不論從何處開啟 01/09 15:45
→ mayuyu: 只要在系統上一起動就會強制進入指定的沙盒 01/09 15:45
→ mayuyu: 或者是指定的資料夾底下的檔案或程式 01/09 15:45
→ mayuyu: 只要一開啟就自動進入指定的沙盒中運行 01/09 15:45
→ mayuyu: 這樣就不需要使用者手動將程式放入沙盒) 01/09 15:45
→ mayuyu: 沙盒內的程式對系統所做的修改、下載的資料 01/09 15:46
→ mayuyu: 或者觸發的程式也通通都關在虛擬的沙盒裡 01/09 15:46
→ mayuyu: 所以如果瀏覽器下載和觸發了病毒 01/09 15:46
→ mayuyu: 病毒也只能待在沙盒裡而無法對真實系統進行破壞 01/09 15:46
→ mayuyu: Sandboxie還帶有anti-exe的功能 可以強化沙盒的限制 01/09 15:46
→ mayuyu: 除了使用者設定放行的程式 禁止其他程式在沙盒內啟動 01/09 15:46
→ mayuyu: 譬如說瀏覽器的沙盒內只允許chrome.exe和輸入法的程式啟動 01/09 15:46
→ mayuyu: 所以如果病毒想要利用rundll32.exe 或者修改iexplore.exe 01/09 15:47
→ mayuyu: 都會被禁止而無法運行 01/09 15:47
→ mayuyu: 本來病毒即使運行也都是在沙盒內 無法破壞真實系統 01/09 15:47
→ mayuyu: 強化限制後病毒連啟動都有困難 基本上就完全沒有機會 01/09 15:47
→ mayuyu: Sandboxie使用上比較方便的地方是 01/09 15:47
→ mayuyu: 它可以快速將沙盒內的資料還原到真實系統 01/09 15:47
→ mayuyu: 也可以設定讓沙盒內的程式能直接存取指定的資料夾 01/09 15:48
→ mayuyu: 譬如說讓瀏覽器能直接存取、修改真實系統的瀏覽器設定檔 01/09 15:48
→ mayuyu: 部分下載資料如果確定是安全的絕對沒有病毒 01/09 15:48
→ mayuyu: 可以將下載資料直接寫進真實系統的特定資料夾 01/09 15:48
→ mayuyu: 這樣就不用在清空沙盒之前還要先還原這些資料回真實系統 01/09 15:48
→ mayuyu: 另外Sandboxie還有一個功能是程式多開 01/09 15:48
→ mayuyu: 可以將程式安裝在不同沙盒裡 在系統上同時開啟多個相同程 01/09 15:49
→ mayuyu: 所以Sandboxie的使用方法和用途 和Comodo有些不太一樣 01/09 15:49
推 mayuyu: 還有作業系統最好升級到WIN7以上 因為Sandboxie這些 01/09 16:20
→ mayuyu: 沙盒的設計 都需要用到Vista/WIN7以上作業系統的功能 01/09 16:20
→ mayuyu: 即使沙盒有支援XP 在XP底下沙盒的安全性也會比較差 01/09 16:20
→ cys070: 其實近期comodo的辨識器和防毒(你有用的話),也增加辨識度 01/09 16:20
→ mayuyu: 譬如說Sandboxie在Vista/WIN7以上是利用作業系統 01/09 16:20
→ mayuyu: 的安全層級機制 沙盒內的程式從一開始就沒有任何權限 01/09 16:21
→ mayuyu: 是靠Sandboxie幫它向作業系統轉發要求 01/09 16:21
→ mayuyu: 沙盒內的程式才能正常運行 即使Sandboxie程式當機了 01/09 16:21
→ mayuyu: 也不用擔心沙盒內的程式跑出來 因為沒有Sandboxie 01/09 16:21
→ mayuyu: 沙盒內的程式就變成廢物 沒有任何權限 連運行都無法運行 01/09 16:21
→ mayuyu: 新版的(4以上的)Sandboxie並不是一個阻擋器或者限制器 01/09 16:21
→ mayuyu: 相反的 它是沙盒內程式賴以運行的必需品 01/09 16:21
→ mayuyu: 阻擋或限制終有疏漏 所以新一代的沙盒設計例如Chrome 01/09 16:21
→ mayuyu: 都是採用這種利用作業系統底層安全性層級機制的設計 01/09 16:22
→ mayuyu: 在XP上就無法使用這些功能架構 所以建議最好更換作業系統 01/09 16:22
→ cys070: 其實我是比較建議用comodo 01/09 16:49
→ cys070: 平常也不用自己特別把瀏覽器入沙,碰到有問題就被放進去 01/09 16:51
→ cys070: 一般使用還會開HIPS和防毒,這些也可以輔助 01/09 16:52
→ cys070: 都被過就輪自動沙盒出場 01/09 16:52
→ cys070: 前面講測試,那位看他是刻意測試沙盒能防到什麼地步 01/09 16:53
→ cys070: 關閉comodo其他功能 01/09 16:53
推 mayuyu: SBIE和Comodo的沙盒在用途上有些不一樣 01/09 20:14
→ mayuyu: 也有人是兩種都使用(Comodo調整設定可以和SBIE相容) 01/09 20:14
→ mayuyu: Comodo的用途比較傾向於防禦未知程式 01/09 20:14
→ mayuyu: 執行未知程式的時候自動進入沙盒 01/09 20:14
→ mayuyu: 沙盒主要是監控用 用完就清空 不保留沙盒內的資料 01/09 20:14
→ mayuyu: 而SBIE的用途比較像是在系統中開闢一個孤立的空間 01/09 20:15
→ mayuyu: 讓程式在這個隔離的空間中運行 01/09 20:15
→ mayuyu: 它的用途很多 除了防止病毒破壞真實系統 還可以 01/09 20:15
→ mayuyu: 1.多開程式 可以建立好幾個沙盤 01/09 20:15
→ mayuyu: 例如遊戲1 遊戲2 遊戲3 同時開啟三個同樣的遊戲練功 01/09 20:15
→ mayuyu: 2.測試程式 想安裝新程式 程式沒有毒 01/09 20:15
→ mayuyu: 但是不希望裝太多東西 在系統中留下太多垃圾 01/09 20:16
→ mayuyu: 用完就刪希望清除得乾乾淨淨 就像從來沒有安裝過 01/09 20:16
→ mayuyu: 可以把程式安裝在沙盒中 用完要刪除直接清空沙盒即可 01/09 20:16
→ mayuyu: 3.限制程式 可以禁止程式存取指定的檔案、資料夾、 01/09 20:16
→ mayuyu: 登錄檔鍵值、IPC通訊、COM物件、網際網路存取 01/09 20:16
→ mayuyu: 或者是和系統中其他不在沙盤中的程式溝通 01/09 20:17
→ mayuyu: 這個功能可以用來做很多事......。 01/09 20:17
→ mayuyu: SBIE是一開始就讓程式入沙 所以沒有白名單漏掉入沙的問題 01/09 20:17
→ mayuyu: 讓程式一開始就入沙聽起來好像很麻煩 01/09 20:18
→ mayuyu: 但其實所謂的入沙只是進入一個隔離的空間 01/09 20:18
→ mayuyu: 程式使用上和運行在真實系統中沒有分別 01/09 20:18
→ mayuyu: 通過設定也可以讓沙盤中的程式直接存取指定的資料夾 01/09 20:18
→ mayuyu: 將資料直接寫入真實的系統 01/09 20:18
→ mayuyu: 也可以等之後再把沙盤中的資料還原回真實系統 01/09 20:19
→ mayuyu: 所以沙盒內的操作是可以保留的。 01/09 20:19
→ mayuyu: 它可以用一用就丟 也可以把需要的資料保留 01/09 20:19
→ mayuyu: 甚至是將確定安全的資料直接寫進系統。 01/09 20:19
→ mayuyu: 付費版可以強制程式在指定的沙盤中開啟 01/09 20:19
→ mayuyu: 例如強制firefox.exe在「Firefox」這個沙盤中開啟 01/09 20:20
→ mayuyu: 則系統上不論哪一個程式呼叫啟動firefox.exe 01/09 20:20
→ mayuyu: 只要firefox.exe啟動就一定在「Firefox」沙盤中啟動。 01/09 20:20
→ mayuyu: 免費版沒有這個功能 不過可以在程式上右鍵 01/09 20:21
→ mayuyu: 選「從沙盤中開啟」 或者是將Firefox的快捷 01/09 20:21
→ mayuyu: 修改為"C:\Program Files\Sandboxie\Start.exe" 01/09 20:21
→ mayuyu: /box:Firefox /nosbiectrl /hide_window 01/09 20:21
→ mayuyu: "C:\Program Files\Mozilla Firefox\firefox.exe" 01/09 20:22
→ mayuyu: 這樣點擊這個快捷也會自動從沙盤中啟動。 01/09 20:22
→ mayuyu: 所以要讓指定程式入沙不會很麻煩 實際操作和日常一樣 01/09 20:22
→ mayuyu: 兩個沙盒用途有些不同 可以的話兩個都推薦試試看。 01/09 20:22
謝謝mayuyu大 先給您700p幣 謝謝分享資訊
※ 編輯: wwman (123.241.6.170), 01/09/2017 21:43:39
→ wwman: 也有給1F sakeruMT大 300P 也是感謝分享資訊 01/10 01:47
→ abramtw: tml 01/10 03:59
推 mathrew: 裝 comodo 吧, 企業版的 Comodo 號稱 你中勒索軟體,就 01/10 19:42
→ mathrew: 賠償你 5000 鎂 01/10 19:42