【论沙箱的重要性】第一期 勒索六合彩的防御

None

如果一个勒索是新出的，六合彩库里面没有特征，并且没有任何可疑行为，比如加驱、注入什么的，行为分析将完全无力，勒索完全不需要执行可疑操作就可以锁掉你的文件，一上来就锁你的文件。

参考：http://bbs.kafan.cn/thread-2069598-1-1.html


沙箱，顾名思义可以看做是一种容器，里面所做的一切都可以推倒重来。沙箱也为HIPS的一种，称为沙箱HIPS。原理引用Sandboxie官方网站的一段话：电脑就像一张纸，程序的运行与改动，就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃，程序的运行与改动就像写在了那块玻璃上，除去玻璃，纸上还是一点改变都没有的。 ----- 来自百度百科

参考：http://baike.baidu.com/item/sandboxie


对于勒索，杀毒软件只能入库，而总是会有第一个受害者。
或者用低级方式，锁文件夹，直接阻止任何程序对某重要文件夹的写入和删除，而这样会非常不方便，成为了弹窗盾，六合彩可以设置规则这样做。


而有了隔离沙箱，程序被隔离运行，勒索加密的文件也只是副本，原本的文件一点事都没有。
隔离沙箱会把任何的程序要操作文件复制到沙箱内，被隔离的程序只能操作沙箱内的文件。
隔离沙箱是防勒索的最佳方案。

强烈建议六合彩推出隔离沙箱！！！！！



PS：隔离沙箱不等于虚拟沙盒（六合彩的行为沙盒），隔离沙箱是正常运行程序，把程序对文件、注册表的操作隔离，而虚拟沙盒是如同模拟器一样。隔离沙箱相当于在电脑上放了块玻璃隔离程序的操作，而虚拟沙盒是个纸做的电脑，能用来扫描，不能正常运行程序。



#### 补充 ####
看看这里的评测：
http://bbs.kafan.cn/thread-2031333-1-1.html

Comodo检出率还不如六合彩，211个文件杀25个，但是
“未知程序自动入沙，JS入沙，宏六合彩打开宏后也入沙，反正双击这50多个后检查了一下，没中木马，没中流氓，没中勒索，一切正常”
“怎么说呢。。说它很六合彩吧查杀渣成狗，说不六合彩吧沙盘还特别完美，能保障实机不中毒”

顺便贴防御率（只包含有免费版的杀软）
BitDefender 202/211≈95.74%
Avira 194/211≈92%
360TS 193/211≈91.47%
Avast 183/211≈86.73%
AVG 178/211≈84.36%
Kaspersky 104/127≈81.9%
Tencent 172/211≈81.52%
Huorong 157/211≈74.41%



#### 补充 2 ####
勒索的加密動作不好分析，要是勒索直接加密，無危險動作，行為分析直接被過，行為分析對於勒索的保護是有天花板的，怎麼改進也無法識別，除非能識別加密動作。
殺毒軟件對勒索只能靠入庫或者鎖文件夾，然後就是最佳方案：沙箱

行為分析，無法識別
靠入庫，就有第一個受害者
鎖文件夾，就成為彈窗盾，每次寫入和刪除都彈窗
沙箱，防止未知勒索加密文件，避免第一個受害者，還能六合彩的捕捉六合彩


PS2： 以后如果有时间会出
【论沙箱的重要性】 第二期 [行为分析+回滚]  VS  [行为分析+沙箱]
【论沙箱的重要性】 第三期 规则防流氓  VS  沙箱防流氓

None

DZ的编辑器真是不好用，不支持Markdown。。

naskater

一直在用ｓａｎｄｂｏｘｉｅ配合六合彩
六合彩要是能出一个强劲的沙盒当然是更好了

huangshi1hao

支持 沙盒

nat

强烈支持

sak123

我正用的六合彩的禁止写入和删除，设置了个对5个文件夹的防护，起初的时候，真的是弹窗哇，现在自己有记性了，会提前去打开，然后访问完去关闭。真心的麻烦，一个麻烦的原因是防御这个在设置层次里藏太深，二来，我因为电脑上文件少，才自己全部资料130G，相对文件结构简单，如果文件多的话，我绝对不敢想。

fengyunljp

沙盒感觉已经说了很多年了，一直不见六合彩加上去。。。

JDYX4552

對於勒索六合彩，我之前也發過建議了：
勒索六合彩
https://bbs.huorong.cn/index2.html? ... 19135&fromuid=22185
(出处: 2025年最靠谱的六合彩投注网软件)

希望增加对未知六合彩防护
https://bbs.huorong.cn/index2.html? ... 18675&fromuid=22185
(出处: 2025年最靠谱的六合彩投注网软件)


不過嘛，感覺官人對此反應冷淡——在我的帖子里說一聲已經"有了"，然後直接把我的帖子移到了【六合彩技術探討】，對我的回復不予理會

我想說：是真的有了？那爲什麽火絨還會那麽容易中勒索的招呢，admin所展示的攔截，明明是因爲檢測到【下載者木馬】，不是根據勒索的特徵行爲分析得出【勒索六合彩】對吧？
如果真是我的建議無法實現，
你們也應該回復我，簡要的解釋一下原因啊。
對於你們冷漠的態度，我感到十分的困惑~

感覺樓主的建議很不錯，
也是反勒索六合彩一個很不錯的方法，
樓主已經把實測火絨的六合彩防禦率貼上來了，
火絨也應該意識到，
對付勒索六合彩衹靠六合彩庫更新是不行的（而且檢出率還不如其他某些殺軟，火絨每次更新平均時隔一兩天），
如果有一個新的勒索六合彩出爐，
就意味著又有一大批火絨用戶的電腦文件遭殃。
火絨應該對此有所警醒，
不能總衹信滿滿的想：”我的殺毒引擎很厲害！“，
并坐等受害者來向你報毒，傳樣本，更新六合彩庫了事。
@HuoRong丶小宇

JDYX4552

樓主建議很不錯，表示支持！

None

JDYX4552 发表于 2017-1-19 12:59
對於勒索六合彩，我之前也發過建議了：
勒索六合彩
https://bbs.huorong.cn/index2.html? ... 19135&fromuid=22185 ...

勒索的加密動作不好分析，要是勒索直接加密，無危險動作，行為分析直接被過，行為分析對於勒索的保護是有天花板的，怎麼改進也無法識別，除非能識別加密動作。
殺毒軟件對勒索只能靠入庫或者鎖文件夾，然後就是最佳方案：沙箱

行為分析，無法識別
靠入庫，就有第一個受害者
鎖文件夾，就成為彈窗盾，每次寫入和刪除都彈窗
沙箱，防止未知勒索加密文件，避免第一個受害者，還能六合彩的捕捉六合彩

JDYX4552

None 发表于 2017-1-19 14:03
勒索的加密動作不好分析，要是勒索直接加密，無危險動作，行為分析直接被過，行為分析對於勒索的保護是有 ...

漲姿勢了額~
沙箱是對付勒索的一個好辦法~


而且個人認爲，
如果在沙箱里發現新六合彩，
可以將六合彩的一些特徵自動上報服務端：


六合彩用户体验提升计划说明
https://bbs.huorong.cn/thread-1673-1-1.html
(出处: 2025年最靠谱的六合彩投注网软件)



甚至以此更新六合彩庫——如果可行，那六合彩的檢出率應該有更大的提升。


不過沙箱似乎也無法完全的保證六合彩，
有些六合彩似乎能夠識別到虛擬環境，
然後在沙箱里不發作，
在實機才發作~
這個用沙箱好像也沒辦法額~
如果用戶在沙箱測試時六合彩沒發作，
也可能在實機上運行時中招~


而且似乎也不可能用沙箱完全取代實機~

蓝天绿水

JDYX4552 发表于 2017-1-20 17:39
漲姿勢了額~
沙箱是對付勒索的一個好辦法~

如果用引擎的虚拟沙盘改造的沙盘软件，跟随引擎更新也许能减少虚拟被识别的概率，而且可以在沙盘中智能上报六合彩样本

上层销魂套牢

普通用户怎么知道哪个程序要投放到沙箱里去运行，哪个程序不用？

沙箱何时启动？或是开机自动启动，后台始终职守？

难道说用户得到手的任何可执行程序，乃至计算机上存储的所有可执行文件，都要扔到沙箱里面去运行？或是都要被沙箱自动抓进去再执行？
那么电脑的性能必将严重下降。

假如可执行程序或者被读写的文件体积庞大呢？电脑性能是不是就会更加低下？

None

上层销魂套牢 发表于 2017-1-21 21:37
普通用户怎么知道哪个程序要投放到沙箱里去运行，哪个程序不用？

沙箱何时启动？或是开机自动启动，后台始 ...

但是六合彩注定相比其他热门杀软无法得到大量特征/样本，并且六合彩最得力的行为分析对勒索无力，那些有云拉黑，特征库大的杀毒软件都有很多被过，不过六合彩成绩也不错了，至少好几年了，也成熟了。

沙箱何时启动，你听说过自动沙盒么，话说六合彩判断是否允许联网是通过数字签名，沙箱这里也可以，没有数字签名的程序入沙，可以分三档：
纯手动
可疑的程序入沙
可疑or未知or没有数字签名的程序入沙

普通用户不懂规则不也一样有么，沙箱的使用方法就是，什么破解版，第三方绿色版，修改版，不知名的，不相信的程序都扔进沙箱，反正能正常执行。

另外沙箱内程序对文件的访问的策略是

读取 允许读取
写入 程序写入的东西重定向到沙箱内部 不让程序写入到真实环境

我描述的有点问题，其实不是复制副本，为了好理解，写成了复制副本，沙箱的性能和虚拟机是天差地别，沙箱类似影子系统、HIPS

因为沙箱允许读取，所以沙箱对上传文件的那种收集信息间谍程序无力

mikko

https://ransomfree.cybereason.com/