对于[backcolor=rgb(0,]金山沙箱[/backcolor],想必大家都不陌生,为什么说沙箱好呢?那是因为,沙箱可以模拟真实的环境,从而使隐藏着伪善的病毒原形毕露!
一、何谓沙箱
对于沙箱技术,古已有之,最早接触的是sandboxie
对于沙盘,我们有一个形象的比喻:
这里引用官方的一段话:电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而沙箱就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
如果还需要再解释一下的话,沙箱就是相当于在你要运行的程序与系统之间建立一个隔离层,当我们运行程序的时候,就会将程序直接调入该隔层中,此后,程序对系统所做的修改,都会被限制在这个隔离层中,而不会真正地去触及系统。这样的话,就算电脑感染了病毒和木马,也不会对系统造成真正的伤害。
二、[backcolor=rgb(0,]金山沙箱[/backcolor](沙盒)
[backcolor=rgb(0,]金山沙箱[/backcolor]脱胎于金山月光宝盒
金山月光宝盒是一款基于金山云安全系统智能的主动防御和沙箱产品,无缝接入金山云安全系统,将未知程序隔离在沙箱中运行,智能分析拦截恶意行为,对真正使用中的系统无任何影响,从而完全免疫未知程序对系统的攻击等威胁。
金山月光宝盒特点[b]:[/b]
1.无缝接入金山云安全系统,未知程序在沙箱中运行,保证系统安全100%。
2.首创基于金山云安全系统智能分析程序行为,零打扰智能的主动防御软件,拒恶意行为千里之外。
3.可以自动关联保护浏览器,好比给浏览器加个金钟罩,再度打造浏览器安全新篇章。
4.可以设置隐藏文件和文件夹,将个人重要东西隐藏起来,让病毒和木马无法获取你的个人资料。
这是早期的测试界面:
可以看出今天[backcolor=rgb(0,]金山沙箱[/backcolor]的影子,只是今天的[backcolor=rgb(0,]金山沙箱[/backcolor]更易用罢了
现在的[backcolor=rgb(0,]金山沙箱[/backcolor]
可能有的人没有找到它那么普及一下,高手飘过:
也可以在这里找到:
然后你就可以看到沙箱的启动了
三、沙箱的应用
沙箱本身是HIPS的一种,在分析未知程序的行为方面极为方便
这是我自编的一个程序
源代码是这样的:
#include <iostream>
using namespace std;
int main()
{
? ???cout<<"这是一个C++程序"<<endl;
? ???getchar();
? ???return 0;
? ???}
其中getchar()函数便是通过键盘得到一个操作,进而结束程序
这是一个无害的程序,大家可以试着在沙箱内运行:
运行时,可以看出,云安全首先会发力
进而就会出现运行界面,只不过这是在沙箱里的
随便敲一个键程序结束,得到运行报告:
这个程序的行为一目了然
点击查看日志还可以看到文本方式的报告
其中,我们知道该程序调用了系统文件
first.exe加载库文件C:\WINDOWS\system32\imm32.dll C:\WINDOWS\system32\imm32.dll
那我们就会想要知道这个DLL到底是干什么的:
于是百度一下,可以了解
imm32.dll 和输入法密切相关,该文件丢失或者被病毒感染,会导致输入法不可用,表现为键盘无法输入,给用户使用计算机带来很大的麻烦。
原来是管键盘输入的,这也就是getchar()函数的作用,至此我们因为对源码和程序都做了了解,不用担心是木马盗号(当然,可以看出开放源码是多么重要!)
最后关闭沙盘
沙箱会自动清空
四、实战未知病毒
对于运行行为我们目前就讲到这里,下面我们玩点儿真格的
这时样本区的一个未知病毒,因为是可疑代码,现在还不能确定其是否是病毒,扫描后也未报毒,或者有的报未知,看来我们只能孤身犯险,让其落入我方彀中(狄阁老的用语,哈哈[img]http://bbs.kafan.cn/static/image/smiley/default/1.gif[/img]),当然该病毒运行后也原形毕露
但是分析一条一条的日志是很令人心焦的,显然金山的工作人员想到了这一点,我们勾选只显示有风险的日志即可直捣黄龙!
看得出,该程序暗藏了木马,只不过加了花(也可能有跳针,总之进行了伪装)而已,至此大功告成!
??
希望本文能帮助大家摆脱病毒的魔爪!撕下“蛇灵”伪善的面具哈[img]http://bbs.kafan.cn/static/image/smiley/default/27.gif[/img]?? ?
