瑞星卡卡安全论坛

新版的金山毒霸 拥有沙盘并结合 自身的云 ，判断进程的安全性 若进程安全信息未知就将 此进程放到沙盘中运行  （金山会提示 此进程将放入沙盘中运行）

建议瑞星也添加 类似功能 ，这样若有恶意病毒发作 由于早放入了 沙盘也就避免了威胁！！！




下面有个熊猫 带有签名，瑞星的 行为引擎拦截并报毒  但还是 全盘感染


若云中没有此毒的信息的话  ，此毒将被放入 沙盘中 运行，也就避免了 危险！！！






用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9

附件: 熊猫烧香变种-瑞星没防住 全盘感染.rar

此建议已收集反馈，感谢您对瑞星的支持！

该病毒根本不是全盘感染 而是在注册表里面简单的替换了exe的图标
请楼主再看看是否是“全盘感染”

哦  你是说 修改了文件关联吗？？？我双击 只能打开 看图啊！！！所有的 exe文件 ，打开都变成看吐了！！！

我的意思是 建议添加沙盘 ，并将未知进程放入沙盘运行！！！


提供的熊猫 ，只是举个例子，若系统中运行了 此类病毒，而瑞星没防住的话是 多么的可怕啊！！！


若瑞星检测此类进程一没有 签名，二 云安全不知的情况下，放入沙盘运行 ，多好啊！！！


就是病毒修改了注册表 ，用户也不希望看到啊！！！




金山和卡巴还有 江民都有了沙盘，毕竟都是好东西，建议瑞星也有！！！


不过金山的沙盘和卡巴  江民  不一样，金山的是我建议的  瑞星所改进的功能  如 上述！！！


而卡巴和江民将 所有程序放入沙盘 ，行为一直跟踪，若发现行为 自动回滚倒沙！！！


而金山将未知程序放入沙盘 ，而 云一直监控 ，若发现是 威胁的 ---干掉他！！！




若是安全的 那就把它放到沙盘外运行！！！


建议采用金山和卡巴的共同策略 来开发 沙盘

根本不是文件关联 而是exe的图标
这个病毒顶多是个恶作剧而已 它连文件都没动
建议不要光看现象 要看本质问题

可 exe 文件打不开了呀！！！

只能打开看图啊

建议开发沙盘

你单跑这个样本试试

将瑞星升级到23.00.22.73版

发现 瑞星对 此样本 不再报警---行为防御！！！

全盘查杀 发现5个病毒！！！

重启后 瑞星相关的启动项无法启动！！！

研究发现 病毒修改了文件关联！！！

手动将 关联改过来后！！！

用卡卡 系统修复扫描发现 大量的关键项被修改！！！

建议研究行为引擎为何不报警------初次测试 报警！！！

改进瑞星杀毒引擎的修复能力！！！大量的关键项被修改，瑞星也没有在清毒的过程中改回来！！！

若开发沙盘，将未知程序放到 沙盘中，若若瑞星报警 就执行回滚！！！

也就没有这许多麻烦了！！！

因为沙盘的逻辑问题，可能很多普通用户并不知道如何面对加入沙盘的行为的意义。

所以我个人估计，非得别家沙盘成熟后，或许瑞星会考虑虚拟区的类似软件的开发。

合格的病毒都会检测自己是不是在沙盘环境运行，是的话直接退出。
金山的那沙盘轻轻松松的就能检测到，而anti anti sandbox的难度远远大于 anti sandbox，所以沙盘也没什么用处，当然对于国内的脚本小子的木马是有一定的作用