微点交流论坛

标题: 关于扫描中利用沙盒的再思考 [打印本页]

作者: ppqq6699 时间: 2009-6-29 18:05 标题: 关于扫描中利用沙盒的再思考

前天听到了沙盒这一概念，了解了一下，也曾经向微点建议过！不过经过再思考之后觉得所谓沙盒就是对可疑程序进程试运行，发现病毒行为执行回滚还原，是不可能对所有的文件程序都执行一遍的，而杀毒软件判断是否为可疑程序依然采用的是特征码扫描，对于新未知病毒不太可能有能力判断为可疑的，所以扫描中使用到沙盒机会是很小的，对于杀毒扫描作用也是非常有限的！这或许是有些厂商在推出沙盒之后不默认使用的原因吧。
沙盒真正有用的地方应该在于主动防御上，只有他发现的可疑程序有大可能是新病毒，建议微点主动防御在发现可疑程序时增加一处理选项：在沙盒中试运行，发现病毒行为时提示用户是否回滚还原！对于一些厉害的病毒（如导致系统无法操作的）最好在重新启动电脑后还能圆润还原！
以上自己乱想，不知道对不对，不要笑。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn