※ 引述《nmcat (打瞌睡的猫)》之铭言:
: 最近版上勒索软件的攻击灾情不断
: 有朋友上班的公司就发生了!
: 现在的防毒软件应该都差不多了吧
: 除了基本的病毒防护恶意网站过滤行为侦测
: 应该也都要有才算的上是好的软件了
: 有朋友建议说若会害怕
: 可以弄个沙盒来玩
: 把不清楚又想点的连结弄在沙盒里开
: 就知道是不是中毒了
: 我自己估狗觉得有点难就是
: 有没有付费防毒推荐
: 防护措施比较完善的
: 不然沙盒乱用等下搞死自己~
沙盒不会复杂啦,以Sandboxie为例,
装好以后在档案上右键“从沙盒中开启”就可以了。
或者可以改浏览器捷径,捷径的目标改为
"C:\Program Files\Sandboxie\Start.exe"
/box:指定的沙盒 /nosbiectrl
"浏览器的路径\iexplore.exe或chrome.exe或firefox.exe"
以上三行接起来。
这样点浏览器的捷径图示就会自动用指定的沙盒开启了。
其他其实不太需要设定,为了方便,
可以加个让沙盒直接存取浏览器的设定资料夹和下载资料夹,
其他快取和暂存的档案都留在沙盒里,这样要清理反而很方便,
直接清空沙盒就好了。
不过Sandboxie会和部分防毒软件冲突,例如卡巴斯基2016,
所以要使用SBIE前先确定系统的防毒可以搭配SBIE。
Sandboxie原本和其他沙盒软件一样是使用系统核心层的钩子,
Sandboxie 4.x版之后改成利用Windows本身的安全机制,
把沙盒里的程式的安全层级设为最低的Untrusted和NT AUTHORITY\
ANONYMOUS LOGON群组,在这种情况下程式根本无法正常运作,
所以要透过SBIE在使用层的钩子SbieSvc来帮它取得访问系统的权限。
所以SBIE其实不是一个阻挡器或限制器,相反的
沙盒里的程式反而是靠SBIE来帮它打开窗口,
才能取得访问系统的权限。
没有SBIE居中帮忙,沙盒里的程式什么事也做不了。
也因为如此,即使SbieSvc不幸当掉了,沙盒里的程式还是被锁在沙盒里,
没有了SbieSvc,沙盒里的程式就无法和外界沟通,直接变成了废物。
另一个利用Windows本身安全层级和群组机制的沙盒是ReHIPS,
ReHIPS认为SBIE的点子很棒,
但是直接打入Untrusted和NT AUTHORITY\ANONYMOUS LOGON群组,
程式什么事也做不了,变成需要SbieSvc来开放功能和权限,
而这个开放的规则列表会非常复杂,
开放的某些功能交互组合可能会提供意想不到的逃出漏洞,
而庞大的规则列表和程序间的通讯也可能会带来执行效能的下降。
不过目前已知会产生漏洞的API都被SBIE禁止了,
此外实际使用上也感觉不出有显著的效能下降。
所以以安全性和方便性来说,我还是推荐SBIE。
另外还有一个已经不再维护的软件Secure Folders,
它可以锁住资料夹只允许特定程式存取,
甚至可以直接指定附档名只允许特定程式存取,
例如音乐资料夹或.mp3只允许指定的播放软件存取,
其他软件都不能读写这些资料夹或档案。
这个软件经过实测也可以保护档案不被加密,
但是对修改MBR直接重开机在进入作业系统前加密的软件无效,
还有它已经不再维护了,所以对于将来的加密勒索软件不一定有用。
其他还有类似的软件例如Easy File Locker,
但是Easy File Locker也不能阻挡底层磁盘写入,
所以我觉得......还是用SBIE吧。