这是一个创建于 2321 天前的主题,其中的信息可能已经有所发展或是发生改变。
国产软件耍流氓的手段真是层出不穷,花样百出。 初级入门的有放到启动项的,添加到注册表里面 Run 和 RunOnce 的。 比较高级的有自己添加一个系统服务的(某雷),生成一个驱动模块并隐藏设备的(某数字)
我现在的做法是弄一个比较纯净的 XP 虚拟机,需要测试的时候直接复制一份,然后在里面观察。如果软件有流氓行为,大不了直接删除复制出来的已经被祸害了的虚拟机。此外,VirtualBox 还有个快照功能( Snapshot ),我想问一下这个能替代我现在的方法么?先保存一个快照,然后直接在该虚拟机里面运行流氓软件,测试结束以后直接回滚到快照状态。这样就不用每次都复制一遍了(这也是为什么我用 XP 虚拟机的原因,体积小,才 1G 不到,复制起来快。Win 7 要好几个 G )
还有就是这个快照是增量式保存的么?就是同一个虚拟机的上一个快照跟接下来的一个快照只记录增量部分?
关于流氓软件本身,我用什么方法能够精确的检测到该软件是在硬盘里写了文件,还是改了注册表,还是悄悄的添加了一个驱动?
 | 1 jerry74 2019-07-03 23:44:19 +08:00  1 用 Sandboxie 不就好了 |
 | 2 gaayyy OP @jerry74 有的 msi 安装跟 Sandboxie 好像冲突,还有就是个人不喜欢破解版,倾向于用的 VirtualBox。 |
 | 3 compiler 2019-07-03 23:57:03 +08:00 via iPhone 真折腾 |
 | 4 ysc3839 2019-07-04 01:01:50 +08:00 via Android 用快照没问题,是增量保存的。 要查看修改文件、注册表的话得用 Process Monitor 之类的工具,或者用沙盒。 |
 | 5 jinliming2 2019-07-04 08:28:38 +08:00 via iPhone 3 升级 Win 10 1903 之后,用自带的 Windows Sandbox 非常爽,和虚拟机差不多,但是启动速度超快,只要 3 秒,启动起来之后是直接克隆你当前的系统,所以你系统是啥版本,Sandbox 就是啥版本。 流氓软件拷进去直接跑就行了,关掉 Sandbox 一切都还原了。目前没有发现兼容性问题。 应该还是前期版本的原因,暂时不支持拖放,不过能外面复制里面粘贴或者里面复制外面粘贴,就像远程桌面那样的体验。 我已经抛弃 Vmware 虚拟机了…… |
 | 6 whnzy 2019-07-0 08:44:30 +08:00 via Android @jinliming2 家庭版系统是没有的,一般都是家庭版的系统。 还可以装一个火绒,也有些用处。 |
 | 7 ragnaroks 2019-07-04 09:01:00 +08:00 vb 不清楚,vm 可以,快照是增量的,先取消"关机时保存快照",然后在关机后手动删除刚才的快照就等于还原了 |
 | 8 Muniesa 2019-07-04 09:59:49 +08:00 @jinliming2 可能是我的配置太低,我用 Windows sandbox 就很卡,而且用了 hyper v,导致我的 Android 模拟器用不了…… |
 | 9 Kiriya 2019-07-04 11:35:57 +08:00 检测到虚拟机,软件无法运行 |
 | 10 smallc2009 2019-07-04 12:01:23 +08:00 sandbox 无法关掉里面的杀毒软件 |
Select Language