python沙盒安全檢測

① 請教centos6.5 兩個版本python共存問題

有兩種方式。
方法一：將兩個Python存放在不同目錄。在腳本調用時候使用絕對路徑指向使用哪一個Python

方法二：你去查查python virtualenv 虛擬沙盒技術。專門用來解決多個python安裝到同一台機器問題的。

請採納。

② 《陰陽師》連點器防封技巧是什麼

連點器防封技巧如下：

首先如果你是單純的腳本的話，一般是不會封號的， 除非你涉及到內存腳本了。所以只要是簡單下載腳本，在PC端開模擬器玩游戲，腳本也用的是PC版，就可以規避檢測。以下幾個步驟可以保證萬無一失：

首先為腳本配置python環境。python安裝完畢，那麼我們需要運行腳本的編譯器pycharm。運行滑鼠點擊腳本之前安裝依賴環境和 pyautogui。

腳本安裝完成後，使用沙盒工具打開我們的陰陽師，從而把陰陽師軟體套起來，防止檢測也可以讓腳本去點擊陰陽師的界面。

腳本使用界面如下圖:

③ 越來越多的公司注重保密，那麼商業間諜是否真存在於我們的工作中

重要事件回顧，智覽網安行業發展。近日國內外網安行業發生了哪些重要事件，呈現出了怎樣的發展態勢呢？中國網安科技情報研究團隊將從行業大角度出發，帶領大家回顧近日國內外行業的重要事件，探究其中的發展態勢。
事件概覽：
1、騰訊發布主機安全旗艦版
2、《上海市反間諜安全防範條例》發布
3 、網路安全技術應用試點示範工作啟動
4、國標《重要數據識別指南》起草發生重大修改
5、瑞士軍隊要求其人員使用Threema即時通訊應用程序
6、取證專家在PC上保留了謀殺快照入獄
7、網路竊賊突襲Grass Valley
8、超過一半的中小企業經歷過網路安全漏洞攻擊
9、美國對商業間諜軟體發出警告
10、研究人員在十幾個廣泛使用的URL解析器庫中發現了錯誤
11、Abcbot僵屍網路鏈接到Xanthe Cryptomining惡意軟體的運營商
12、APT黑客在最近的惡意軟體攻擊中達成自己的目標
13、組織每周遭受925次攻擊，創歷史新高
14、新的ZLoader惡意軟體活動襲擊了111個國家的2000多名受害者
國內
01 騰訊發布主機安全旗艦版
2022年1月9日下午，「騰訊主機安全旗艦版」發布會在線上召開。煥新升級的雲主機安全旗艦版，以新引擎、新能力、新體驗為特點的雲原生安全能力，助力入侵檢測、入侵溯源、文件查殺、漏洞管理及安全預警，為企業打造雲上安全防護閉環。
據騰訊安全資深產品專家張殷介紹，騰訊安全基於用戶核心需求，從「預防→防禦→檢測→響應」四個階段構建主機安全防護體系。同時，雲主機安全旗艦版依託七大核心引擎、百萬級終端防護、百億威脅數據，幫助企業實時防護核心資產安全，滿足等保合規、資產風險管理及入侵防護需求。
張殷表示：「旗艦版新增安全播報、安全防護模塊，支持混合雲統一管理，幫助企業實現資產可視化，並提供一鍵檢測、自動修復、鏡像快照功能，實現分鍾級漏洞檢測效率，在優化掃描性能的同時提升精準度，讓安全更簡單！」
目前，騰訊雲主機安全產品已廣泛覆蓋於金融、媒體、汽車、交通、電商、教育等泛互聯網行業，並在頭豹&沙利文《2021年中國雲主機市場安全報告》中蟬聯領導者象限。
02 《上海市反間諜安全防範條例》發布
近日，上海市第十五屆人民代表大會常務委員會第三十八次會議正式通過《上海市反間諜安全防範條例》（以下簡稱「《條例》」），自2022年1月1日起施行。《條例》共七章三十五條，進一步完善了反間諜安全防範法律體系，依法維護國家安全。
《條例》在第一章總則中指出，國家安全機關是反間諜安全防範工作的主管機關。公安、保密以及網信、經濟信息化、商務、教育、科技、民族宗教、規劃資源、住房城鄉建設管理、農業農村、文化旅遊、金融監管、外事、國資、海關等有關部門應當與國家安全機關密切配合，在各自職責范圍內做好反間諜安全防範工作。
有關部門及其工作人員對履行反間諜安全防範職責中知悉的國家秘密、工作秘密、商業秘密、個人隱私和個人信息等，應當嚴格保密。同時，上海市加強與長江三角洲區域和國內其他省、自治區、直轄市反間諜安全防範工作的協作交流,推動實現信息互通、資源共享、處置聯動,增強反間諜安全防範工作實效。
《條例》在第二章工作職責中指出，上海市加強對經濟、金融、科技、生物、網路、通信、數據等領域的反間諜安全風險防範。國家安全機關應當會同行業主管部門定期開展反間諜安全風險評估，動態調整反間諜安全防範重點事項和重點范圍。
政府有關部門與國家安全機關應當建立綜合監管工作機制，在審查和監管涉及國家安全事項的建設項目時，開展執法聯動，加強數據信息共享,並在各自職責范圍內,依法督促建設項目的建設、所有、使用和管理方落實相關安全防範工作。
《條例》在第三章安全防範中指出，反間諜安全防範重點單位以外的涉及經濟安全、科技安全、新型領域安全等重點領域的單位，除遵守本條例第十六條規定外，還應當履行下列反間諜安全防範義務：
（1）涉及國民經濟命脈的重要行業和關鍵領域的單位，應當加強反間諜安全風險管控，定期開展資金流向、數據處理、技術應用、人才交流、貨物流通等方面的反間諜安全防範工作自查；（2）涉及科技安全的高等院校、科研機構、國防軍工等單位，應當加強涉密專家、高新技術項目、試驗場所等方面的反間諜安全防範管理；（3）涉及生物、數據等新型領域安全的單位，應當在國家安全機關和有關行業主管部門的指導下，根據新的安全需要加強相應領域的反間諜安全防範工作。
《條例》在第四章宣傳教育中指出，上海市在每年4月15日全民國家安全教育日等重要時間節點組織開展反間諜安全防範宣傳教育活動。
國家安全機關應當加強愛國主義教育、國家安全教育,開展有關反間諜安全防範的普法教育、風險警示教育、防範常識教育,指導機關、人民團體、企業事業組織和其他社會組織開展反間諜安全防範宣傳教育培訓工作；會同有關部門，組織、動員居民委員會、村民委員會開展反間諜安全防範宣傳教育工作。
03 網路安全技術應用試點示範工作啟動
工業和信息化部、國家互聯網信息辦公室、水利部、國家衛生健康委員會、應急管理部、中國人民銀行、國家廣播電視總局、中國銀行保險監督管理委員會、中國證券監督管理委員會、國家能源局、國家鐵路局、中國民用航空局等十二部門近日聯合印發通知，組織開展網路安全技術應用試點示範工作，將面向公共通信和信息服務、能源、交通、水利、應急管理、金融、醫療、廣播電視等重要行業領域網路安全保障需求，從雲安全、人工智慧安全、大數據安全、車聯網安全、物聯網安全、智慧城市安全、網路安全共性技術、網路安全創新服務、網路安全「高精尖」技術創新平台9個重點方向，遴選一批技術先進、應用成效顯著的試點示範項目。
04 國標《重要數據識別指南》起草發生重大修改
《數據安全法》和《網路數據安全管理條例（徵求意見稿）》（以下簡稱《條例》）均提出，國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據採取不同的保護措施。不僅如此，《條例》還專設第五章「重要數據安全」。這意味著，我國正在通過立法建立重要數據安全監管制度，重要數據處理者要履行一系列法定義務。因此，什麼是「重要數據」，成為我國數據安全工作中急迫需要解決的問題。2020年，全國信息安全標准化技術委員會立項制定國家標准《重要數據識別指南》。2021年9月，標准起草組在小貝說安全公布了最新的標准草案。《條例》在2021年11月14日公開徵求意見後，根據全國信息安全標准化技術委員會秘書處的工作安排，標准起草組又對《重要數據識別指南》作了修改。本次修改後，標准內容發生重大變化，起草組在此公開標准草案最新版，並披露了修改思路。需要指出，該版本是經《重要數據識別指南》編制組授權，在小貝說安全首發，僅供各方參考和提出意見、建議。據悉，標准即將在全國信息安全標准化技術委員會官方網站正式徵求意見。

近期，起草中的國家標准《重要數據識別指南》發生重大修改。2022年1月7日，全國信息安全標准化技術委員會秘書處組織了對該標準的審議，根據會議意見，編制組已修改形成徵求意見稿。本期文章將介紹此次重大修改的基本思路，並經編制組授權首次公布標准當前進展情況。標准正式文本以近期官方網站公布為准。
標準的主要改動體現在，取消了對重要數據的「特徵」說明，因為這些特徵依然不可避免地涉及行業分類，對各地方、各部門制定部門、本行業以及本系統、本領域的重要數據識別細則帶來了不必要的約束。為此，標准編制組進一步調研了全球其他國家在網路安全、數據安全領域制定類似標準的情況，並選擇了美國制定的《國家安全系統識別指南》作為參照。該指南已運行13年之久，其可操作性已得到充分證明。目前，《重要數據識別指南》的起草思路與其類似。
國外
01 瑞士軍隊要求其人員使用Threema即時通訊應用程序
據1月 9日報，瑞士軍隊已經禁止了Signal、Telegram和WhatsApp等外國即時通訊應用程序，只允許其成員使用在瑞士開發的Threema消息傳遞應用程序。
Threema是即時通訊工具，旨在生成盡可能少的用戶數據。所有通信都是端到端加密的，並且該應用程序是開源的。Threema不要求用戶在注冊時提供電話號碼或電子郵件地址，這意味著無法通過這些數據鏈接用戶的身份。
最近，媒體分享了一份聯邦調查局的培訓文件，該文件揭示了美國執法部門的監視能力，詳細說明了可以從加密的消息應用程序中提取哪些數據。
該文件分析了對多個加密消息傳遞應用程序的合法訪問，包括iMessage、Line、Signal、Telegram、Threema、Viber、WhatsApp、WeChat或Wickr。
培訓文件中報告的信息提供了執法部門訪問流行消息傳遞應用程序內容的能力的最新情況。聯邦調查局無法訪問Signal、Telegram、Threema、Viber、WeChat和Wickr的消息內容，同時他們可以有限地訪問來自iMessage、Line和WhatsApp的加密通信內容。
無論如何，根據單個加密消息傳遞應用程序，執法部門可以提取不同的元數據，從而可以揭開最終用戶的面紗。
奇怪的是，瑞士軍隊要求軍事人員使用Threema作為私人用戶，而不是使用稱為Threema Work的商業版本。
02 取證專家在PC上保留了謀殺快照入獄
據1月10日報道，一名警方法醫專家因將數千張來自警方計算機系統的嚴峻圖像下載到他自己的計算機上而被送進英國的監獄。
斯塔福德附近小海伍德的56歲的達倫·柯林斯（Darren Collins）承認非法訪問犯罪現場的照片和對謀殺受害者進行的屍檢。
皇家檢察院（CPS）表示，柯林斯利用他的數字專業知識創建了自己的訪問資料庫的途徑，而他無權這樣做，被描述為一種'後門'技術，避免了適當和合法的訪問程序。
柯林斯將這些圖像復制到USB記憶棒上，將存儲設備帶回家，然後將其內容傳輸到他自己的個人電子設備上。
在2014年1月至2018年12月期間，數字取證專家柯林斯非法訪問了存儲在警方計算機系統上的3000多張圖像。
03 網路竊賊突襲Grass Valley
據1月10日報道，對加利福尼亞州一個城市的網路攻擊導致屬於供應商、城市員工及其配偶的個人和財務數據泄露。
Grass Valley發布的一份數據安全事件通知指出，去年有四個月，一名未知的攻擊者能夠訪問該市的一些IT系統。
該市表示，攻擊者利用他們在2021年4月13日至7月1日期間享受的未經授權的訪問來竊取屬於未指定數量的數據。
受數據泄露影響的受害者包括Grass Valley員工、前員工、配偶、家屬以及該市僱用的個人供應商。其他受害者包括可能已向Grass Valley警察局提供資料的個人，以及在貸款申請文件中向Grass Valley社區發展部提供資料的個人。
12 月 1 日，對威脅參與者訪問了哪些文件以及哪些數據遭到入侵的審查已經結束。在攻擊期間暴露的信息被發現包括社會安全號碼、駕駛執照號碼、供應商名稱以及有限的醫療或健康保險信息。
對於可能已向Grass Valley警察局提供信息的個人，受影響的數據包括姓名和以下一項或多項：社會安全號碼、駕駛執照號碼、財務帳戶信息、支付卡信息、有限的醫療或健康保險信息、護照號碼以及在線帳戶的用戶名和密碼憑據。
那些申請社區發展貸款的人可能的姓名和社會安全號碼、駕駛執照號碼、財務帳號和支付卡號遭到入侵。
04 超過一半的中小企業經歷過網路安全漏洞攻擊
據1月10日報道，根據保險公司Markel Direct的一項新研究，英國超過一半（51%）的中小企業和自僱工人經歷過網路安全漏洞攻擊。
調查結果來自對英國1000家中小企業和自僱人士的調查，突顯了人們的擔憂，即由於缺乏資源和網路安全專業知識，這些組織面臨特別高的網路攻擊風險，COVID-19期間加劇了這個問題。
這些組織面臨的最常見的攻擊方法是與惡意軟體/病毒相關的（24%）、數據泄露（16%）和網路釣魚攻擊（15%）。超過三分之二（68%）的受訪者表示，他們經歷的違規行為成本高達5000英鎊。
該研究還分析了中小企業和自僱人士採取的網路安全措施的程度。近九成（88%）的受訪者表示，他們至少有一種形式的網路安全，如防病毒軟體、防火牆或多因素身份驗證，70%的受訪者表示，他們對自己的網路安全安排相當有信心或非常有信心。
在這些組織和個人中，53%擁有防病毒/惡意軟體，48%的人投資了防火牆和安全網路。此外，近三分之一（31%）的受訪者表示，他們每月進行風險評估和內部/外部審計。
令人擔憂的是，11%的受訪者表示他們不會在網路安全措施上花任何錢，認為這是"不必要的成本"。
Markel Direct的直接和合作夥伴關系總監Rob Rees評論說："對大公司的網路攻擊通常是頭條新聞，特別是考慮到過去幾年發生的一些重大違規行為。然而，中小企業和自僱人士也面臨風險，其後果可能對小型企業造成毀滅性打擊，這些企業可能無法從網路漏洞的財務影響中恢復過來或失去客戶的信任。
網路犯罪分子通常以自僱人士和中小企業為目標，因為他們缺乏大型企業在網路安全方面投資的資源。中小企業和自僱人士成為網路攻擊的目標，最終可能面臨財務和運營後果，其中一些人可能永遠無法從中恢復過來。
05 美國對商業間諜軟體發出警告
據1月10日報道，美國政府安全專家發布了針對商業間諜軟體可能目標的新指南，以保護自己免受不必要的監視。
"一些政府正在使用商業監控軟體來瞄準全球的持不同政見者、記者和其他他們認為是批評者的人，"美國國家反情報和安全中心（NCSC）在Twitter帖子中警告說。
"商業監視工具的使用方式也對美國人員和系統構成嚴重的反間諜和安全風險。
該通知解釋說，間諜軟體正在使用Wi-Fi和蜂窩數據連接部署到移動和其他互聯網連接設備。
"在某些情況下，惡意行為者可以在設備所有者不採取行動的情況下感染目標設備。在其他情況下，他們可以使用受感染的鏈接來訪問設備，"它說。
該指導文件由NCSC和國務院聯合發布，警告間諜軟體可以監控電話、設備位置和設備上的幾乎任何內容，包括簡訊、文件、聊天、消息傳遞應用程序內容、聯系人和瀏覽歷史記錄。
針對潛在目標的建議包括定期更新軟體，切勿點擊未經請求的消息中的鏈接，加密和密碼保護設備，並定期重新啟動設備以幫助刪除惡意軟體植入物。
06 研究人員在十幾個廣泛使用的URL解析器庫中發現了錯誤
據1月 10報道，對16個不同的統一資源定位器（URL）解析庫的研究發現了不一致和混亂，這些不一致和混亂可以被利用來繞過驗證，並為各種攻擊媒介打開大門。
在網路安全公司Claroty和Synk聯合進行的深入分析中，在用C，javaScript，PHP，Python和Ruby語言編寫並被多個Web應用程序使用的許多第三方庫中發現了八個安全漏洞。
使用多個解析器是發現這八個漏洞的兩個主要原因之一，另一個是當庫遵循不同的URL規范時不一致引起的問題，有效地引入了可利用的漏洞。
濫用范圍包括涉及包含反斜杠（"\"）的URL的混淆，斜杠的不規則數量（例如，https:///www.example[。]com）或URL 編碼數據（"%"），以指向缺少 URL 方案的 URL，這些 URL 可能被利用來獲得遠程代碼執行，甚至階段性拒絕或服務 （DoS） 和開放重定向網路釣魚攻擊。
發現的八個漏洞列表如下，所有這些漏洞都已由各自的維護者解決 -
· Belledonne的SIP堆棧（C，CVE-2021-33056）)
· 視頻.js（JavaScript，CVE-2021-23414)
· Nagios XI （PHP， CVE-2021-37352)
· Flask-security（Python，CVE-2021-23385)
· Flask-security-too （Python， CVE-2021-32618)
· Flask-unchained （Python， CVE-2021-23393)
· Flask-User （Python， CVE-2021-23401)
· 清除（Ruby，CVE-2021-23435)
07 Abcbot僵屍網路鏈接到Xanthe Cryptomining惡意軟體的運營商
據1月10日報道，對名為Abcbot的新興DDoS僵屍網路背後的基礎設施的新研究發現了與2020年12月曝光的加密貨幣采礦僵屍網路攻擊的聯系。
奇虎360的Netlab安全團隊於2021年11月首次披露了涉及Abcbot的攻擊，該攻擊是通過惡意shell腳本觸發的，該腳本針對由華為、騰訊、網路和阿里雲等雲服務提供商運營的不安全雲實例，以下載將機器選擇到僵屍網路的惡意軟體，但在此之前不會終止來自競爭威脅參與者的進程並建立持久性。
有問題的shell腳本本身就是趨勢科技在2021年10月最初發現的早期版本的迭代，該版本攻擊了華為雲中易受攻擊的ECS實例。
但有趣的是，通過映射所有已知的入侵指標（IoC），包括IP地址、URL和樣本，對僵屍網路的持續分析揭示了Abcbot的代碼和功能級別與稱為Xanthe的加密貨幣挖掘操作的代碼和功能級別相似性，該操作利用錯誤配置的Docker實現來傳播感染。
"同一個威脅行為者同時負責Xanthe和Abcbot，並正在將其目標從在受感染的主機上挖掘加密貨幣轉移到傳統上與僵屍網路相關的活動，例如DDoS攻擊，"Cado Security的Matt Muir在與The Hacker News分享的一份報告中說。
兩個惡意軟體系列之間的語義重疊范圍從源代碼的格式化方式到為常式提供的名稱，某些函數不僅具有相同的名稱和實現（例如，"nameservercheck"），而且還將單詞"go"附加到函數名稱的末尾（例如，"filerungo"）。
"這可能表明該函數的Abcbot版本已經迭代了幾次，每次迭代都會添加新功能，"Muir解釋說。
此外，對惡意軟體的深入檢查揭示了僵屍網路通過使用通用的、不顯眼的名稱（如"自動更新器"，"記錄器"，"sysall"和"系統"）來創建多達四個自己的用戶以避免檢測，並將它們添加到sudoers文件中，以使流氓用戶對受感染的系統具有管理許可權。
"代碼重用甚至類似復制經常出現在惡意軟體家族和任何平台上的特定樣本之間，"Muir說。"從發展的角度來看，這是有道理的。正如合法軟體的代碼被重用以節省開發時間一樣，非法軟體或惡意軟體也是如此。
08 APT黑客在最近的惡意軟體攻擊中達成自己的目標
據1月9日報道，威脅獵人已經揭示了一個名為Patchwork的印度裔黑客組織所採用的策略、技術和程序，這是2021年11月下旬開始的新運動的一部分，該運動針對巴基斯坦政府實體和個人，研究重點是分子醫學和生物科學。
"具有諷刺意味的是，我們收集的所有信息都是可能的，這要歸功於威脅行為者用自己的[遠程訪問特洛伊木馬]感染自己，導致捕獲到他們的擊鍵和他們自己的計算機和虛擬機的屏幕截圖，"Malwarebytes威脅情報團隊在周五發布的一份報告中說。
成功滲透的突出受害者包括巴基斯坦國防部、伊斯蘭堡國防大學、UVAS拉合爾生物科學學院、國際化學和生物科學中心（ICCBS），H.E.J.化學研究所和薩利姆哈比卜大學（SBU）。
該間諜組織主要以打擊巴基斯坦、中國、美國智囊團以及位於印度次大陸的其他目標而聞名，其名稱來自以下事實：其所用惡意軟體工具大部分代碼都是從網路上公開的各種來源復制和粘貼的。
"這個威脅行為者使用的代碼是從各種在線論壇復制粘貼的，以一種讓我們想起拼湊被子的方式，"現已倒閉的以色列網路安全初創公司Cymmetria的研究人員在2016年7月發表的調查結果中指出。
多年來，他們進行的連續秘密行動試圖放棄並執行QuasarRAT以及名為BADNEWS的植入，該植入充當攻擊者的後門，使他們能夠完全控制受害者機器。2021年1月，還觀察到威脅組織利用Microsoft Office中的遠程執行代碼漏洞（CVE-2017-0261）在受害計算機上提供有效載荷。
最新的活動沒有什麼不同，因為對手用RTF文件吸引潛在目標，這些文件冒充巴基斯坦當局，最終充當部署BADNEWS木馬新變種Ragnatela的渠道 - 在義大利語中意為"蜘蛛網" - 使操作員能夠執行任意命令，捕獲擊鍵和屏幕截圖，列出和上傳文件，並下載其他惡意軟體。
新的誘餌據稱來自卡拉奇的巴基斯坦國防軍官住房管理局（DHA），包含微軟方程式編輯器的漏洞，該漏洞被觸發以破壞受害者的計算機並執行Ragnatela有效載荷。
但是在OpSec失敗的情況下，威脅行為者最終也用RAT感染了他們自己的開發機器，因為Malwarebytes能夠揭示其許多策略，包括使用雙鍵盤布局（英語和印度語）以及採用虛擬機和VPN，如VPN Secure和CyberGhost來隱藏其IP地址。
09 組織每周遭受925次攻擊，創歷史新高
據1月10日報道，研究人員發現2021年網路攻擊同比增長50%，由於Log4j漏洞引發網路攻擊在12月達到頂峰。
2021年在Log4Shell引發的閃電戰中將自己拖入尾聲。自上個月發現該漏洞以來，每小時有數百萬次針對Log4j的攻擊，全球每個組織每周有925次網路攻擊的破紀錄峰值。
這個數字來自Check Point Research（CPR）的周一報告，該報告發現Log4Shell攻擊是2021年企業網路上每周整體攻擊次數同比增長50%的主要原因。
截至10月，CPR報告增加了40%，早期的數據顯示，全球每61個組織中就有一個每周受到勒索軟體的攻擊。
CPR研究人員表示，教育/研究是2021年遭受攻擊量最高的行業，平均每個組織每周有1，605次攻擊：比2020年增加了75次。舉個例子：截至12月30日，高級持續威脅（APT）Aquatic Panda正在使用Log4Shell漏洞利用工具瞄準大學，試圖竊取工業情報和軍事機密。
第二受歡迎的部門是政府/軍隊，每周發生1，136次襲擊：增加了47%。接下來是通信行業，每個組織每周有1，079次攻擊：增加了51%。
非洲去年經歷了最多的攻擊，每個組織平均每周有1，582次攻擊：比2020年增加了13%。
亞太地區每個組織的每周攻擊增加了25%，平均每周攻擊次數為1，353次。拉丁美洲每周有1，118次攻擊，增長了38%;歐洲每周有670次攻擊，增加了68%;北美每個組織平均每周有503次攻擊，比2020年增加了61%。
CPR的建議是："在混合環境中，邊界現在無處不在，安全性應該能夠保護一切。該公司表示，電子郵件、網頁瀏覽、伺服器和存儲"僅僅是基礎"：移動應用程序、雲和外部存儲也是"必不可少的"，連接的移動和端點設備以及物聯網（IoT）設備的合規性也是如此。
此外，CPR建議，"多雲和混合雲環境中的工作負載、容器和無伺服器應用程序應始終成為清單的一部分。
最佳安全實踐標准：及時了解安全補丁以阻止利用已知缺陷的攻擊，對網路進行分段，在網段之間應用強大的防火牆和 IPS 保護措施，以遏制感染在整個網路中傳播，並教育員工識別潛在威脅。
"很多時候，用戶意識可以在攻擊發生之前阻止攻擊，"CPR研究人員建議。"花點時間教育你的用戶，並確保如果他們看到異常情況，他們會立即向你的安全團隊報告。用戶教育一直是避免惡意軟體感染的關鍵因素。
最後，實施先進的安全技術，CPR說。"沒有一種銀彈技術可以保護組織免受所有威脅和所有威脅媒介的侵害。但是，有許多偉大的技術和想法可用 - 機器學習、沙盒、異常檢測等等。
CPR 建議考慮兩個關鍵組件：威脅提取（文件清理）和威脅模擬（高級沙盒）。"每個元素都提供不同的保護，當一起使用時，提供了一個全面的解決方案，可以在網路級別和直接在端點設備上防止未知惡意軟體侵害。
10 新的ZLoader惡意軟體活動襲擊了111個國家的2000多名受害者
據1月10日報道，Check Point Research的專家於2021年11月初發現了一個新的ZLoader惡意軟體活動。惡意軟體活動仍然活躍，截至2022年1月2日，威脅行為者已經竊取了111個國家/地區2000多名受害者的數據和憑據。

Zloader是一種銀行惡意軟體，至少自2016年以來一直活躍，它從臭名昭著的Zeus 2.0.8.9銀行木馬中借用了一些功能，並用於傳播類似宙斯的銀行木馬（即Zeus OpenSSL）。
攻擊鏈利用合法的遠程管理軟體 （RMM） 來獲取對目標系統的初始訪問許可權。感染鏈從在受害者的機器上安裝Atera軟體開始。Atera 是一種合法的企業遠程監控和管理軟體，可以使用包含所有者電子郵件地址的唯一.msi文件安裝代理並將端點分配給特定帳戶。攻擊者使用臨時電子郵件地址"[email protected]"創建了此安裝程序。與之前的 Zloader 活動一樣，該文件偽裝成 Java 安裝。
然後，惡意軟體利用Microsoft的數字簽名驗證方法將其有效負載注入已簽名的系統DLL中，以逃避檢測。
威脅行為者利用一個漏洞，跟蹤為CVE-2013-3900，該漏洞於2013年被發現並修復，但在2014年微軟修訂了該修復程序。
WinVerifyTrust 函數處理PE文件的 Windows Authenticode 簽名驗證的方式中存在一個遠程執行代碼漏洞。匿名攻擊者可以通過修改現有的已簽名可執行文件來利用此漏洞，以利用文件的未經驗證的部分，從而在不使簽名無效的情況下向文件添加惡意代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。
在調查過程中，專家們發現了一個開放目錄，託管在teamworks455.com上，它持有一些下載在廣告系列中的文件。惡意軟體操作員每隔幾天就會更改文件，對文件"條目"的分析允許檢索感染Zloader及其原籍國的受害者列表。
"這里看到的兩種值得注意的方法是使用合法的RMM軟體作為對目標機器的初始訪問，並將代碼附加到文件的簽名中，同時仍然保持簽名的有效性並使用mshta.exe運行它。
將代碼附加到文件簽名的能力已經存在多年，並且如上所述分配了多個CVE。"為了緩解此問題，所有供應商都應遵守新的 Authenticode 規范，以將這些設置作為默認設置，而不是選擇加入更新。在此之前，我們永遠無法確定我們是否可以真正信任文件的簽名。

④ 安裝Python(x,y)時，360提示有木馬，這是什麼情況

1.你要確保你沒有木馬。如果真有木馬，360提示也是對的。如果你機器上中了木馬，360在特定情況下沒有檢測到。或者是頑固型木馬。360殺不掉。這時你下載一個文件，它就感染一個文件。

2.別理360，忽略後，繼續安裝。如果真有木馬。360會幫你殺掉的。

4.360提示錯了。不是木馬。只是安裝程序需要修改注冊表，訪問其它程序的的目錄。僅此而亦。python的程序很容易被誤判成木馬。 這個很有些冤枉。

⑤ python怎麼實現web安全測試

python有自帶的httplib, urllib, xmlrpclib等函數方便你使用抓取功能，還有就是第三方的BeautifulSoup也不錯，詳細的爬取代碼，建議慕課網搜python爬取，畢竟視頻講的更清楚

⑥ Python有什麼缺點呢

1. - 運行速度慢，因為Python是解釋型語言，是一種高級語言，代碼會在執行的時候，一行一行的使用解釋器翻譯成底層代碼，翻譯成機器碼，而這個過程非常耗時，所以他運行過程中，比很多語言的代碼都慢了很多。
- 線程不能利用多CPU，這是Python最大的確定，GIL即全局解釋器鎖（Global Interpreter Lock），是計算機程序設計語言解釋器用於同步線程的工具，使得任何時刻僅有一個線程在執行，Python的線程是操作系統的原生線程。在Linux上為pthread，在Windows上為Win thread，完全由操作系統調度線程的執行。一個python解釋器進程內有一條主線程，以及多條用戶程序的執行線程。即使在多核CPU平台上，由於GIL的存在，所以禁止多線程的並行執行。
Python的優缺點可以看看傳智播客的社區，裡面很多技術老師寫的相關文章。並且有學習線路圖適合小白學習，每個板塊下面都有配套視頻。

⑦ 源代碼防泄密SDC沙盒，安全不安全

我駁斥《沙盒用於數據防泄密是重大技術原理性失誤》
我駁斥《走出源代碼防泄密困境》
我駁…，等一下，我先刪一下SDC沙盒PJ 帖。
好了，PJ的貼子你們已經看不到了！

⑧ Python 有什麼奇技淫巧

看看下面這些算不算1.元類（metaclass）PyPy的源碼里有個pair和extendabletype"""Twomagictricksforclasses:classX:__metaclass__=extendabletype#insomeotherfileclass__extend__(X):#hthesecondtrick,whichletsyoubuildmethodswhose'self':class__extend__(pairtype(X,Y)):attribute=42defmethod((x,y),other,arguments):pair(x,y).attributepair(x,y).method(other,arguments)atgointothepair(),withtheusualrulesofmethod/attributeoverridingin(pairsof)subclasses.Formoreinformation,seetest_pairtype."""classextendabletype(type):"""Atypewithasyntaxtrick:'class__extend__(t)''t'insteadofcreatinganewsubclass."""def__new__(cls,name,bases,dict):ifname=='__extend__':forclsinbases:forkey,valueindict.items():ifkey=='__mole__':continue#?setattr(cls,key,value)returnNoneelse:returnsuper(extendabletype,cls).__new__(cls,name,bases,dict)defpair(a,b):"""Returnapairobject."""tp=pairtype(a.__class__,b.__class__)returntp((a,b))#={}defpairtype(cls1,cls2):"""type(pair(a,b))ispairtype(a.__class__,b.__class__)."""try:pair=pairtypecache[cls1,cls2]exceptKeyError:name='pairtype(%s,%s)'%(cls1.__name__,cls2.__name__)bases1=[pairtype(base1,cls2)forbase1incls1.__bases__]bases2=[pairtype(cls1,base2)forbase2incls2.__bases__]bases=tuple(bases1+bases2)or(tuple,)#'tuple':ultimatebasepair=pairtypecache[cls1,cls2]=extendabletype(name,bases,{})returnpair先說extendabletype。嘛其實注釋已經說得聽明白了，就是一個C#裡面的partialclass的Python實現。然後是pair和pairtype。pairtype就是根據兩個類創建一個新的類，這個類繼承自使用這兩個類的基類構造的pairtype（有點繞……）或者tuple。有啥用呢？可以拿來實現multimethod。class__extend__(pairtype(int,int)):deffoo((x,y)):print'int-int:%s-%s'%(x,y)class__extend__(pairtype(bool,bool)):defbar((x,y)):print'bool-bool:%s-%s'%(x,y)pair(False,True).foo()#prints'int-int:False,True'pair(123,True).foo()#prints'int-int:123,True'pair(False,True).bar()#prints'bool-bool:False,True'pair(123,True).bar()#Oops,nosuchmethod好像這個例子里元類只是個打輔助的角色，好玩的都在那個pair里……再換一個。classGameObjectMeta(type):def__new__(mcls,clsname,bases,_dict):fork,vin_dict.items():ifisinstance(v,(list,set)):_dict[k]=tuple(v)#mutableobjnotallowedcls=type.__new__(mcls,clsname,bases,_dict)all_gameobjects.add(cls)forbinbases:game_objects_hierarchy.add((b,cls))returncls@staticmethoddef_mp_gameobject_hierarchy():withopen('/dev/shm/gomap.dot','w')asf:f.write('digraph{\nrankdir=LR;\n')f.write('\n'.join(['"%s"->"%s";'%(a.__name__,b.__name__)fora,bingame_objects_hierarchy]))f.write('}')def__setattr__(cls,field,v):type.__setattr__(cls,field,v)iffieldin('ui_meta',):returnlog.warning('SetAttr:%s.%s=%s'%(cls.__name__,field,repr(v)))這個是從我寫的三國殺游戲中提取的一段代碼（點我簽名上的鏈接）。大意就是把class上所有可變的容器都換成不可變的，然後記錄下繼承關系。曾經被這個問題坑過，class上的值是全局共享的，邏輯代碼一不小心修改了class上的值，單機測試的時候是測不出來的，然後放到線上……就悲劇了……當時絞盡腦汁沒有想到是這個問題硬生生的回滾了……發現了問題之後就加上了這個東西，不允許修改class上的東西。記錄下繼承關系是為了畫類圖。還有就是常用的做數據注入metadata={}defgen_metafunc(_for):defmetafunc(clsname,bases,_dict):meta_for=getattr(_for,clsname)meta_for.ui_meta=UIMetaDescriptor()ifmeta_forinmetadata:raiseException('%sui_metaredefinition!'%meta_for)metadata[meta_for]=_.thbimportcharacters__metaclass__=gen_metafunc(characters.sakuya)classSakuya:#於是這個就不是類了，而是作為數據存到了metadata這個dict里char_name=u'十六夜咲夜'port_image='thb-portrait-sakuya'figure_image='thb-figure-sakuya'miss_sound_effect='thb-cv-sakuya_miss'description=(u'|DB完全瀟灑的PAD長十六夜咲夜體力：4|r\n\n'u'|G月時計|r：|B鎖定技|r，准備階段開始時，你執行一個額外的出牌階段。\n\n'u'|G飛刀|r：你可以將一張裝備牌當【彈幕】使用或打出。按此法使用的【彈幕】無距離限制。\n\n'u'|DB（畫師：小D@星の妄想鄉，CV：VV）|r')Ruby黨不要噴，我知道你們可以做的更優雅……2.Python沙盒逃逸刷新三觀的Python代碼3.PEP302NewImportHook最近在把剛才提到的純Python游戲向Unity引擎上移植。玩過Unity的就會知道，Unity的游戲的資源都是打包在一起的，沒有單獨的文件，Python解釋器就不高興了……於是寫了importhook，用Unity提供的API來讀py文件。#-*-coding:utf-8-*-#--stdlib--importimpimportsys#--thirdparty--#--own--fromclrimportUnityEngine,WarpGateController#--code--classUnityResourceImporter(object):known_builtin=('sys','imp','cStringIO','gevent_core','gevent_ares','gevent_util','gevent_semaphore','msgpack_packer','msgpack_unpacker','UnityEngine',)def__init__(self,bases,unity_loader):self.bases=basesself.last_fullname=''self.last_text=''self.last_ispkg=Falseself.unity_load=unity_loaderdeffind_mole(self,fullname,path=None):iffullnameinsys.moles:returnselfhead=fullname.split('.')[0]ifheadinself.known_builtin:returnNonerst=self.do_load_mole(fullname)ifrst:self.last_text,self.last_ispkg=rstself.last_fullname=fullnamereturnselfelse:returnNonedefload_mole(self,fullname):iffullnameinsys.moles:returnsys.moles[fullname]iffullname!=self.last_fullname:self.find_mole(fullname)try:code=self.last_textispkg=self.last_ispkgmod=sys.moles.setdefault(fullname,imp.new_mole(fullname))mod.__file__=""%fullnamemod.__loader__=selfifispkg:mod.__path__=[]mod.__package__=fullnameelse:mod.__package__=fullname.rpartition('.')[0]co=compile(code,mod.__file__,'exec')exec(co,mod.__dict__)returnmodexceptExceptionase:UnityEngine.Debug.LogError('Errorimporting%s%s'%(fullname,e))raiseImportError(e)defdo_load_mole(self,fullname):fn=fullname.replace('.','/')asset=self.try_load(fn+'.py')ifassetisnotNone:returnasset,Falseasset=self.try_load(fn+'/__init__.py')ifassetisnotNone:returnasset,Truedeftry_load(self,filename):forbinself.bases:asset=self.unity_load(b+filename)ifassetisnotNone:returnassetreturnNonesys.meta_path.append(UnityResourceImporter(['Python/THBattle/','Python/Site/','Python/Stdlib/',],WarpGateController.GetTextAsset))需要的extensionmole都靜態編譯到解釋器里了，所以沒考慮。4.可以批量執行操作的listclassBatchList(list):def__getattribute__(self,name):try:list_attr=list.__getattribute__(self,name)returnlist_attrexceptAttributeError:passreturnlist.__getattribute__(self,'__class__')(getattr(i,name)foriinself)def__call__(self,*a,**k):returnlist.__getattribute__(self,'__class__')(f(*a,**k)forfinself)classFoo(object):def__init__(self,v):self.value=vdeffoo(self):print'Foo!',self.valuefoo=Foo(1)foo.foo()#Foo!1foos=BatchList(Foo(i)foriinxrange(10))foos.value#BatchList([0,1,2,3,,9])foos.foo()#你能猜到的

⑨ Python在構建可執行的麻煩問題，怎麼解決

python的整個系統，我其實有非常多的不滿。但是用任何一門語言都是取捨問題，如果有一門語言，庫夠多，已讀，易用，性能高，我毫不猶豫立刻轉過去。python的強處在於龐大的庫，還有非常好的易讀和易用性。但是相比來說，性能一直是個問題。python的實現性能大約和C相差五倍上下。如果是大規模計算問題，大約能差10倍以上。當然，我們可以寫C擴展，但是這就不是使用python了。我們也可以說，很多時候我們不需要這么快的速度。這是個事實，但是不改變python性能差的事實。 python不但性能差，還有GIL這個玩意。以至於我現在對高並發計算都採取多進程的模式。多進程模式的通訊效率肯定比多線程低，而且麻煩。
另外，python在底層設計上，也表現出很強的實用主義傾向。這是比較外交術語的詞彙，更加直白的說法應當是，混亂，不知所謂。在閉包設計上採用free variable設計，而不是lisp中的environs設計。區別？你試試看在外層閉包中from lib import *。由於引入不定個數名稱，free variable無法處理。類似的問題還有LEGB規則，新手往往要花很長時間研究這個例子究竟是怎麼錯的： a = 1 def f(): print a a = 2 我勒個去，這種反直觀反人類的事情都有，還敢說自己易讀。
還有坑爹的元編程，這東西根本是坑爹中的坑爹貨。如果你用過多重繼承，大概就知道python的整個OO系統看起來根本是大型的模擬，到處都是亂糟糟的。C++怎麼解決多重繼承的？你最好別用（真心說，這可比python更加坑爹）。java怎麼解決多重繼承的，只能繼承Interface。其實這是變相的變成了Interface-Implement模式。python怎麼解決的？MRO！為什麽一個類加個__metaclass__就會改變性質啊，為什麽一個類去生成另一個類的寫法是——我基本不記得了，反正web.py裡面有用到，需要的話去炒栗子吧。為什麽方法要隱藏居然要改名字加__啊。你到底是在做OO還是在看起來像OO的東西上狂打補丁啊魂淡。
lambda表達式弱智。我和人討論過，lambda是否是圖靈完備的。結論還是完備的，不過需要藉助Y combinator。何必呢？由於強調lambda的快速特性，因此將lambda強制在一行以內（沒有結束標記），導致python其實是沒有匿名函數的。一個callback數組寫的難過死。
語法糖太多了點，當然，這是純粹的個人感覺。語法糖是把雙刃劍，用的好，可以簡化編寫和閱讀，但是太多，往往容易引入語法混亂和額外的約束。
另外，語言的自構建特性混亂。雖說不是每門語言都強調自構建特性，但是通常而言，都是使用C實現一個內核，由內核實現一些基礎操作。再由基礎操作實現更復雜的操作。每層的邊界都是比較清晰的。誰來告訴我，python中有多少庫在移植時是由純python實現的？庫的相互依賴層級是？
python的沙盒化也是個問題，如果沙盒做的夠好，我完全可以把python作為一個客戶級別的平台。用C寫一個很簡單的類似瀏覽器的東西，下載一個URL的python包回去運行（或者僅僅檢查更新）。從而保證本地效果/跨平台/安全性。現在？一個都保證不了。我連把一個python包轉移到另一台同構設備上都很麻煩（如果兩者不是嚴格匹配，例如系統差異，系統版本差異）無論是web開發還是移動終端開發都必須走傳統模式。
Time/System Time 時間/系統時間

⑩ 如何在CentOS6上安裝Python2.7和Python3.3

如何在CentOS 6上同時安裝Python 2.7和Python 3.3

本文將介紹如何在CentOS 6上安裝Python 2.7和3.3。下面以Python 2.7.6和Python 3.3.5為例進行說明，但本人實測該教程同樣適合於Python3.4.0.

CentOS 6自帶了Python 2.6.6（CentOS 7則自帶了Python 2.7）和一些非常好用的功能，如yum。但是，注意不要隨便升級自帶的Python以免yum不可用。新版本將安裝在/usr/local目錄下以避免和自帶的版本沖突。

雖然「我」只在64位的CentOS 6.5進行了嘗試，但該教程應該適用於所有的CentOS 6版本（本人按此教程在CentOS 7上亦成功安裝Python3.4）。

下面的示例命令您最好以root身份運行或者在命令前加sudo賦予許可權。但注意，若不是以root身份執行的話，make 與make install最好分開執行，並且都在前面加sudo，連著寫，如sudo make && make install的話會在make install過程中報許可權不足問題，因為sudo不作用於&&後面的make install。

安裝前准備

編譯Python之前您最好先安裝一系列的開發工具和一些拓展庫，雖然不是必須的，但這樣Python才能依賴這些工具和拓展庫展示它強悍的功能。下面是利用yum進行工具和拓展庫安裝的示例命令，直接執行即可（注意部分命令顯示不全，但可以通過移動游標查看和復制）。

yum groupinstall "Development tools"

yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-devel

該考慮的因素

在您編譯和安裝Python之前，有些東西您是應該知道或考慮的。如下。

Unicode編碼

Python編碼問題歷史悠久，但不用過多關注，知道它目前支持Unicode編碼即可（Python3中默認的）。考慮到兼容性等原因，除非有特殊的理由，您最好配置下Python 3.2和更早的版本，使其支持UTF-32編碼，雖然會增加小小的內存代價。在Python 2.7中您可以通過在configure時添加選項--enable-unicode=ucs4進行配置，而在Python 3.2中是--with-wide-unicode選項。

Shared library（動態共享庫）

目前大部分的Linux系統自帶的Python都是以共享庫的方式編譯的, 此外，某些第三方工具例如mod_wsgi和Blender，沒有Python的共享庫還運行不了，所以，您最好還是把Python編譯成動態共享庫吧。為了以共享庫方式編譯Python，您必須指明共享庫的路徑。您有兩種選擇：

• 在configure命令後面添加:LDFLAGS="-Wl,-rpath /usr/local/lib"從而將庫路徑直接編譯進Python中。

• 以記事本方式打開/etc/ld.so.conf，然後在文件最後添加新行：/usr/local/lib。緊接著運行命令/sbin/ldconfig更新動態鏈接器。 添加後的文件內容在CentOS 6.5 如下:
  

  /etc/ld.so.conf

  1

  2

  include ld.so.conf.d/*.conf

  /usr/local/lib

  使用 「make altinstall」 而不是make install

  切記，在安裝自定義版本的Python時，make altinstall命令是必須的！如果您使用一般的make install命令，呵呵，您將會在解壓編譯的目錄下看到兩個命名一樣但版本不同的python，這有可能會導致一些意想不到的bug哦，具體是什麼作者沒說，我也不知道。

  下載，編譯，安裝Python

  如下命令可用於下載、編譯和安裝Python。注意，如果您打算安裝後手動修改/etc/ld.so.conf文件以更新動態鏈接器，那麼下面的 LDFLAGS 參數您就可以去掉了。

  1

  2

  3

  4

  5

  6

  7

  8

  9

  10

  11

  12

  13

  # Python 2.7.6:

  wget http://python.org/ftp/python/2.7.6/Python-2.7.6.tar.xz

  tar xf Python-2.7.6.tar.xz

  cd Python-2.7.6

  ./configure --prefix=/usr/local --enable-unicode=ucs4 --enable-shared LDFLAGS="-Wl,-rpath /usr/local/lib"

  make && make altinstall（此處切記，要麼以root運行，要麼分開執行！）

  # Python 3.3.5:

  wget http://python.org/ftp/python/3.3.5/Python-3.3.5.tar.xz

  tar xf Python-3.3.5.tar.xz

  cd Python-3.3.5

  ./configure --prefix=/usr/local --enable-shared LDFLAGS="-Wl,-rpath /usr/local/lib"

  make && make altinstall（此處切記，要麼以root運行，要麼分開執行！）

  執行上述命令之後，您可以在/usr/local/bin/python2.7或/usr/local/bin/python3.3中找到新安裝的Python。而Python 2.6.6則可能在/usr/bin/python,/usr/bin/python2或/usr/bin/python2.6找到。

  下載和安裝Setuptools + pip

  Setuptools早已取代Distribute成為Python官方的拓展包管理器，以用於從Python Package Index安裝拓展功能包。不同版本的Python需要的Setuptools版本不同。建議您也通過Setuptools安裝pip，它提供了一些額外在安裝拓展功能包時很有用的功能。

  以下的命令可用於安裝最新版Setuptools 和 pip。

  1

  2

  3

  4

  5

  6

  7

  8

  9

  10

  11

  12

  13

  14

  15

  # First
  get the setup script for Setuptools:

  wgethttps://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py

  # Then
  install it for Python 2.7 and/or Python 3.3:

  python2.7ez_setup.py

  python3.3ez_setup.py

  # Now
  install pip using the newly installed setuptools:

  easy_install-2.7pip

  easy_install-3.3pip

  # With
  pip installed you can now do things like this:

  pip2.7install[packagename]

  pip2.7install--upgrade[packagename]

  pip2.7uninstall[packagename]

  安裝的拓展功能包在/usr/local/lib/pythonX.Y/site-packages/中可以找到(X.Y是Python的版本號)。

  接下來幹嘛?

  如果您使用 Python 2.7，強烈建議您安裝virtualenv並學會使用它，它可用於創建獨立的 Python 環境。如果您使用 Python 3.3的話就可以省心些，它已被內置了。

  不同的 Python 運行環境(也叫沙盒) 可以有自己的 Python 版本和拓展功能包，就是說不同的Python安裝和運行的目錄不同，也可以為每個版本的Python安裝對應的名稱一樣但版本不同的拓展包。 這在開發多個功能不同的項目或在同一個項目中需要用到不同版本的Python是會很有用的。

  創建您第一個獨立的Python環境

  1

  2

  3

  4

  5

  6

  7

  8

  9

  10

  11

  12

  13

  14

  15

  16

  17

  18

  19

  20

  21

  22

  # Install
  virtualenv for Python 2.7 and create a sandbox called my27project:

  pip2.7installvirtualenv

  virtualenv-2.7my27project

  # Use
  the built-in pyvenv program in Python 3.3 to create a sandbox called my33project:

  pyvenv-3.3my33project

  # Check
  the system Python interpreter version:

  python--version

  # This
  will show Python 2.6.6

  # Activate
  the my27project sandbox and check the version of the default Python interpreter in it:

  sourcemy27project/bin/activate

  python--version

  # This
  will show Python 2.7.6

  deactivate

  # Activate
  the my33project sandbox and check the version of the default Python interpreter in it:

  sourcemy33project/bin/activate

  python--version

  # This
  will show Python 3.3.5

  deactivate

  當你使用 virtualenv創建一個運行沙盒時，它會自動在沙盒環境中為您安裝setuptools和 pip （聽起來不錯，可以還沒嘗試過）。但如果您使用 pyvenv 的話，您就必須自己動手安裝了。也簡單，激活沙盒之後通過運行下載的z_setup.py文件去安裝即可。