这个未知文件怎么能运行？

柯林

zlf719152253 发表于 2012-6-15 14:07
那COMODO从什么开始监控程序行为的？开机之后？我记得不是的吧，我以前还被搞蓝屏了呢

查开机顺序吧，按其论述，最早在winlogon.exe启动运行之时，最迟在explorer.exe启动之时，系统（应该就是explorer.exe或者winlogon.exe或者csrss.exe或者svchost.exe）在启动注册表里的自启动项，你看那些程序的规则——对注册表项全允许啊（即使禁用也不起作用，只要那些run之类的自启动键下有设置，系统就要启动它啊，毛豆里的RD控制，只是防止程序去创建、修改、删除键值啊）

通俗的比喻，这事儿就好比：学校规定——凡是带校徽的同学就可以自由进出学校   而HIPS就相当于是教务处：负责颁发校徽或吊销校徽

zlf719152253

柯林 发表于 2012-6-15 20:07
查开机顺序吧，按其论述，最早在winlogon.exe启动运行之时，最迟在explorer.exe启动之时，系统（应该就 ...

系统启动它当然没问题，但是程序毕竟还是会受COMODO的AD控制的吧！难道自启动的就不受管制了？肯定不是嘛！ 我也试过手动停止该服务，然后再手动启动，COMODO也没反应，这不是在系统启动时，而且手动双击会被沙盘隔离。

柯林

zlf719152253 发表于 2012-6-15 22:49
系统启动它当然没问题，但是程序毕竟还是会受COMODO的AD控制的吧！难道自启动的就不受管制了？肯定不是嘛 ...

这个是否属于一个大bug，就不知道了
你可以测试一下，自己写个批处理（删或者创文件），设定开机运行，看开机后它是不是真的完成实机操作了
或者把毛豆那个CLT测试程序设定run键，看开机后，它给出的测试分数及报告

zlf719152253

柯林 发表于 2012-6-15 22:55
这个是否属于一个大bug，就不知道了
你可以测试一下，自己写个批处理（删或者创文件），设定开机运行，看 ...

试了一个批处理，确实会被沙盘隔离，搞不懂了

柯林

zlf719152253 发表于 2012-6-15 23:48
试了一个批处理，确实会被沙盘隔离，搞不懂了

如果你没有将cmd设成永久入沙，那么结果，也是合乎逻辑的：设为开机启动，程序被系统启动，就跟你去点击一个程序，程序而被explorer启动一样，既然有人启动它，创建了一个进程，它当然就运行了，除非去启动它的程序其自身规则做了明确的限制——不允许运行该程序，否则必然被激活、启动。

当一个程序被激活、启动之后，按默认规则的自动识别判行的工作机制：凡是不能识别判定为安全的可执行文件，一律隔离进沙盘，除非你关了沙盘。所以，对于默认规则来讲，开着沙盘就是安全的。而对于毛豆来讲，不管一个程序被谁启动，一旦它开始运行，就得纳入毛豆的规则管理范畴。所以说，启动，其实一点也不可怕（当然也要分别看待，如果是dll之类的被启动，毛豆无法拦截，至于驱动文件被启动，后果也是无法拦截）。

请再次实验确认，看以上的逻辑推理是否成立。

zlf719152253

柯林 发表于 2012-6-16 09:30
如果你没有将cmd设成永久入沙，那么结果，也是合乎逻辑的：设为开机启动，程序被系统启动，就跟你去点击一 ...

经过多次重复尝试，针对我上面提到的未识别文件，下面是我的结果：
该系统服务项启动时（不管是自动还是手动），除非强制入沙，否则沙盘不会将其隔离。
若是在注册表run项里添加，在多次开机的过程中，只有一次没被沙盘隔离，当时打开COMODO的界面，显示正在初始化，但是该程序的后续行为被COMODO拦截并弹窗。其他几次都入沙了。猜想没被隔离的那一次可能是沙盘还未启动，属个例。
我在前面说的关于手动启动该服务项不弹窗的问题，是COMODO保护范围的问题，之前用的CFS规则，不保护Windows sockets，换用CPS规则后弹窗询问。
但是，换由系统自动启动时，开机仍没有弹窗，但是其运行了，这一点是实在是不明白，难道是当时COMODO组件还未启动？应该不是，我设置强制入沙时确实看到它在沙盘中，可入沙应该是拒绝访问该sockets接口的，可是日志里并没有拒绝的记录，程序在运行（我试验过，手动入沙会拒绝，程序不能运行）。所以我想弄明白由系统开机所启动的服务项是否受COMODO所管制。
还有一个小问题，右键入沙是什么限制等级，是根据可执行控制里的设置吗？

柯林

zlf719152253 发表于 2012-6-16 16:30
经过多次重复尝试，针对我上面提到的未识别文件，下面是我的结果：
该系统服务项启动时（不管是自动还是 ...

这大概涉及到权限问题，很明显，当前用户，除了系统管理员，一般是不可以动系统的注册表的，而系统服务项，已经是system权限的事了。一个程序以系统服务的方式启动，它持有的，应该是system权限，这在xp之类的系统中，已经是最高权限。你手动入沙，或是点击运行，持有的是explorer的权限——用户权限，被隔离很正常。系统服务，大概可以和驱动作同级别的看待，都是系统启动之时就已经加载的程序，毛豆的驱动也应该是等系统加载之后才发挥作用，可能就是这一时段的“真空”，造成了”拦截的失败“。

zlf719152253

柯林 发表于 2012-6-16 17:15
这大概涉及到权限问题，很明显，当前用户，除了系统管理员，一般是不可以动系统的注册表的，而系统服务项 ...

嗯！这种说法倒是可以接受！非常感谢！真棒！