请问卡巴斯基的这个提醒是怎么回事？

abcd36182

如图：
上面说什么信任程序由受限制的程序运行，为什么由受限制的程序运行就需要弹出提醒呢？难道这就是传说中的“白+黑”？（应该是黑（受限制的程序）+白（受信任的程序）吧？）
另外点了这个“信任该程序”的选项具体会发生什么呢？运行序列里的所有受限制的程序全部变成信任程序？

284678343

1、开启交互以后，当受限程序启动另一程序就会弹出提示，这是由默认的低限制组设置决定。

2、白+黑的意思是带有数字签名的exe+恶意的加载项，由于卡巴斯基默认信任数字签名。所以如果是带有数字签名的直接进入应用程序控制的信任组，而由该可执行程序所在的信任组，默认放行其加载的任何文件，之后导致系统中毒。

3、点击信任该程序后，将把现在执行的文件加入信任组中。

小丑鱼ZZW

楼主你应该把数字签名也取消了吧
信任之后程序会移动到信任组，现在应在低限制组

jimmie_qd

360的，应该是直接点信任。

abcd36182

284678343 发表于 2012-8-21 15:48
1、开启交互以后，当受限程序启动另一程序就会弹出提示，这是由默认的低限制组设置决定。

2、白+黑的意思 ...

当受限程序启动另一程序就会弹出提示，这是由默认的低限制组设置决定。

我看了一下低限制组的规则，在“权限”里的“启动其他进程”默认是允许（打勾）的，怎么会弹出提示呢？

而由该可执行程序所在的信任组，默认放行其加载的任何文件

包括未知的EXE文件吗？也就是说如果未知的EXE文件（在低限制组或高限制组）由“受信任组”的程序启动后卡巴斯基不会对这个未知的EXE文件进行病毒扫描和文件行为监控？

3、点击信任该程序后，将把现在执行的文件加入信任组中。

从上图可知，我现在执行的文件（隔离沙箱模块）已经是“受信任组”了，再加入一次信任组又会有什么用？

abcd36182

小丑鱼ZZW 发表于 2012-8-21 16:15
楼主你应该把数字签名也取消了吧
信任之后程序会移动到信任组，现在应在低限制组

对，我把信任数字签名的选项取消了。

信任之后程序会移动到信任组，现在应在低限制组

请问是上图中哪个程序会移动到受信任组呢？

284678343

abcd36182 发表于 2012-8-22 12:00
我看了一下低限制组的规则，在“权限”里的“启动其他进程”默认是允许（打勾）的，怎么会弹出提示呢？
...

1、你可以查看下图高亮那部分的设置：


2、未知的exe，可以理解成2种，一种是带有假冒的数字签名的exe，另一种是无数字签名的exe。如果是第一种，默认设置下卡巴斯基直接进入信任组；第二种，则按照正常的组规则提示。另外由受信任组启动限制组程序，卡巴斯基仍然会有正常的提示。


所谓“白+黑”的条件是卡巴斯基信任数字签名且首次通过利用假冒的数字签名进入受信任组的可执行程序。

3、是将启动“隔离沙箱模块”的程序加入受信任组，而不是“隔离沙箱模块”本身。

小丑鱼ZZW

abcd36182 发表于 2012-8-22 12:00
我看了一下低限制组的规则，在“权限”里的“启动其他进程”默认是允许（打勾）的，怎么会弹出提示呢？
...

低限制组启动其它程序默认是询问的，你的所出现的这个问题，是因为取消了签名后，360卫士被分配到了低限制组所导致的，然后调用了360沙箱，继承了360卫士这个父进程所导致的。
http://bbs.kaspersky.com.cn/thread-462498-1-1.html 看这篇文章的最后，也是低限制组调用受信任的IE的问题

abcd36182

284678343 发表于 2012-8-22 12:22
1、你可以查看下图高亮那部分的设置：

1、我看到了，这应该是针对某部分注册表进行的监控，和受限程序启动另一程序又有什么关系呢？修改特定注册表后就可以在瞬间启动另一程序？
2、应该懂了
3、是我语误，我指的就是“隔离沙箱模块”的程序，从1L的图就可以看出，图里的“360安全卫士 隔离沙箱模块”就是“隔离沙箱模块”的程序。但是很明显，图上已经说了360安全卫士 隔离沙箱模块属于“受信任组”，也就是弹出这个提示的时候，它已经被添加进受信任组了，按照你说的，“点击信任该程序后，将把现在执行的文件加入信任组中。”，可是现在“执行的文件”=“360安全卫士 隔离沙箱模块”=早就被添加进受信任组，怎么会再被添加一次？

284678343

1、就你这个弹窗而说，是因为受限程序满足询问条件，才弹窗提示。
2、NULL
3、请检查你的“360安全卫士 主程序”是否在信任组。