安简规则中为何启动项中的部分程序跑sandbox中去了？

天心之恋

如下图，这些程序都是在启动项中的，但是为什么一开机就全在sandbox中运行呢？
我用的是安简规则，这些程序在D+中基本上都放在基本可信和完全信任组中
求大神解惑

a256886572008

這一個不要打勾。

還有，BB 根本不會看 你在HIPS設置 信任的規則。

x-天秤座

a256886572008 发表于 2012-10-29 09:05
這一個不要打勾。

還有，BB 根本不會看 你在HIPS設置 信任的規則。

BB 根本不會看 你在HIPS設置 信任的規則。
---嗯，原来如此，今天算是明白和知道一点了。不过我是HIPS和BB全开，但是如果程序组用通配符来代替文件名的话，BB经常要参与；但是我把程序组的程序全部换成全路径后，直接HIPS规则就起作用了，不知道你们是不是。但是ThunderPlatform.exe这个程序始终要被BB起作用，在日志中，影响行为一栏目中是空白，就是ThunderPlatform不知道什么了ThunderPlatform自己----这个应该是bug。
以前winrar.exe也是每次都触发BB，我换成它的全路径就没有了。我的QQ这些依旧被规则限制，日志看得见。我是5的规则升级到6的规则修改后的。

a256886572008

x-天秤座 发表于 2012-10-29 14:17
BB 根本不會看 你在HIPS設置 信任的規則。
---嗯，原来如此，今天算是明白和知道一点了。不过我是HIPS和 ...

它會先看 HIPS Rules 裡面，設置"阻止"的規則。

然後，如果被自動入沙(被歸類到unrecognized files)，才會套用BB的規則。

---------------------
不想被自動入沙，有兩個方法：
1.移動到 trusted files

2.BB選項卡內，有個 Define exceptions for behavior blocking

-----------
不過，第2個會出現一個問題：
如果你排除的是一個未知的安裝包(被comodo歸類為Unknown/ Installer，V5可見)，且該安裝包吐出並執行的文件又是comodo未知的。

那麼，這文件還是會被自動入沙。
換句話說，這個排除功能，會把信任繼承功能給關閉。

一般建議，遇到未知安裝包，請用方法1，別用方法2。

x-天秤座

a256886572008 发表于 2012-10-29 15:29
它會先看 HIPS Rules 裡面，設置"阻止"的規則。

然後，如果被自動入沙(被歸類到unrecognized files) ...

   那么如果关闭BB的话，那是不是就如同V5里面关闭沙盘直接该程序被D+禁止了某些行为？
   V5我是这样理解的，如果该程序的行为超过了我在D+里面的限制，那么就会被提示是否进入沙盘，如果我禁用了沙盘就会把超出限制的行为给阻止从而只允许该程序运行被限制的行为，这也就是为什么有些高手说禁止沙盘增加安全性的说法，这种理解正确否？
   那么V6就是在V5的基础上在HIPS和沙盘中间又增加了个安全模块：BB，又增加了一道防火线从而让你通过BB来控制是否让程序入沙并且控制入沙等级（可以选择完全虚拟），是这样子的么？那么现在V6里面BB和沙盘如何相互配合才最合理呢？

a256886572008

x-天秤座 发表于 2012-10-29 18:18
那么如果关闭BB的话，那是不是就如同V5里面关闭沙盘直接该程序被D+禁止了某些行为？
   V5我是这样理 ...

1.關閉 BB，就和用 COMODO V3 那個手動HIPS一樣。

2.不在白名單內，就會被BB自動入沙。

3.在V6，你無法禁用sandbox。
如果你說的是"禁用BB"，那就和1一樣，在用手動HIPS。

禁用沙盤(這裡指BB)，用手動HIPS --> 反而提高風險 (因為，有無"繼承"，防禦能力差很多)
例：病毒執行IE，請問有哪個單用手動HIPS(safe mode)的敢允許？

4.V6只不過是把V5的部份限制給正名成Behavior Blocker

5.V6有兩種沙盤，一個實機策略，一個虛擬重定向。
一般，你用kill switch 看到被標誌成 fully virtualized，就是虛擬重定向。
其他 level 則是實機策略(自動HIPS規則阻止)。

第3種組合型，因為用不到，就不提了。

6.以V6目前套裝的默認配置來說：
第一道防線是 --> widget上面入沙的瀏覽器 或是 VK
第二道防線是 --> Behavior Blocker

x-天秤座

a256886572008 发表于 2012-10-29 19:12
1.關閉 BB，就和用 COMODO V3 那個手動HIPS一樣。

2.不在白名單內，就會被BB自動入沙。

感谢解答了。还有一个重要的问题：
1，如果我把文件放在BB的白名单内，BB就不会把它入沙，那么这样它是不是完全就受我限定的HIPS规则管理？如果是这样，我就不担心了。我担心入了BB的白名单后，对HIPS限制的规则有影响。
2，如果一个未知程序运行，一开始被HIPS限制某些行为，那么肯定BB会介入，除非关闭BB。但是如果一个已知程序被我HIPS限制例如弹IE流氓窗口之类，运行时候BB检测到有弹窗口行为而且也没有在白名单上会弹入沙窗口吧？这时候我应该怎么选择？入沙：会不会还会弹？或者选择完全虚拟、部分虚拟还是其他？如果选择不入沙表示信任，那么会对安全性有影响不？----自己不敢尝试这些，直接请教下高手算了。
3，我把QQ设置为自动入沙运行：完全虚拟，但是通过入沙后的QQ面板进QQ空间和邮箱，就进不了网站，这种情况怎么办？我又不想用VK，因为还有其他程序要实机运行。