请教一些沙盘的问题。

distance0

本人还在用comodo 3.5版，因为只用d+和防火墙，3.5足够了，而且当时把它精简到了7m，后面版本越来越大，就更不想升级了。最近要用沙盘，安装了一个Sandboxie，发现放入沙盘运行的程序，读取文件都会提示要修改文件，就考虑是不是要升级一下，用comodo自己的沙盘。
在官网上看到：“自动沙盒技术™：将未知的程序在一个隔离的环境中运行，使它们不能造成任何的损害”
想请问一下，1、它如何知道程序是未知的？难道所有程序都要建立规则，所有没有规则的程序都是未知的？一些完全“无害”的程序呢？既不产生临时文件，也不往保护区（windows system等）添加，或修改文件的程序，也要自动在沙盘运行吗？如果我运行一个安装程序，岂不是自动安装到了沙盘？还要关了沙盘再安装一次？
2、沙盘可以像d+一样设置详细的规则吗？和d+整合在一起，可以设置某些具体的操作，具体的注册表键值进沙盘。
3、沙盘可以只在自己想用的时候手动运行吗？像Sandboxie一样，想要某个程序在沙盘运行，就点右键，选在沙盘运行此程序。

distance0

补充一下，只考虑5.x就可以，6似乎改变不小，不打算去尝鲜。

yangjichao12346

通过云以及数字证书信任厂家判断，白加黑他会信任的。。

a256886572008

1.
(1) 文件不在白名單內 或是 數字簽名不在信任廠商內，就是未知。

(2)如果你自己知道該文件是安全的，當然不用讓它被自動入沙。

(3)遇到未知的安裝包，CIS會彈3選項的窗口。
Run Isolated --> 自動HIPS規則限制行為
Run Unlimited --> 信任啟動
Block --> 禁止啟動

如果你認為安全，直接選 Run Unlimited 即可。

2.那個不是進沙盤，而是規則阻止。
BB 的 FD 和 RD 是可以改的。

3.如果單裝 firewall，默認配置就會 HIPS 和 BB全關閉，sandbox被動開啟。
亦即，只有用戶開了 VK 或是用 widget上面入沙的瀏覽器之後，sandbox才會啟動。

distance0

a256886572008 发表于 2012-10-29 20:23
1.
(1) 文件不在白名單內 或是 數字簽名不在信任廠商內，就是未知。

1、这点不喜欢，如果想离线安装呢？
2 和 3，不弹出选择是否入沙选项吗？那又如何选择让它入沙呢？

2、我指的是像eq一样，eq后期把沙盘融合进规则，可设置具体每一项操作是否入沙。

另外我习惯不开comodo的服务和界面，只开驱动（自动启动，没法不开），这样看似comodo没有运行，但它其实是起作用的。只有当程序被规则阻止，才打开服务和界面，让它弹出选项。现在看来似乎不能这样做了。

a256886572008

distance0 发表于 2012-10-30 05:42
1、这点不喜欢，如果想离线安装呢？
2 和 3，不弹出选择是否入沙选项吗？那又如何选择让它入沙呢？

1.你自行手動移動到 trusted files 或是彈窗選Run Unlimited

不在白名單內，不提權(非安裝包)，直接自動入沙。
如果有提權(安裝包)，想入沙，可按 Run Isolated

2.EQ 那個只是重定向，並不是入沙(因為無繼承效果)

3.剛剛測試了一下，我把進程全砍了，只有 HIPS 會起作用，BB會失效。
難怪，Proactive security 那個配置，連 HIPS都開。

distance0

a256886572008 发表于 2012-10-30 07:31
1.你自行手動移動到 trusted files 或是彈窗選Run Unlimited

不在白名單內，不提權(非安裝包)，直接 ...

感谢解释。
原来Run Isolated 就是入沙。
到底什么样的request算是unlimited，安装驱动算不算？磁盘底层操作呢？unlimited access 是你自己predefined的吗？还是自己内置没法改的？
predefined security policy 还在吗？


比如现在有一个程序，第一步它要安装驱动，我想阻止它，不安装驱动也可以用，只是少了高级功能，我只要一般的功能。所以我想阻止它安装驱动，但允许它其它的请求，而且并不想也不需要让它在沙盘里运行。照你上面的说明，似乎是不可能实现了。因为不常用，也不想为它定规则。
你截图中的弹出窗口能不能忽略掉，让它一步一步弹出提示窗口，让你一步一步选择允许还是阻止？
如果想观察一个可疑程序的举动该怎么办？放入沙盘应该就不会再有提示了，同样给它unlimited的权限也不会提示了。
如果想双开程序呢？一个正常运行，一个在沙盘运行，看起来comodo也是无能为力的。

初步的感觉是comodo的沙盘是为了让它更易用，而不是让它更强大。换句话说，对于追求方便易用的用户来说，它更智能了，对了追求强大功能的用户来说，它变得弱智了。
本来还想问下现在它能否拦截读文件了，现在看来不必了，按照这种发展思路，加上这个功能才怪了。

distance0

关于eq，我的意思是它可以在规则中选择具体操作是否“入沙”，现在我感觉comodo不会这么做，还是基于上面说的思路，这样会让comodo更复杂。