comodo为什么拦不住这个软件修改注册表？

手中的红蜻蜓

么么哒的节奏啊

Candygu

不知道楼主所使用的环境是怎么样的，系统？
---------------------
我这边测试了一下，以下是测试结果：
1、系统环境：Windows 8.1 32位
2、CIS版本：8.0.0.4344.

测试一：开启COMODO Sandbox，在COMODO沙盘内运行，并不会穿破沙盘。如我在2楼回复楼主的那样。
        !绿化工具.exe这个程序，一旦运行会自动被COMODO隔离并完全虚拟化。所以，使用的时候可以完全放心。
测试二：关闭COMODO Sandbox，单测HIPS。
        在每一个弹窗中都选择阻止
（1）、会在注册表的两个位置创建如下注册表项（空值）

[HKEY_CLASSES_ROOT\ShuraGoa]
@="ShuraGoa Protocol Handler"
"URL Protocol"=""

[HKEY_CLASSES_ROOT\ShuraGoa\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ShuraGoa]
@="ShuraGoa Protocol Handler"
"URL Protocol"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ShuraGoa\shell]

除此之外，凡是被Defense+拦截的项目都不会被创建，以下是拦截日志：

2014-12-15 12:35:11         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\open\command
2014-12-15 12:35:06         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\open\command
2014-12-15 12:35:05         C:\Program Files\Windows Defender\MpCmdRun.exe         Modify Key         HKUS\S-1-5-19\Software\Microsoft\SystemCertificates\CA
2014-12-15 12:35:05         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\
2014-12-15 12:35:05         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\open
2014-12-15 12:35:01         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\open
2014-12-15 12:34:51         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SOFTWARE\Classes\ShuraGoa\shell\
2014-12-15 12:35:45         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Control\Session Manager
2014-12-15 12:35:34         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Control\Session Manager

该拦截动作触发了COMODO的Protected Registry Keys的如下条目

*\SOFTWARE\Classes\*\shell*

（楼主若感兴趣可以将该条目改为*\SOFTWARE\Classes\*，!绿化工具.exe这个程序就不会创建那两个空注册表项。但可能会影响计算机上别的程序的正常使用。
（2）、还有一个文件操作的动作也被成功拦截

2014-12-15 12:35:41         C:\Users\Ryecock\Desktop\Chrome v30.0.1599.101 绿色版 - 复件\Chrome\!绿化工具.exe         Modify File         C:\Windows\wininit.ini

结论：!绿化工具.exe这个程序的动作被拦截后并不能穿破COMODO的Sandbox和绕过HIPS，虽然创建了两个注册表项，但均为空值，对系统没有影响。

PS.绿化有风险，使用需谨慎。

kiyumi123

Candygu 发表于 2014-12-15 13:01
不知道楼主所使用的环境是怎么样的，系统？
---------------------
我这边测试了一下，以下是测试结果：
...

我这边是WIN7 64系统 软件版本是6100_08

chen月

Candygu 发表于 2014-12-15 13:01
不知道楼主所使用的环境是怎么样的，系统？
---------------------
我这边测试了一下，以下是测试结果：
...

还是毛豆最安心啊    沙盘和HIPS双重防御    设计得滴水不漏啊
及时过了病毒库和这两样    还有个很牛的防火墙可以防止外联的吧

NewAge6

kiyumi123 发表于 2014-12-14 22:24  大家千万别去下这个作者的绿化文件http://chenxuefeng.net.cn/，每一个软件的绿化包都回带有这个!绿化工具. ...

表示还没遇到过的路过