简单比喻，看清权限继承关系

柯林

“为啥，svchost.exe明明是可信程序，为啥会在沙盘里？我明明什么都没有操作，为啥沙盘里会有那些东西？”

回答这个，是两句话：1、权限继承关系  2、沙盘内父进程结束，子进程没有被结束则将继续残留（跟任务管理器里你不结束它它继续存在和运行一样的道理）

理解上面这些，看个简单的比喻就清楚了：
1、你是好人
2、A老板是好人
3、B老板是坏人

你单独活动时，认定你是好人，不管你——不入沙！
A老板命令你做事，你跟着A老板混时，认定你们是好人，不管你们——不入沙！
B老板命令你做事，你跟着B老板混时，认定你们不可信，全部管起来——通通入沙！【以此类推，B老板找的你，你找的二胖，二胖找的三狗.....你们这一帮帮人，全部不可信，通通入沙】

原理就像这样，很简单的。

所以，默认安全模式下，防火墙对于可信程序的正常行为，出站不问；对于可疑程序的出站行为，弹窗询问；不管可信还是可疑，入沙后的网络访问，一律弹窗询问（如果你先前已经点过允许该程序入沙后允许访问网络，就不会再问，按允许放行）！明白这个，就知道默认设置很智能，同时也提请你注意，有弹窗谨慎作答——就算弹窗提示写着，“该程序已被入沙，你可以放心地允许这次请求.....”出于拦截病毒的考虑，看清了再点允许（虽然一般情况下点了允许也造不成什么大的伤害，比如加密病毒）。当然，最好的控制，是访问网络询问（自己改规则或设置），只不过增加扰民而已。

=======================
反过来说，另外一种情况：
1、你是坏人
2、A老板是好人
3、B老板是坏人
这种情况下，只有一种关系：管制，入沙！——不管你是单独活动，还是跟着A老板或B老板，对你的判定都是不可信，入沙，与你的背景与后台无关！

KK院长

嗯，过来玩了，有事后装了啥万年都不管，我人懒了。

电影结束了

Exploit Test Tool
COMODO默认规则测试3项无反应。。。
默认规则X64 win10下防注入今天测试了下全部防住了。。。
然后我回归了CCAV