对 COMODO “安全程序”预置规则以及沙盘的一些想法

散人安

回复 12楼 baerzake  的帖子

在疯狂模式下，COMODO 不会套用安全程序的规则，也不会学习安全程序的行为，自定义规则是什么就是什么。此时，无所谓自定义规则优先不优先。

但在安全模式下，情况是不一样的，COMODO 会套用安全程序的内置规则，也会学习安全程序的一切行为。

在这种情况下，安全程序的内置规则在大多数情况下是最优先的。你可以自定义规则，也可以套用预定义规则，造成似乎可以将安全程序内置规则中的“允许”项修改为“询问”的假象。但一旦发生触发学习“允许”的行为，而自定义规则或预定义规则相关项设置的是“询问”（不包括安全程序内置规则原本就设置为“询问”的三个项），且该触发行为不在自定义规则相关项“询问”的允许列表中，则原自定义规则会全部自动变回安全程序的内置规则（“修改”中的允许或阻止列表会被保存）。

唯一的例外是，当你的自定义规则或预定义规则的相关项设置的是阻止，此时发生该项的触发“允许”学习的行为时，自定义规则或预定义规则的阻止优先，不会变化。

建议做几个实验，试验一下，事实到底怎么回事，就全明白了。你说的简单解决办法，在实际操作上将会很繁琐。还不如直接用疯狂模式了。

据此，由于 COMODO 沙盘开启自动后，将凡是运行在沙盘外的程序都丢入“我的安全文件”并将其信任为安全程序的做法，导致此时的安全模式下要么是安全程序，要么是沙盘内程序的奇怪现象。

所以我建议新增“沙盘外程序”组，而不是丢到“我的安全文件”。

而目前，要使用 COMODO 沙盘的自动，最佳搭配只有疯狂模式。

而在此帖中，也能看出，绝大多数人都用的是“疯狂模式”？

看来我玩安全模式，不但是懒人行为，也是少数派行为了。
   

散人安

回复 14楼 pastport  的帖子

是的，疯狂模式下不会套用安全行为的内置规则，昨天我晕头了。抱歉。

我觉得吧，彼此分歧和不理解的关键在于，你玩疯狂模式，在疯狂模式下玩沙盘自然不存在我说的问题。而我讲的其实都是在安全模式下沙盘开启自动后的问题。

   

散人安

回复 21楼 mywind66  的帖子

呵呵，全默认呢。安全模式 + 信任

3.x 时代也是玩疯狂模式。用了那么久发现，除了两三款给国人用的国产流氓要手动限制，其他反正都点的确定，干脆 4.x 后，就用安全模式了，懒得点。我觉得配合良好的使用习惯，安全模式足够安全了，哪有那么多的例外会发生。玩电脑也有10年多了，才中过几次病毒啊！还都是早年初学那会。

不过疯狂模式 + 开启自动的沙盘确实是很不错的搭配。建议追求安全的人士使用。

如我这般的懒人还是用安全模式就OK了。

   

baerzake

回复 21楼 iuanog  的帖子


    说老实话，不明白你的意思，我试验过了，在安全模式下即使文件在安全列表中但还是自定义规则更优先，而且也没有你说的规则变掉的现象，我做了个视频，你可以看看，在这个视频中，D+是安全模式，xuetr.exe是安全文件，但是我又将其自定义了规则，当我运行xuetr时可以看到它是加驱失败，证明自定义规则是起效果的，并且是优先于安全文件列表的，而且你说规则会变，我不知道什么意思，没有发现什么地方变了

散人安

回复 24楼 baerzake  的帖子

我注意到你测试时使用的规则，都是“允许”或“阻止”，如图：



在这种设置下，是不会触发学习的。

我个人认为，所谓“学习”，是指当你“询问”时，给你“允许”的答案。而当你已经有了明确答案，即对该类行为应该如何反应，已经明白指定为“允许”或“阻止”，此时不会触发“学习”。

要测试安全模式下，自定义规则和安全程序的学习及其内置规则谁更优先，最公平也最明白无误的方法是，找个一启动就有很多触发“学习”的动作的安全程序，比如 Maxthon ，比如 IE ,比如 Total Commander。请在备份原规则之后，将该安全程序原来的规则删除后，再为其新建一个全“询问”的自定义规则，如图：



然后你再启动一次 该程序，这时你回头看其原来的自定义规则是否变成了安全程序的内置规则，如图：



可见，安全模式下，安全程序的学习及其内置规则优先于自定义规则。

以下，详细讲一下“学习”的几种情况，你可以测试验证：

1，当程序启动后没有发生任何触发“学习”的行为，则全询问的自定义规则不会改变

2，当程序启动后发生了触发“学习”的行为，但该“学习”行为的相关项是，无论自定义规则和安全程序内置规则，均设定为“询问”的三个项：“运行一个可执行程序”，“受保护的注册表键”，“受保护的文件/目录”，此时，由于自定义规则和安全程序内置规则没有冲突，“学习”只会将该行为添加到“修改”的允许列表中，而不会导致整个套用安全程序内置规则。（“运行一个可执行程序”只有当另一个程序为安全程序时，才会自动学习，否则将会弹窗询问）

3，当触发行为发生在自定义规则设定为“询问”、而内置规则设定为“允许”的相关项上时，则自动全部项都套用回安全程序的内置规则，（此时无论其他非相关项是“询问”、“允许”或“阻止”）。

4，当行为发生在自定义规则已经对相关项设定为“允许”或“阻止”或在“修改”的“允许”列表或“阻止”列表中时，因为该行为已经有明确答案，则不会触发“学习”。

5，除了触发“学习”的行为以外，以下两种情况下也会自动无条件的套用安全程序的内置规则：

散人安

综上所述，COMODO 的这种设定，导致在安全模式下启用沙盘并开启“自动把未识别的程序运行于 Sandbox 内”时，所有程序要么是安全程序，要么是沙盘内程序，这显然是有待商榷的。

baerzake

回复 26楼 iuanog  的帖子


    OK,你也认为自定义规则只要是允许或阻止了就不会学习，那不就完了，你只要将预置规则设置好和我一样，没有询问，不就达到你的目的了？

散人安

回复 27楼 baerzake  的帖子

⊙﹏⊙b汗，你是在玩诡辩？这，有意思吗？

你说解决方法很简单，先自定义规则就成，理由是自定义规则是最优先的，不会变。

好，我证明了，在安全模式下，安全程序的学习行为，在很多情况下，可以将原先设定好的
自定义规则修改，套用成安全程序的预设规则。你的观点的依据不成立。

得，结果你无视了，反倒又拿我的证明过程来证明你的观点。

敢情，对你而言，你的观点怎么都是对的，证明过程无所谓，是吧。

不过你又忘记了的是，我之前已经明确说过了，按你的办法，会很琐碎、反复，还不如用疯狂模式。

……

挺没劲的，这样多浪费时间啊。就这样吧，免回。

shhggl

看了半天，好纠结呀，别生气嘛。多元化才最和谐嘛，大家不都是再帮你研究问题吗？