D+确定一个可执行文件的权限的流程是怎样的?

secularsnake

比如说,要运行一个程序,COMODO如何确定该对此文件进行怎样的限制?

有一种可能的顺序是:
    一.判断该文件是否处于被信任的文件列表中,如果在,则按照可信文件的规则放行该程序;如果不在,转至第   二步
    二.判断该文件是否被预定义了安全规则,如果已定义,则根据定义放行;如果未定义,则查询该文件是否在被拦截的文件列表中,如果在,则拦截该文件,如果不在,则转至第三步.
    三.查看该文件的数字签名,如果是由可信的软件商提供的,则放行该程序,如果不是,则放到沙盒里.

这种按照可信度从高到低的顺序的检查方式可以减少判断时间,提高运行速度.因为大多数的文件都是可信文件,在第一步完成后已经决定了该怎么放行该文件,有很大概率可省去二三步的时间.

第二种先判断是否在被拦截的文件中,再查询安全规则,然后查询信任的文件列表,最后查看数字签名.这种方式相对于第一种效率上会有折扣,但更安全.

还有一个问题是,"受信任的文件"和安全规则里预定义的"可信程序"有什么区别?

pastport

流程有误  
2  即使你在d+定义了安全规则
unknown程序 依然会在沙盘中运行（不禁止沙盘的话

受信任的文件
你依然可以通过d+来“规范”它的行为
可规则预知的 可信程序 就是一个规则
你可以给受信任程序套用该规则
也可套用limited 规则

secularsnake

回复 2楼 pastport  的帖子
那流程图是不是应该这样?

secularsnake

如果一个文件未加入受信任列表,也未对其预定义任何规则,但是该文件的数字签名可被识别.默认状态下该文件会以什么权限运行?

如果一个程序不在信任文件列表中,并且没有数字签名,同时在D+的设置中禁止对未知程序进行云分析,禁止运行未识别的程序.那这个程序是不是无法运行了?

yanyu3000

这个很专业啊  

pastport

如果一个文件未加入受信任列表,也未对其预定义任何规则,但是该文件的数字签名可被识别.默认状态下该文件会以 ...
secularsnake 发表于 2010.9.15 18:27

1、那它就是安全文件啦
v3时代的 D+ 用过吗？  
paranoid mode 就弹框 问你
safe mode 就学习咯

2、 d+ 设置里有禁止运行unknown文件？
这种文件 就是unkonwn了吧
按你自己画的流程
不就是扔到沙盘么
关了沙盘
还是v3以来的老d+ 模式
问你

secularsnake

回复 6楼 pastport  的帖子
V5版有这个选项了.