本帖最后由 伯夷叔齐 于 2010.10.4 03:06 编辑
v5的D+规则流程究竟是怎样的,欢迎大家讨论。
个人初步感觉,v5的规则流程好像是这样的:
a、首先检查和 ...
柯林 发表于 2010.9.29 19:18 
b.然后检查和执行“总是sandbox”里面的内容——有规则就按规则设定,把程序运行在沙盘中;
这个过程是对该程序的例外入沙了,如果开了云扫描,一样会经过云扫描这个过程,并把该文件添加到“可信任的文件”, 或同时把该程序“可信任的软件提供商”和“可信任的文件”(这时候感觉添加入后者有点多此一举),但该程序还是例外入沙。
“云行为分析”感觉最近这段时间没有开放服务器(我在“查看网络连接”中观察的,如果没有“安全软件发现”,日志里看不出来),以前关闭“云扫描”,单独开放“云分析”是可以单独进行的,可能是官方觉得云分析还存在技术上的某些不足吧。或者当前,官方服务器的流程是,要开“云分析”,需要先开“云扫描”。(仅仅是个人分析,但更判断为云扫分析最近没有工作) “云分析”和“云扫描”的唯一区别是:当云服务器里有该文件数字签名列表时,云扫描是会把其放入“可信任软件提供商”的,而云分析不行,逻辑上也不允许这样搞。 d、接下来检查和执行“计算机安全规则”里面的内容——
如果设置了规则,就按规则执行,并且不把程序运行在沙盘内; 如果没有制定规则,就检查它是属于“受信任的文件”还是“无法识别的文件”?如果是“受信任的文件”的文件,则运行于沙盘内给予“部分限制级”权限;如果是属于“无法识别的文件”,则运行于沙盘内给予“部分限制级”权限甚至是“低权限级”权限;在这两步判断中,会给个弹窗,如果选择“不再隔离”,则以后再次运行该程序时,不再将它运行于沙盘内。
白名单先按下不表,如果是“未识别文件”“添加到沙盒”里的程序,那么沙盘肯定是优先于程序规则,除非关闭沙盒。程序行为监控规则全部阻止时,该程序在沙盒里的模拟行为一样生效,沙盒漏掉的,才被行为监控阻止。
“可信任文件”“可信任软件提供商”沙盒肯定不会自动把它们放进去的。
如果是添加到沙盒,或一次性“从沙盒运行”,那么里面是有“沙盒安全级别”选项的。
| 
楼主: 柯林
[复制链接]
楼主
发表于 2010-9-30 10:29:06
