v5的规则流程

伯夷叔齐

不知道XP和win7下的流程是否一样，下面讨论一下win7下的流程：
仅限开启云和疯狂模式的情况

流程大致如 ...
slm513 发表于 2010.9.30 10:29

正如科林所说，先就在“拦截文件”里面查，因为这个过程是不允许访问（读写）该执行文件了，所以谈不到后面的执行该程序。

如果上面通过，那么当执行该程序时，先查找“信任软件提供商”里的数字签名（这个不仅仅只干系到该文件，还包括所有该程序的具有数字签名的执行文件）和“可信任文件”如果查不到，接下来就是在“云”里去查找，除非关闭“云”，他的思路是通过本地和网络，一定要确认到是可信文件或可信数字签名列表文件。如果都查不到，才开始下一步，加入到未识别程序，以让沙盒开始报警和发生作用。

只要是未识别文件，那么每次运行时，只要云开启（云分析暂时不算），都要扫描该执行文件，扫描不到就沙盒。直到确定其为"信任文件"为止,一旦扫描后确认为可信文件，COMODO会自动把其转移到“可信文件”或同时添加到“可信任软件数字签名”。后者要看云扫描服务器里是否已经将具有数字签名的该文件的数字签名列入列表。

COMODO暂时有bug，云确认安全文件后，把该文件从“未识别文件"转移到“信任文件”的同时，还添加该文件进入“信任文件”，上述前提下，也就是说，大家能同时从“可信任文件”看到两个该文件。

柯林

回复 20楼 伯夷叔齐  的帖子
感谢回复讨论。
我对它这个流程，没有搞懂，很多东西也只是凭表面观感。
弄不清楚的一点，就是它的白名单，譬如，我在沙盘里设定了迅雷服务进程为不信任级别，但是运行时，显示的却是部分限制级，如非显示上的bug，这应该就是内部白名单搞的鬼。

   

伯夷叔齐

回复
感谢回复讨论。
我对它这个流程，没有搞懂，很多东西也只是凭表面观感。
弄不清楚的一点，就是它的 ...
柯林 发表于 2010.10.4 12:36

谢谢科林提出的现象，启发性的问题让我和很多人都能够从中获益良多。

我也仅仅也只能把现象和问题提出来，以供大家参考和高级用户指点迷津。

1、日志里的显示和沙盒里的显示不一样，日志里和设置一样，是限制级安全级别，这不用说了，肯定是BUG

2、Thurdersevcies.exe是迅雷主程序执行的一个程序，Thurdersevcies.exe为限制级安全级别时，Thurdersevcies.exe是被上一级子进程Thunder.exe执行建立的二级子进程。被explorer.exe执行创建的一级子进程显示都是正常的。

3、如果被explorer.exe执行的某些程序的一级子进程沙盒级别限制太严，这些程序的子程序很多将不会被执行。但通过“沙盒列外允许”后，可以由该程序执行。（显示是否正确，那是另外一回事了，已经确认是BUG）

柯林

回复 23楼 伯夷叔齐  的帖子
v4时大部分问题都被解决了，的确彰显了v5的进步。
如果不是bug，而是白名单高优先不可控的话，这样的智能性还真恐怖！

   

slm513

回复 21楼 伯夷叔齐  的帖子
在用V4的时候我发现一个问题，就是黑名单内的程序会自动入沙，不知道V5还有没有这种情况