那个样本，comodo开启沙盘的话，应该是穿越了沙盘和d+。

bbbxyoiil

如下步骤，1，添加非系统盘组，如，d:\*,e:\*...,并将该组添加到受保护的文件里面，

2，开启沙盘，并调节 ...
liudianshui 发表于 2010.10.5 19:55

我的全部是:*

伯夷叔齐

不错的讨论，学到不少知识。谢谢。

zzldcl

暂时没用V5！
感觉沙盘应该可以设置是否虚拟化！

liudianshui

今天进行了仔细的验证，该病毒并没有过comodo。
这看来和comodo的通配符“|”有关。

在受保护的文件里面，如果添加 D：\*,当一个沙盘内的程序“写”该目录的文件时，是拒绝的，但是可以写文件夹。
如果添加的是D：\*|，则将文件夹一起进行保护。

开启沙盘和关闭沙盘，D：\*居然表示不同的意思。

keiz

2，开启沙盘，并调节到云行為分析，关闭不信任级别。

會怎樣??

keiz

2，关闭沙盘，但调节到不信任级别 or 调节到云行為分析

會怎樣??

liudianshui

回复 15楼 keiz  的帖子
comodo有一个名词叫做信任的文件，其实个人感觉叫做可以识别的文件比较妥当。


一个文件运行后，首先检查是否是病毒和是否在被拦截的文件里，如果在，则拒绝，不再向下进行检查，如果是误报，可以设置排除，以进行向下检查。



而后，则是进行查看是否可以识别（先通过本地签名以及是否在信任的文件里，然后通过云），




如果不可以识别，则在沙盘运行，
如果可以识别，则运行于沙盘外，和v3一样，通过d+行为弹框，来进行规则制定。



comodov5 一直是通过任何方法来判断文件是否可以识别来最大程度保证安全的。
ps 明白了通配符“|”的用法，开启沙盘是非常不错的选择。

bluelaser

不开沙盘的路过，表示用疯狂模式的规则完美防御。

bluelaser

http://bbs.kafan.cn/thread-806780-10-1.html 98楼

全过程直播，毛豆V5疯狂模式毫无鸭梨。

keiz

2，开启沙盘，调节到不信任级别并调节到云行為分析

會怎樣??