无法识别的程序的“部分限制”和“可信程序”以及自动入沙

72380656

毛豆有时候很怪的，我也遇到

伯夷叔齐

1，如果为无法识别程序手动创建规则为“可信程序”，那这个程序还受到“将无法识别的程序部分限制”的影响吗？

2，如何在不关闭沙盒功能的前提下，让某一单独的无法识别的程序不要自动入沙？

你是如何将“未识别程序”手动创建为“可信程序”？如果将其转移到“可信程序”，那么该程序正常情况下不会运行于沙盒，那么也就不会受到沙盒对程序的任何限制行为；

不关闭沙盒功能的前提下，对“无法识别的程序”有三种报警方式，一种是自动入沙提示，这样的程序没有提权行为；第二种是未知程序的提权报警，这种执行文件想获得管理员权限，报警方式与无提权行为的报警方式不一样，你一旦允许，那么它也将以正常程序运行，当然也可以让其运行于沙盒以限制其权限；第三种就是行为分析出该文件是恶意程序，你可以通过报警框对其进行拦截，使其进入“被拦截文件”，或删除，也可以允许，或阻止。

对于第一种提示框，你选择不再隔离，那么该文件自动从“未识别文件”转移到“信任文件”，那么下次运行就不会报警和限制，将以正常执行方式运行。而对于后两种，每次都将询问，除非你在“未识别文件”中将其转移到“信任文件”。只要沙盒开启，对“没有提权行为和恶意行为的未识别文件”里的文件都会入沙限制，对于未识别的提权文件和恶意文件每次都报警，以让用户选择。

如果沙盒对可信任文件一旦也报警，那么可能就是COMODO的行为分析和哈希校验发现了该执行文件被恶意程序感染或调用。

没看懂你的第一点的回答，貌似你也没看明白我的问题。我的第一个问题和沙盒无关

程序A，在无法识别程序里，运行时勾选为“可信程序”和记住我的选择，这样就会在规则里为程序A创建一条“可信程序”的预定义规则。
但是程序A还是在无法识别程序里，依照“可执行控制设置”里的默认设置，“将无法识别的程序部分限制”。
我的问题是这个“部分限制”是否对有“可信程序”规则但是在无法识别程序里的程序A有效。

第一条你说的不是加入可信文件，而是在不同HIPS不同安全模式下定义的未知文件和疯狂模式下所有程序的行为报警进行规则记忆；

沙盒报警与HIPS报警是两条线，不要混淆了哟。

ggzz

comodo这个沙盘设置没能和D+配合好，用起来太不方便，要设置一堆信任软件

伯夷叔齐

ggzz 发表于 2010-10-22 13:10
comodo这个沙盘设置没能和D+配合好，用起来太不方便，要设置一堆信任软件

不是没有配合好，是现在沙盒还不完善，理论上完善后，会完全虚拟允许和限制该程序的一切行为而不需要为难HIPS。

伯夷叔齐

ggzz 发表于 2010-10-22 13:10
comodo这个沙盘设置没能和D+配合好，用起来太不方便，要设置一堆信任软件

不是没有配合好，是现在沙盒还不完善，理论上完善后，会完全虚拟允许和限制该程序的一切行为而不需要为难HIPS。

安全模式下，信任文件是不需要报警的。D+和防火墙都是这样。

himeaster

感觉入沙以后是无视已经写好的d+规则的

zlj_lf

回复 1楼 windfreedom 的帖子

1.会。
因为毛豆是用云扫描和内存的白名单（也就是数字签名啦）来识别一个程序是否为可识别的程序的，并不是先执行你在计算机安全规则中的”规则“
这个你可以用QQ去试验，COMODO会自动把QQ扔可信程序中去的，你做的”可信程序“规则相当于摆设。