COMODO 4.0沙盘介绍

木秀-- 2011-05-08

展开全文

此文是关于COMODO Internet Security沙盘的一些介绍以及运作的原理等，是官方准备用在新的帮助文件中的，我翻译了一下（有删减），希望对大家认识了解COMDO 4.0沙盘有帮助。

COMODO沙盘是用来干什么的

CIS（COMODO Internet Security）沙盘是用来在尽可能的易用的基础上为CIS提供“足够强度的安全”。沙盘会自动限制未知软件程序的动作直到这些软件程序被comodo检查确认。由于是自动限制，所以几乎没有任何报警（在CIS4.0版本中全局钩子和一些特定COM接口报警可能依然会出现，comodo正在解决这些问题。）。由于限制并不是很严格，所以多数软件在通过分析审核前都是可以在沙盘中使用的。

CIS沙盘是如何工作的

未知软件默认都是自动隔离在沙盘中运行的，除了安装程序。CIS会提示用户（自动隔离在沙盘中运行时默认的设置，用户可以通过调节“沙盘安全等级”滑块来关闭沙盘。comodo通过文件属性和安装程序需要管理员特权的特点来辨认安装程序）。

已知安全的软件被未知软件程序调用也将被限制在沙盘中运行，但是不会提示用户（即使这些安全的程序在CIS的“我的安全文件”列表中或者甚至是一个安装程序）。自动将未知程序隔离进沙盘意味着这些未知程序都将已限制用户级别运行，无法提权（技术上来说，在沙盘中运行的软件能够写硬盘但是它无法做到：a.写入（比如感染）被CIS保护的文件和注册表键值。b.获取管理员特权。c.消耗大量系统资源。d.键盘记录或者屏幕抓取，安装windows钩子，访问受保护的COM接口以及直接在内存中访问运行在沙盘外的程序），从很大程序上限制了未知程序对系统的破坏，如果它是恶意程序的话。但是这并不意味着这些未知程序所生成的文件和注册表键值是保存在沙盘中的。

把未知程序限制在沙盘中之后这些程序会被上传给comodo用以分析（在4.0.135239.742版本中上传服务可能不是能够持续获得的，所以上传文件可能需要花费一些时间）。如果comodo分析之后认为此未知程序是安全的那么就会自动将未知程序从沙盘中移除，如果comodo认为它是恶意软件那么反病毒数据库将会更新，那么下次你运行此未知程序的时候就会获得正常的行为提示而不会自动在沙盘中运行。

你仍然可以通过手动设置让可疑程序继续在沙盘中运行，不过这个功能依然在开发中，现在还不完善。如果你手动设置某程序在沙盘中运行，一些文件或注册表键值默认会保存或复制进沙盘中。

下面是官方论坛一位会员对沙盘运行原理的分析，其中有部分猜测的，但总体而言很有参考价值，官方有部分也是引用的他的分析。一并在下面引用给大家参阅：

COMODO沙盘的工作机制：

*.将程序看做一个具有受限系统用户账户权限和“windows job”权限的“windows job”。

*.文件虚拟化。文件重定向至C:\Sandbox下。

*.注册表虚拟化。注册表键值重定向至 Hkey_local_machine\system\sandbox\[app name]\[app created keys]。

*.关于D+限制的特别设定。技术上说，技术上来说，在沙盘中运行的软件能够写硬盘但是它无法做到：a.写入（比如感染）被CIS保护的文件和注册表键值。b.获取管理员特权。c.消耗大量系统资源。d.键盘记录或者屏幕抓取，安装windows钩子，访问受保护的COM接口以及直接在内存中访问运行在沙盘外的程序。

COMODO沙盘的工作规则流程：

已知安全的软件包括已知安全的安装包程序不会被自动隔离进沙盘运行。

已知安全的程序的确认是通过以下技术实现的：

1.数字签名或hash确认；

2.comodo反病毒程序以及云技术检测。【译者注：云技术检测需要到未来版本才能实现，因为目前版本还没有整合comodo的云查杀技术，但是单独版本的云查杀扫描器已经开发出来了，整合相信只是时间问题】；

3.comodo白名单和“我的安全文件”列表。

已知不安全的软件会自动隔离进沙盘以受限权限运行，然后当本地病毒库更新后以CIS V3版本的方式处理【译者注：即如果安装了 comodo av就提示发现病毒，进行处理。如果没有安装comodo av则以V3版本的方式进行弹框提示处理】。

未知软件会自动隔离进沙盘，除非CIS认为它是一个安装文件。CIS会自动辨认安装/更新文件并将它们放在沙盘外运行。如果CIS认为它是一个未知的安装文件并且请求系统管理员权限，CIS会询问你（仅此一次）是否让它提权并运行。如果你同意，那么该软件和该软件的厂商都将会被完全信任，你不会得到有关该软件商的任何文件的提示（但是最初提权的那个提示允许你在允许它提权运行前创建一个还原点【译者注：这个似乎需要等待时光机整合进CIS 才能实现吧？】。）如果你不同意该安装文件的提权请求，那么它将会在沙盘中运行，这个安装文件将不可能正常运行。我【原作者】怀疑 CIS可能是通过数字签名来辨别文件是否是安装程序的，或者更有可能是通过该文件是否需要管理员权限来确认？

任何被沙盘内程序调用的程序都将在沙盘中运行【译者注：权限继承，沙盘类软件共有的特色】。

程序自动隔离进沙盘运行的步骤是这样的：

*.在沙盘中受限运行，一切都将虚拟化；

*.在D+方面加强特殊设定的限制；

*.使用CIMA（comodo在线病毒分析系统）在后台进行检测（此功能需要到下个版本实现）；

*.如果在线检测一切正常，则将其从沙盘中移除。

下面是我画的一个沙盘工作简易流程图，方便大家直观理解：

扩展阅读：沙盘虚拟化技术

什么是虚拟化

虚拟化就是一直保持同步复制。也就是将一个程序所创建的或更新的文件和注册表键值虚拟复制到同一个地方。通常来说这些被复制的文件和注册表键值会储存在硬盘上的同一个文件目录下河同一个注册表根键值下。一个沙盘可以虚拟一些或所有这些文件和注册表键值。当一个程序想要访问一个被虚拟文件时，沙盘将确保它访问该文件的虚拟复制文件而不是该文件自身，沙盘通过拦截和重定向这些通讯来达成这个目的。

虚拟化的目的

虚拟化可以通过将程序对系统的影响限制在一个地方（如特定目录下）来获得对软件的控制，虚拟化不会影响到程序的运行（大部分普通程序），因为那些被虚拟的文件和注册表键值是始终存在的。

CIS4的虚拟化技术是设计来用于：

*.保护。通过将这些程序对系统的影响限制在指定地点来保护系统不受恶意软件和恶意代码的破坏，并且不影响该程序的运行。

*.隐私。CIS4沙盘能够清楚程序留下的所有使用痕迹。但不能完全清除程序本身（目前还不清楚comodo打算是否重点强调此功能，虽然虚拟化技术可以做到这一点，但是目前CIS4的沙盘还没有使用痕迹清除功能）。

目前CIS4的沙盘已经可以使用但是还不成熟。所以它可能还不能完全实现以上的功能，我们希望它能在未来版本中得到不断改善。

在CIS4中什么情况下会使用到虚拟化技术

手动添加进沙盘的软件默认是虚拟化的。自动隔离进沙盘的软件目前还没有被虚拟化，但可能会在将来版本实现。这将会使沙盘内程序能够访问被限制的文件和注册表，从而使程序能够更好的运行。

CIS4采用了什么方式进行虚拟化，为什么？

CIS沙盘虚拟由程序创建的所有文件和注册表键值，除了由软件安装包所创建的任何文件和注册表键值，这些文件和注册表键值一般都是有关程序间通信的程序文件和键值。通过避免虚拟化这些文件和键值，CIS避免了使用undocumented系统功能设备来拦截程序的通信，这些设备在64位系统下是无法工作的。（程序和数据间通信不需要使用这些设备）。

虚拟化技术是如何整合进CIS4中的？

*.对于安装软件来说，默认设置下CIS4是不会对安装包创建的文件和键值做虚拟复制的。但是程序安装文成后CIS4将会对程序所有创建和修改的文件和键值做虚拟复制。这保证了这些文件和键值的虚拟复制可以被改写，读取或运行（如果是可执行文件的话），那些不是在安装之后程序创建或修改的文件和键值则可以被读取或运行（如果是可执行文件的话），但不能被修改。

*.对于所有其他非安装软件来说，CIS4将会虚拟复制所有他们创建或修改的文件和注册表键值，这确保了这些文件和键值的虚拟复制可以被改写，读取或运行。

comodo沙盘目前还不能做什么

尽管你可以选择一个程序让其在沙盘中运行，但是CIS目前版本的沙盘和传统的沙盘如sandboxie是不大一样的。CIS沙盘不会拦截沙盘中程序的所有动作。CIS沙盘不会将安装程序或者安装的程序文件隔离进沙盘，所以如果你想要卸载这个安装程序所安装的软件时沙盘是不能清除被安装的软件的所有痕迹的。但是通过其他的方法它能够提供足够好的保护（参阅“沙盘是如何工作的”中描述）并且它的这些功能还在不断地改善中。

某程序想要“提升权限”，我该怎么办

当CIS遇到一个未知的程序并且此程序被CIS确认为安装程序时CIS会报警提示用户此程序请求提权。此安装程序所需要的权限超过了CIS沙盘平常授予未知程序的权限。如果你勾选了“自动识别安装程序...”设置，那么CIS将会给予此安装程序几乎完全自由的权限并且没有任何提示（但是仍然会记录日志）。

你必须对你所信任的软件完全放行，除此之外没有别的办法。如果你不想完全信任此安装程序你可以取消“自动识别安装程序...”设置，重新运行此安装程序，那么你可以得到所有此安装程序行为的提示。（对安装程序给予完全自由的权限这种方式是否会带来极大地安全隐患？这个问题目前依然在争论中，但是这种方式和以前版本CIS对安装/更新程序的处理方式是共同存在于CIS中的）。

我如何知道哪些东西被隔离进了沙盘

CIS会提示你，并且在每一次自动隔离一个程序时会记录完整的日志。自动被隔离进沙盘的程序同时也会出现在“我的待审查文件”列表中和其他被上传给 comodo分析的文件待在一起。自动隔离进沙盘的文件不会出现在“运行在沙盘中的程序”列表中，这个列表仅仅显示手动添加进沙盘中的文件。

那么这个沙盘是真的很安全吗

CIS沙盘是设计来为大多数普通用户提供一个比较好又易用的安全等级，但对一小部分专家级用户来说并不是最高安全等级。

目前，对于大多数普通用户在普通互联网环境下使用来说沙盘可能是一个比较理想的方式，因为这种方式减少了用户由于过于频繁的提示而不加思考的对报警点击 “允许”。而专家级用户在比较危险地网络环境下使用CIS时可以禁用沙盘，通过他们自己的经验来对D+的提示做出判断。我是自认为是一个有经验的电脑用户，但是我启用了沙盘，因为我认为它提供了一个足够好的安全，对用户的干扰更少。随着不断的改进我认为CIS的沙盘毫无疑问会更安全。

它是成熟的软件吗

现在还不是，但是我们承诺将在新的版本中让它更加的易用和安全。

comodo沙盘能够在64位系统中工作吗

是的，除了64位XP其他64位系统都将支持。这也是我们设计这个沙盘的一个主要原因，大多数沙盘软件都不能够在64位系统下运作，因为它们使用了非法的（未公开的）系统设备来拦截程序间的通信。CIS的沙盘是目前可以正常工作在64位（不包括XP64）下的唯一沙盘。因为CIS沙盘通过对安装程序不进行虚拟重定向从而避免了这一点，也就是说CIS沙盘不需要拦截程序间通信。