Но со слов тех же пользователей Comodo - при любом раскладе любой хоть шифратор или троян не сможет инфицировать систему потому что будет изолирован авто-песочницей до вынесения вердикта.
Выходит что авто-песок это панацея от всех бед до вынесения вердикта лабораторией. Если внедрить такую технологию в Drweb Security Space то конкуренты бы нервно курили в сторонке ИМХО.
Допустим, есть 2 EXE-файла.
1-й: при схождении определённых звезд генерирует текст в файл "%TEMP%/text.log". Больше ничего не делает, и по идее вердикт облака/песочницы: безопасный.
2-й: самораспаковывающийся архив, в котором 2 файла:
1) зашифрованый архив с очень вредоносным содержимым.
2) bat-файл, в котором 2 комманды: задать переменную %а%, равную содержимому файла "%TEMP%/text.log" и распаковать зашифрованый архив с паролем %а%.
Т.к. распаковка зашифрованрого архива будет не возможна по причине отсутствия правильного пароля, вердикт песочницы должен быть: файл безопасный.
Но вот когда сойдутся звезды на реальной машине...
Вы приводите пример взаимодействия только двух компонентов это авто-песочницы + облачного анализа. При таком раскладе конечно же облако может совершить ошибку и вся концепция авто-песка как панацеи от всех бед сводится к нулю. Но Comodo при работе авто-песочницы дополняет недостатки как песка так и облака другими проактивными технологиями. Тем самым делая из авто-песочницы многоуровневую защиту.
Вкратце а логике работы Comodo:
1. Поведенческий анализ (Behavior Blocker) - важная часть модуля HIPS (Defense+), ответственная за аутентификацию каждого исполняемого файла, который загружается в память. Поведенческий анализ (Behavior Blocker) перехватывает все файлы, прежде чем они будут загружены в память, а также попытки упреждающего чтения или кэширования со стороны этих файлов. Он вычисляет контрольную сумму исполняемого файла в тот момент, когда тот пытается загрузиться в память. Затем он сверяет эту контрольную сумму со списком известных или распознанных приложений, которые в Comodo считаются надежными. В том случае, если контрольная сумма исполняемой программы соответствует одной из записей, то приложение безопасно, и Поведенческий анализ (Behavior Blocker) позволяет ему запуститься. Если в списке надежных соответствующая контрольная сумма не найдена, то исполняемый файл считается нераспознанным и автоматически запускается в песочнице. Когда это произойдет, программа уведомит вас об этом.
2. Viruscope — система, позволяющая проводить динамический анализ поведения запущенных процессов и вести запись их активности. Viruscope контролирует действия процессов, запущенных на Вашем компьютере, и предупреждает Вас в случае их подозрительного поведения. Кроме формирования еще одного уровня обнаружения вредоносных программ и профилактики подсистема представляет собой ценное дополнение к основной функции Поведенческого анализа (Behavior Blocker) по контролю над процессами, добавляя возможность отмены потенциально нежелательных действий программ без необходимости их полного блокирования. Это обеспечивает более детальное управление иными легальными программами, которые требуют определенных действий для своей правильной работы. Оповещения Viruscope дают вам возможность изолировать процесс и отменить произведенные им изменения либо позволить процессу продолжить действие.
Viruscope имеет файлы «распознаватели» которые содержат наборы поведений, на которые VirusScope должен обратить внимание в том числе и на поведение шифраторов.
Во втором случаи о котором Вы упомянули если облако выдаст вердикт "Безопасный" и файл пойдёт на запуск его перехватит VirusScope и всё что начнёт развертываться из архива по пойдёт обратно в песочницу независимо от родительского процесса или будет уничтожено самим VirusScope.