Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Internet Security

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158

Открыть новую тему     Написать ответ в эту тему

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Варезнике

Предыдущие части >>> 1 >>> 2 >>> 3 >>> 4 >>> 5 >>> Все части

Архив: Comodo Firewall Pro 2.4 | Comodo Firewall Pro 3.0 | Comodo Internet Security 3.14 | Comodo Internet Security 4


Comodo Internet Security Premium 12


Firewall Protection | AntiVirus Software | Proactive Security | Sandbox | Behaviour Blocker
Cloud & Rating Technology | Viruscope | Website Filter | Secure Shopping + Internet Security Essentials

Страница CIS на официальном сайте COMODO
Страница Comodo FW на официальном сайте COMODO

 
Внимание!
Сайт comodorus.ru НЕ является официальным сайтом COMODO!
comodorus.ru распространяет не оригинальные дистрибутивы CIS, а «свои» - перепакованные, с добавлением программ от сторонних производителей! Всегда скачивайте дистрибутивы только с официального сайта, которым является www.comodo.com
Не дайте себя обмануть!

Последняя бесплатная версия: 12.2.2.8012 (оффлайн-установщик) | онлайн-установщик | Release Notes | Обсуждение Comodo Cloud Antivirus

Системные требования: XP 32bit, Vista/Win7/Win8/Win8.1/Win10 32 bit & 64 bit, 152 MB RAM / 400 MB свободного места на диске.
v12.0.0.6870 - последняя версия с поддержкой Windows XP.


Официальные дистрибутивы COMODO с версии 2.3 по 12.2.2.8012 (Dropbox) | COMODO Uninstaller: x32 / x64 (v3.0.0.41 the last version for uninstall CIS v12.2.2.8012)

Блог о Comodo | Нюансы использования...  (v8) | Обсуждение на оф. форуме Недоступно из России

Примеры правил и принципы работы фаервола в CIS:
Принцип фильтрации пакетов | Использование маски (* и ?) в правилах
Наборы портов | Сетевые зоны | Предопределённые политики фаервола
Примеры правил, которые были написаны ещё для CIS 3.14, но всё равно могут быть использованы и для последующих версий

Особенности работы COMODO со сторонними антивирусами: объяснение 1 и 2; пример 1 и 2.

Дополнения и советы:
1. Использование символа "|" в конце пути/файла/маски "Защищенных файлов и папок" CIS.
2. Антивирусные базы: скачивание .
3. Онлайн анализ подозрительных исполняемых файлов: ссылка-2.
4. Межпроцессорный доступ к памяти. Добавление приложения в список исключений.
5. Перенос настроек (конфигурационного файла) COMODO
6. При некорректном удалении Комодо может возникнуть проблема с очисткой реестра. Возможное решение...
7. Удалить или отключить ненужные задания планировщика Windows, созданные COMODO при его установке (они предназначены для сбора телеметрии и прочих прелестей:
http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1260#21  
http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1320#7


Рекомендуется при описании проблемы указывать версию операционной системы и тип подключения к интернету.
Иначе помочь будет трудно, т. к. телепаты опять в отпуске или в клубе телепатов.  

Всего записей: 38754 | Зарегистр. 26-02-2002 | Отправлено: 00:20 10-12-2016 | Исправлено: XenoZ, 17:22 17-02-2024
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Bluegem

Цитата:
если речь идет просто о факте наличия правила для приложения

Именно.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 21:20 15-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По багам читайте тему.
Нет, не вносит. Функциональность полностью описал в сообщении.
Отключите галку доверенных установщиков, я написал о влиянии на рейтинг выше.
Как влияет рейтинг я написал выше. О том, что правила применяются к пути я написал выше.
Прочитайте статью kibinimatik по настройке comodo. Вдумчиво прочтите мое сообщение.
XenoZ, вы не правы. Достаточно галки усиленной защиты и безопасного режима. Не вводите в заблуждение новмчков.
emhanik, не могу согласиться. У меня отключены доверенные установщики, облачный анализ, я не ставил ав модуль.
Рейтинг по дефолту - неопознанный. На доверенный рейтинг могу изменить только я.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 21:24 15-07-2017 | Исправлено: Farik90, 21:48 15-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Farik90

Цитата:
XenoZ, вы не правы. Достаточно галки усиленной защиты и безопасного режима. Не вводите в заблуждение новмчков.


Именно в безопасном режиме, при наличии правила в HIPS целостность файла не контролируется.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 21:34 15-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1) Правила применяются независимо от рейтинга.
2) Рейтинг Доверенного файла при подмене меняется на Неопознанный. Сответственно, программа больше не может делать ничего без явного разрешающего правила.
И в безопасном режиме также. Проведите тест, предоставленный kibinimatik в баг-репорте на форуме comodo, прочтите сообщения с моими опытами и отчетами там. Приведите свой отчет, доказывающий ваши слова, тогда и поговорим.
3) Единств. отличие Параноидального от Безопасного - все файлы считаются Неопознанными независимо от рейта.
Не вижу смысла в этом режиме, кроме как для теста. Если вы не доверяете проге, не делайте ее доверенной - вот и все.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 21:41 15-07-2017 | Исправлено: Farik90, 22:10 15-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Бывает такая дрянь, не могу понять когда и отчего. В Комоде дело или в системных каких обновлениях...  
Час где-то перезагрузка идет.  

Я час не ждал, меня на 10 минут хватило, потом я прибил гостевую систему.

Цитата:
В правилах хипса, фаервола — по пути  

А вот это плохо, особенно для firewall'а. Вы, если я правильно понял, глубоко ковыряли и тестировали Comodo, и, наверное, с разработчиком общались, вам не доводилось спрашивать зачем они так сделали? Просто все последние продукты безопасности, которые я тестировал, проверяют файл по хэшам или на худой конец цифровой подписи, чтобы избежать подмены или инъекции кода, а тут они построили дзот с деревянной дверью сзади...

Цитата:
Когда режим параноидальный/пользовательский — для хипс/фаервола рейтинг (почти) не играет роли.  

Спасибо я так и подумал.

Цитата:
Да и сам параноидальный режим — довольно сомнительная вещь. Чем Безопасный не вариант (для хипса)?

Отсутствием достаточного контроля. Мне нужен HIPS + Firewall который я смогу настраивать полностью вручную исходя из своих нужд и представлений о безопасности. "Безопасный" режим к сожалению им не соответствует.  
XenoZ

Цитата:
Именно.

У меня оба пункта, указанных вами, в наличии, тем не менее файл не проверяется.
Farik90

Цитата:
Нет, не вносит. Функциональность полностью описал в сообщении.  

Так вы же написали:

Цитата:
позволяет из алерта: добавить в доверенные

?

Цитата:
Отключите галку доверенных установщиков, я написал о влиянии на рейтинг выше.  

Отключена, я такие вещи с самого начала отрубаю, как и облачный анализ, и доверие приложениям подписанным доверенными поставщиками.

Цитата:
Рейтинг Доверенного файла при подмене меняется на Неопознанный.

Ну у меня рейтинг с "Неопознанный" или "Доверенный" меняется на "Доверенный" после замены.

Всего записей: 262 | Зарегистр. 03-10-2009 | Отправлено: 22:24 15-07-2017 | Исправлено: Bluegem, 22:50 15-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1) Чтобы подменить exe или добавить dll, недоверенной программе нужно разрешение hips, потому что исп. файлы находятся в группе Защищенных файлов. Также там находятся папки Windows, Program files.
2) Если активность оригинальной программы разрешалась ее Доверенностью, а не разреш. правилами, то даже подмена ничего не даст - после подмены файл больше не будет доверенным.
 
Добавление в доверенные из алерта достигается открытием окна комода и вызова пункта меню. Причем моя программа должна быть заранее внесена в доверенные для таких манипуляций, так что нет, это не дыра.
 
По поводу самовольного присвоения рейтинга, я отвечаю за 8 версию. Если все 3 пути перекрыты (а ав модуль стоит?), рейтинг менять можете только вы. Возможно в 10 появился новый путь - вопрос к emhanik.
 
Для фаервола в пользов. режиме не имеет значения довер. файл или неопознанный. Правила по пути.
 
Вы уверены что подменяете на НЕдоверенный файл? Сделайте ориг. файл доверенным, выберите файл для подмены, сделайте его недоверенным, совершите подмену, попытайтесь сделать подмененной нечто, попадающее под контроль хипс, либо попробуйте запустить ее другой доверенной программой.
В 8 такие трюки не работают, проверено множеством людей и мной в том числе.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 22:45 15-07-2017 | Исправлено: Farik90, 23:04 15-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem 22:24 15-07-2017
Цитата:
все последние продукты безопасности, которые я тестировал, проверяют файл по хэшам или на худой конец цифровой подписи

Comodo проверяет.
По мне, самый приемлемый вариант использования — конфигурация ProactiveSecurity, автопесочницу и VirusScope отключить, HIPS в Безопасном режиме с оповещениями (без дополнительных правил), фаервол в Пользовательском без оповещений (вернее, не совсем, но это детали). Если чей-либо хеш станет неопознанным, HIPS оповестит.
 
Если вы хотите пренепременно Параноидальный HIPS, настройте автопесочницу, чтобы она блокировала все файлы с рейтингом неопознанных или вредоносных. Все свои программы добавьте в список файлов как доверенные. Вот вам и контроль хеша.
Если вас не устраивает, что CIS доверяет, помимо ваших программ, еще и множеству подписей — либо отключите доверие подписям, как уже сделали, либо удалите лишних поставщиков из доверенных и отключите облако.
Увы, даже если очистить список файлов, CIS будет доверять некоторым хешам из внутренней базы. Скорее всего, эта база обновляется вместе с антивирусной, так что просто ставьте один ComodoFirewall.

----------
Всем спасибо.

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 22:55 15-07-2017 | Исправлено: emhanik, 22:59 15-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Bluegem

Цитата:
У меня оба пункта, указанных вами, в наличии, тем не менее файл не проверяется.

А немного подумать?
1. параноидальный режим - файл не проверяется;
2. для файла есть правило - он не проверяется.
 
Farik90

Цитата:
1) Правила применяются независимо от рейтинга.
2) Рейтинг Доверенного файла при подмене меняется на Неопознанный. Сответственно, программа больше не может делать ничего без явного разрешающего правила.
И в безопасном режиме также. Проведите тест, предоставленный kibinimatik в баг-репорте на форуме comodo, прочтите сообщения с моими опытами и отчетами там. Приведите свой отчет, доказывающий ваши слова, тогда и поговорим.

При наличии правила в HIPS рейтинг файла уже не имеет значения. Здесь это уже обсуждалось, доказывать ничего не собираюсь.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 22:59 15-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Присоединяюсь к рекомендации emhanik, сам сижу на такой конфе, только фаер с оповещениями.
Также подтверждается моя теория о причастности ав модуля к присвоению рейтинга. А я уже лет пять не пользуюсь никакими ав.
 
XenoZ, по 2 пункту не согласен - отвечу за свой конфиг - рейтинг влияет. Простой тест: для работающей доверенной проги, треб. разрешения хипс вручную создайте правило, можете добавить разрешение на что-то несуществующее или оставить как есть. Прога работает. Сделайте ее недоверенной - спрашивает разрешение / не работает.
Разумеется, если вы задаете проге правило "Разрешить все" или "Запретить все" - рейтинг уже ни на что не повлияет. Но это говорит больше о вас, чем возможностях comodo. Рейтинг доверенного позволяет активность, на которую правило говорит - спросить.
Внезапно, открою вам большой секрет - даже если вы не создавали правила для проги - на него все равно действуют правила "исполняемые файлы" и "все приложения". Посмотрите что там, для понимания.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 23:17 15-07-2017 | Исправлено: Farik90, 23:44 15-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Farik90

Цитата:
Простой тест: для работающей доверенной проги, треб. разрешения хипс вручную создайте правило, можете добавить разрешение на что-то несуществующее или оставить как есть. Прога работает. Сделайте ее недоверенной - уже нет.  

Не нужно путать теплое с мягким. Если приложение доверенное, то оно запускается без правила. Правило может быть необходимо для запуска неизвестного приложения. В свою очередь это вызывает необходимость в соответствующем правиле для родительского процесса, иначе запуск будет блокирован. Что имеем в итоге: правило, разрешающее запуск конкретного приложения, и правило непосредственно для этого приложения. Теперь, если приложение подменить, "обманка" будет работать по ранее указанным правилам.
 
Проверял это 4 года назад, насколько помню, ситуация не изменилась.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 23:40 15-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"При наличии правила в HIPS рейтинг файла уже не имеет значения."
- Ложь. Вы создали разрешающие правила вместо того, чтобы делать файл доверенным и теперь жалуетесь, что после подмены правила продолжают действовать (о чем я уже неоднократно писал) - ССЗБ. А выше я писал почему недоверенное приложение не может совершить подмену в отличии от вас, действующим через доверенный или разрешенный файл-менеджер.
Прошу простить мою резкую манеру, но кажется вы просто не разобрались с системой безопасности hips.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 23:47 15-07-2017 | Исправлено: Farik90, 23:57 15-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90

Цитата:
1) Чтобы подменить exe или добавить dll, недоверенной программе нужно разрешение hips, потому что исп. файлы находятся в группе Защищенных файлов. Также там находятся папки Windows, Program files.  

Все это конечно хорошо, только если она будет недоверенной и если она не будет так или иначе эксплуатировать доверенное приложение, как минимум.

Цитата:
2)  после подмены файл больше не будет доверенным.  

Как я уже писал это происходит не во всех условиях, вот конкретно у меня программа становится доверенной, и хорошо если это связано с какой-то внутренней базой комода, а не с багом.

Цитата:
Добавление в доверенные из алерта достигается открытием окна комода и вызова пункта меню. Причем моя программа должна быть заранее внесена в доверенные для таких манипуляций, так что нет, это не дыра.  

То есть вы просто симулируете работу с его интерфейсом, ну ладно.

Цитата:
По поводу самовольного присвоения рейтинга, я отвечаю за 8 версию. Если все 3 пути перекрыты (а ав модуль стоит?), рейтинг менять можете только вы. Возможно в 10 появился новый путь - вопрос к emhanik.  

Ясно. Нет, ав модуль не стоит.

Цитата:
Вы уверены что подменяете на НЕдоверенный файл?

Нет, я уверен, что подменяю на файл, который Comodo, по крайней мере судя по списку файлов, еще не видел.

Цитата:
Сделайте ориг. файл доверенным, выберите файл для подмены, сделайте его недоверенным, совершите подмену, попытайтесь сделать подмененной нечто, попадающее под контроль хипс, либо попробуйте запустить ее другой доверенной программой.  

Я делаю по другому, отслеживаю чтобы в списке не было исходного файла и файла, который заменит его. Запускаю исходный смотрю, что он появился в списке и имеет рейтинг. Меняю его на другой, смотрю что другой появился в списке и получил необходимый рейтинг, произвожу нужные действия. Назначать руками подделке нужный рейтинг не вижу смысла, потому что в реальных условиях такого не будет.
 
emhanik

Цитата:
Увы, даже если очистить список файлов, CIS будет доверять некоторым хешам из внутренней базы. Скорее всего, эта база обновляется вместе с антивирусной, так что просто ставьте один ComodoFirewall.

У меня сейчас Firewall без AV, правда до него стоял полный CIS c AV на том же образе позже был деинсталлирован, не знаю насколько это влияет.

Цитата:
Если вы хотите пренепременно Параноидальный HIPS, настройте автопесочницу, чтобы она блокировала все файлы с рейтингом неопознанных или вредоносных. Все свои программы добавьте в список файлов как доверенные. Вот вам и контроль хеша.  

Ну это уже какой-то anti-execution получается, и я бы на него может быть пошел если бы была возможность настроить белый лист командных строк.
 

Всего записей: 262 | Зарегистр. 03-10-2009 | Отправлено: 23:55 15-07-2017 | Исправлено: Bluegem, 00:02 16-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Farik90

Цитата:
- Ложь. Вы создали разрешающие правила вместо того, чтобы делать файл доверенным и теперь жалуетесь, что после подмены правила продолжают действовать (о чем я уже неоднократно писал) - ССЗБ.

Слюни подотри, брызгаешь.
О жалобах не было ни слова. Была информация о том, что "При наличии правила в HIPS рейтинг файла уже не имеет значения".

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 23:57 15-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem 23:55 15-07-2017
Цитата:
до него стоял полный CIS c AV на том же образе позже был деинсталлирован, не знаю насколько это влияет

Скорее всего влияет, база-то одна. Чтобы сбросить ее, лучше всего экспортировать конфигурацию, экспортировать список файлов, переустановить программу и импортировать оба файла обратно.
 

Цитата:
если бы была возможность настроить белый лист командных строк

Так исключите их из автопесочницы по маске, контролируйте одним хипсом
Правда, я не до конца понял, о каких строках речь. Вы включили контроль бесфайловых скриптов для cmd?

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 00:08 16-07-2017 | Исправлено: emhanik, 00:09 16-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem, в реальных условиях файла подмены не будет в базе доверенных. Возмите для теста из списка файлов любой недоверенный, его и используйте для подмены.
Эксплуатировать доверенное приложение недоверенным не выйдет - комодовцы очень хорошо проработали этот момент.
Разумеется уязвимости доверенных остаются, но запустить payload уже не выйдет, а сами по себе уязвимые программы вреда принести, как правило, не могут.
Xenoz, дальнейшую дискуссию с вами считаю бессмысленной. Вы уже неоднократно утверждали свои ошибочные выводы, оставляю вас тешить свое чсв в одиночестве.

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 00:11 16-07-2017 | Исправлено: Farik90, 00:25 16-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Farik90

Цитата:
Вы уже неоднократно утверждали свои ошибочные выводы

"Огласите весь список, пожалуйста..." ©

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 00:18 16-07-2017
NOSS68



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вах!  
Тут жаркие дебаты, а я уже за более чем за 6 лет подзабыл нюансов по настройке гипса, так интересно почитать. Слежу как зритель за игрой в теннис: туды - сюды, туды - сюды, туды - сюды.




Нарушение п. 2.8. главы VIII Соглашения по использованию

Всего записей: 1213 | Зарегистр. 06-01-2010 | Отправлено: 01:11 16-07-2017 | Исправлено: gyra, 11:42 16-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сообщение, которое я писал до этого кануло в Лету из-за того, что форум был недоступен, поэтому буду краток.
emhanik

Цитата:
Так исключите их из автопесочницы по маске, контролируйте одним хипсом  
Правда, я не до конца понял, о каких строках речь. Вы включили контроль бесфайловых скриптов для cmd?

Речь идет о строках вроде:
"C:\Windows\system32\rundll32.exe" Shell32.dll,Control_RunDLL firewall.cpl
"C:\Windows\system32\rundll32.exe" "C:\Windows\system32\WININET.dll",DispatchAPICall 3
чтобы была возможность создать на них белый лист. И естественно мне нужна будет поддержка масок, чтобы не вводить все возможные варианты.
 
Farik90

Цитата:
Bluegem, в реальных условиях файла подмены не будет в базе доверенных. Возмите для теста из списка файлов любой недоверенный, его и используйте для подмены.  
Эксплуатировать доверенное приложение недоверенным не выйдет - комодовцы очень хорошо проработали этот момент.  

Комодовцы все проработали через одно место потому что сама процедура присвоения "доверенного" статуса непрозрачна, есть какие-то скрытые базы и вагон и маленькая тележка других факторов. Что до тестов, то я не имею возможности наперед знать каким приложением по статусу считает мой исполнительный файл Comodo, фактически - это абсолютная абстракция, "доверенный" "недоверенный".  Должна быть галка в настройках, что бы все по умолчанию было "неопознанным" независимо от мнения Comodo и только с ручным переключением рейтинга. Увы тут такого нет. И у меня складывается впечатление, что это сделано умышленно, как дырка для спец. служб, иначе очень странно получается либо ты имеешь полный HIPS, но забываешь о контроле целостности компонентов приложения, либо ты получаешь урезанный HIPS где все завязано на каких-то рейтингах....

Цитата:
Разумеется уязвимости доверенных остаются, но запустить payload уже не выйдет, а сами по себе уязвимые программы вреда принести, как правило, не могут.  

Не выйдет только в том случае, если включить блокировку по белому листу в автопесочнице, как и посоветовал emhanik(спасибо ему за это), либо забыть о тонкой настройке HIPS, что не есть хорошо. Впрочем даже это метод мне не очень нравится, потому что боюсь, что будут реальные проблемы с совместимостью, и я до конца не уверен, что местная песочница поддерживает весь необходимый мне функционал anti-execution.

Всего записей: 262 | Зарегистр. 03-10-2009 | Отправлено: 18:12 16-07-2017 | Исправлено: Bluegem, 22:37 16-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem 18:12 16-07-2017
Цитата:
Речь идет о строках вроде:  "C:\Windows\system32\rundll32.exe" Shell32.dll,Control_RunDLL firewall.cpl  "C:\Windows\system32\rundll32.exe" "C:\Windows\system32\WININET.dll",DispatchAPICall 3  

По сути вам надо разрешить запуск и активность файлов firewall.cpl и WININET.dll
Вы можете сделать системные файлы доверенными или исключить их из автопесочницы по маске (не знаю, какая именно маска вам нужна)

Цитата:
сама процедура присвоения "доверенного" статуса непрозрачна, есть какие-то скрытые базы и вагон и маленькая тележка других факторов

Логика там есть и учет разных факторов оправдан.
Другое дело, что портит картину скрытость и неотключаемость «списка чистых файлов». Когда-то я просил сделать его отключаемым, но увы.
Этот список как-то связан с антивирусным модулем, Comodo обращается к нему, даже если антивирус как будто не установлен. Можно сдампить внутреннюю базу в файл (есть такая скрытая фича для отладки), но этого списка там не будет.

Цитата:
И у меня складывается впечатление, что это сделано умышленно, как дырка для спец. служб

Ох... Бритва Хэнлона рулит.
Вот до 10-й, вернее, 8.2.какой-то версии рейтинг был по-настоящему дырявым. Сейчас переработан.
 
Где-то в этой ветке я предлагал «полностью ручной antiexecutable»: отключить облако, назначить всем своим и системным файлам рейтинг «вредоносные» и настроить автопесочницу на блокировку всех, кроме вредоносных. Надеюсь, никто всерьез не воспринял.

----------
Всем спасибо.

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 19:41 16-07-2017 | Исправлено: emhanik, 21:57 16-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу "белого листа": для этого есть правило "все программы" в самом низу списка правил. Я и сам многое туда добавил.
 
В чем проблема очистить базу или сразу настроить как надо? У меня все прозрачно, ручной режим, тут такое есть, да.
 
По поводу контроля:
1) Целостность файлов программ достигается отсутствием прав админа у просто юзера и его программ - банальная истина для любого админа.
2) Дополнительно контролируется списком защ. объектов хипс - загляните туда для понимания.
3) Ну допустим, злобный хакер, у которого есть пароль админа, сел за ваш комп, пока вы отвернулись и подменил недоверенный файл, который контролируется созданным правилом. Какая, к черту разница? Он ограничен правилом, а значит не сможет навредить (правило "разрешить все" не рассматриваем).
4) Делаем доверенной и запрещаем все ненужные активности: вуаля, права программы урезаны только нужными, при этом после подмены она лишится даже их.
5) После каждого обновления будете заново вручную назначать прогам рейтинг доверенных по хешу? Ну-ну.
От чего или кого вы пытаетесь защититься, кто именно будет подменять вам файлы?
Не доверяете рейтингу - ставьте параноид режим, целостность контролируется пунктами 1, 2, 3.
 
Резюмируя: правил пути достаточно большинству пользовательских программ. Если программа системная или требует больших прав, то наверняка подписана, и можно не заморачиваясь добавить ее по подписи, ибо какой смысл пытаться ее ограничить. Назначение правил хеша - лишняя морока. SRP политики позволяют сделать белый лист разрешенных к запуску по хешу - но так никто ни делает.
 
"дырка для спец. служб" - no comments.
 
"Не выйдет только в том случае, если включить блокировку по белому листу в автопесочнице "
Я вам лично проверенные факты говорю. У меня песочница отключена.
Одна прога может запустить другую только в двух случаях:
1) обе доверенные,
2) ей разрешено запускать другую правилом.
Моим браузерам не разрешено запускать файл virus.exe из папки temp. А вот флешплеер и проводник - да. Только payload даже не пытается писаться в папки windows или PF вместо них, потому что знает, что ничего ни светит - прав админа нет. А даже если есть, комод не разрешит, ибо браузерам я такого права в хипс не давал. Даже в другие папки писать исп.файлы права не давал, так-то, не то что запускать.
 
antiexecutable - srp по белому списку, чего уж проще. Одно другому не мешает.
 
Bluegem, судя по последнему сообщению, вы высказываете уже свои убеждения, а не вопросы/проблемы, а значит использовать хипс не собираетесь. Как я и предупреждал, хипс не для простого юзера. Но тогда кому и что вы доказываете?

Всего записей: 120 | Зарегистр. 23-05-2011 | Отправлено: 20:03 16-07-2017 | Исправлено: Farik90, 21:16 16-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158

Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Internet Security


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru