» Comodo Internet Security

Accessisdenied 20:06 02-02-2015
Цитата:

Нет, в таком случае не сможет

Я не знаю, какая у Вас политика, только гадаю.
Имею в виду такой способ запуска с флешки: http://rghost.ru/8kdTbspnt

emhanik

Цитата:

такой способ запуска с флешки

Ярлык run с иконкой папки? Тот же самый системный алерт - запуск запрещен.
В Software Restriction Policies прописаны пути к флешкам, кэшу браузера и некоторые другие где security level установлен "Disallowed" (сори за такие названия, я пользуюсь англ. интерфейсом, но статья по ссылке доступна на русском, можно переключить язык и посмотреть эквиваленты).
Этого достаточно чтобы ничего из указанных путей не запускалось, даже когда ярлык указывает на разрешенный каталог, но сам расположен в запрещенном.

Accessisdenied 21:01 02-02-2015
Цитата:

В Software Restriction Policies прописаны пути к флешкам, кэшу браузера и некоторые другие где security level установлен "Disallowed"

Понятно. Я в курсе SRP, читал, в том числе у Поданса.
Собственно, сам в статьях рекомендую SRP как основное средство против ярлыков, хотя и в упрощенной конфигурации.

Насколько помню, Поданс рекомендует исключать ярлыки из контроля SRP. Вроде бы разрешение ярлыков на рабочем столе приводит к разрешению содержимого находящейся на нем папки с именем «Name.LNK».
Однако, как видим, все же нужно оставить LNK в списке «Назначенные типы». Это я и хотел подчеркнуть.

Отмечу, что в редакциях Windows, которые поставляются как предустановленные, SRP может отсутствовать.


Однако я пока не понял, какой конкретно вид имеют правила на Вашей системе. Запрещено все, кроме системных каталогов и т.п.? Или, наоборот, разрешено все, кроме определенных расположений?

Смысл моих вопросов вот в чем. Что будет, если расположить мой образец не просто в корне флешки, а закопать его поглубже в ее подкаталоги?

P.S. Хотя сейчас подумал — скорее всего, тот же результат: блокировка. Если запрещается конкретный путь: «E:\» и т.п.
Проблема возникла бы при использовании шаблона «E:\*.lnk»

P.P.S. Забыл упомянуть еще одну проблему SRP: невозможность применять одновременно с AppLocker. При этом средствами AppLocker ярлыки не блокируются.

Comodo Firewall 5.10 / Win7 x86
Общие настройки — Пользовательские.
Расширенные настройки — все опции включены.
Проактивная защита отключена (и не спрашивайте почему ).

Запускается файл и он ломиться в интернеты, появляется запрос как обрабатывать, я выбираю как Веб-браузер. Всё срабатывает как нужно — кроме веба файл никуда доступа в сети не получает.

Запускаю этот же файл с принудительной проксификацией через, установленный на этой же машине, SOCKS прокси (прокси и проксификатор в сабже определены как доверенные). Опять получаю запрос и снова определяю как Веб-браузер. Но при этом файл получает полный доступ к чему либо и как либо в сети.

Вопрос:
1. Это нормальная и правильная работа для фаервола?
2. Это нормальная и правильная работа для данного фаервола с подобными настройками.?

beZmeN
Filter loopback traffic включен? Уж не помню, был ли он на 5.10 правда...

gjf
Про loopback упоминается только в настройках уведомлений и галка стоит. И понятное дело первый и единственный запрос (во втором случае) о соединении с localhost, т.е. с прокси.
Я понимаю, что проксификатор перехватывает всё (таковы его настройки) и вроде как вопрос при этом некорректный, тем более проактивка отключена. Но меня всё равно это смущает, т.к. сабж изначально видит попытку подключиться и без разрешения ничего не произойдет. А дальше что? Проксификатор, со своим доверенным положением, берет всё на себя, помахав Комоду ручкой?

ЗЫ Завтра попробую всё это с проактивкой.

beZmeN
Смотря как проксификатор прописывается в системе

Добавлено:
Аналогичная фигня была с веб-мониторами антивирусов (суть - проксями) и вроде как никак не обходилась.

beZmeN 22:37 02-02-2015
Цитата:

Но при этом файл получает полный доступ к чему либо и как либо в сети.

Предустановленная политика «Веб-браузер» содержит разрешение всего Loopback. Если я правильно понял ситуацию, причина в этом.

emhanik

Цитата:

Недостаток всех версий в том, что Comodo — труп.

А можете что-то посоветовать другое для защиты дестктопной винды? Кроме латания комодовских дыр

Accessisdenied

Цитата:

Такие пустяки вычищаются из системы на раз вручную подручными средствами

Если такой пустяк попал в систему и успел порезвиться, то его удаление зашифрованные данные не спасет.

emhanik
Цитата:

Предустановленная политика «Веб-браузер» содержит разрешение всего Loopback. Если я правильно понял ситуацию, причина в этом.

Тьфу на меня. Ну как так, ведь смотрел и не заметил.
Спасибо. Теперь всё сходится.

emhanik

Цитата:

Если запрещается конкретный путь: «E:\» и т.п.

Да, действует на все подкаталоги.

XenoZ

Цитата:

его удаление зашифрованные данные не спасет

Зато спасет восстановление из бэкапа.
А если для важных данных нет бэкапа, то они и без вирусов могут быть потеряны

Присоединяюсь к вопросу заданномуSerjkov1ck.В свете всех событий предполагаю,что будет вскоре найдено 100500 дыр и дырок в этой сплошной дыре.

Serjkov1ck 00:35 03-02-2015
Цитата:

А можете что-то посоветовать другое для защиты дестктопной винды? Кроме латания комодовских дыр

123UnknownGuest 13:40 03-02-2015
Цитата:

Присоединяюсь к вопросу заданномуSerjkov1ck.В свете всех событий предполагаю,что будет вскоре найдено 100500 дыр и дырок в этой сплошной дыре.

Вот хороший совет:
gjf 18:03 02-02-2015
Цитата:

А можно - вообще остановится на лёгкой и простой базе.

Accessisdenied 13:32 03-02-2015
Цитата:

Да, действует на все подкаталоги.

Спасибо, понятно.

К слову о шифровальщиках, как вариант: важные данные у меня закрыты проактивкой как только пошли разговоры в сети, - ни добавить, ни удалить, ни переименовать даже так просто. Это, конечно, накладывает ряд неудобств, но лучше, чем ставить тормозные резидентные антивирусы, нередко дырявые.
Правда, теперь в некоторой растерянности: слезать с 5.12, вероятно, придётся только в сторону...

emhanik

Цитата:

А можно - вообще остановится на лёгкой и простой базе.

А чем он хорош, можно в двух словах? Нет ли там таких же неприятных уязвимостей?

неожиданно прилетела 8.1.0.4426 http://cdn.download.comodo.com/cis/download/updates/release/inis_4000/release_notes.html

Serjkov1ck 22:22 03-02-2015
Цитата:

А чем он хорош, можно в двух словах? Нет ли там таких же неприятных уязвимостей?

По тестам ниче) Я не вникал — так, поигрался немного. Понравилось, что действительно простой, легкий, но некоторую защиту держит; даже частично скрипты контролирует. Гибкости не хватает, конечно.
Лучше спрашивайте об этом продукте не меня, а автора цитируемой фразы)

laprad 23:08 03-02-2015
Цитата:

неожиданно прилетела 8.1.0.4426

Список изменений жжот. Особенно актуально новое название браузера

emhanik
Дык комодо там вообще в топе. А сами что пользуете?

Serjkov1ck
Сомневаюсь, что какой-либо тест проверял Comodo на эти специфичные для него уязвимости. Я дыры затыкаю и пользуюсь им.

emhanik
А почему разработчики не латают выявленные вами дыры? Что они вообще утверждают по этому поводу?

emhanik
Как-то egemen подозрительно быстро ответил на мое "фе" по поводу неисправленных багов... И вроде даже обещает их пофиксить... к середине марта!..

Serjkov1ck

Цитата:

They are fixed but not included in this cycle. NExt cycle is mid-march and they will be included.

XenoZ
gjf
Хорошие новости. Я думал им нет дела

Serjkov1ck
А им и нет. Иначе они бы более быстро фиксили то, что критично, а не меняли имя с Дракона на Хламидию - или как там браузер сейчас называется?

gjf
В ряды хейтеров вступил?

Serjkov1ck
По словам egemen'а, они тщательно тестируют фиксы, дабы не поломать компьютеры пользователей.

XenoZ
Да просто уже задолбали.
И судя по оффоруму, наше число растёт )))

Лежачего не бьют, но - ради интереса посмотрел процессы при обновлении баз антивируса - хоть собственно обновлений было немного (14-часовое отставание), Comodo руками процесса System прочитал с диска полгигабайта данных, а потом уже комодошный процесс записал на диск около 300 мегабайт... это какой гений придумал? такое впечатление, что b0020991.cav сначала распаковывается(зеркалится?), к нему приклеиваются (патчатся?) инкрементальные обновления, и потом новый файл снова сохраняется/упаковывается в 270 мегабайтный cav. Cудя по продолжительности обновления и нагрузке на проц - именно так. Такие же тупняки можно наблюдать и у современных касперских, но там база из кучи файлов и бекапы делаются..

Еще вопрос, таскменеджер и PH показывают по комодо ну очень приятные цифры, например, в PH - при включеном антивирусе, файрволе и проактивке - 4 процесса cmdagent.exe, cistray.exe, cis.exe, cavwp.exe занимают Private WS - 7 мегабайт, Working Set - 15 мегабайт. а если глянуть Virtual Size - около 750 мегабайт. Как узнать сколько реально сидит/откусывается от ОЗУ? Предположим неидеальное поведение, в своп ничего не выгружается, ведь, если антивирус постоянно включен, то, как минимум, его база постоянно развернута в ОЗУ?
Временно отключил антивирус, Virtual Size остался прежним, что-то я не понимаю..

laprad

Цитата:

Virtual Size остался прежним

Virtual Size не имеет отношения к потреблению физического ОЗУ. Вообще не стоит забивать себе голову такой чепухой. Распределение памяти - дело ОС, пусть она этим и занимается. Внутренний менеджмент памяти в винде сложный и запутанный, там без поллитра не разберешься

laprad 10:09 07-02-2015
Цитата:

Comodo руками процесса System

Как выявили, что именно Comodo?

Accessisdenied 20:11 07-02-2015
Цитата:

Вообще не стоит забивать себе голову такой чепухой

Но как ответить на простой вопрос: каково потребление памяти у Comodo? Как сравнить это потребление у разных продуктов, или у разных конфигураций одного, или при выполнении им разных задач?