Dimitr1s Цитата: С чего вывод, что ложные? Если процесс cftmon.exe, то это вирус, нужно лечение. Если ctfmon.exe, то так и должно быть (у меня он всегда отключён, к примеру, пользуюсь Punto Switcher).
Наврал, конечно - ctfmon, все время ошибаюсь при его написании. А вот с write to memory application - не понимаю. Разве имеет отношение то, что я нажал Alt-Shift в браузере к нему самому? ctfmon ведь должен ставить хук на это сочетание клавиш, и его обрабатывать. И откуда здесь запись в память приложения?
Цитата: В чём полная недееспособность выражается?
С возможностью предотвратить действие до того, как оно произошло. Тот же Access Network для недоверенного приложения. Насколько я понял форум, блокирование всего TCP/IP при отказе в Access Network происходит из-за того, что событие уже произошло, и мы боремся уже с последствиями, а не с самим действием:
Xenoz Цитата: Насколько помню разъяснение Nail'а, с косвенным доступом все должно быть однозначно: если запрещенный процесс запущен, блокируется вся цепочка, в к-рую он внедрился.
C похожим поведением я сталкивался и для Process Attack - зачем блокировать браузер, при отказе в попытке доступа к нему из других приложений?
Я читал твое сообщение:
Цитата: Сделать можно практически всё, что захочется и ни чего не умрёт, если соблюдать одно правило: после запрета/создания запрещающих правил нужно или перегрузиться или перезапустить Джетику
но почему нужно делать такие нетривиальные пассы, так и не понял.
Диалог с запросом на что-нибудь возникает настолько часто, что уже начал жать OK на автомате, не особо вникая в текст сообщения, а это уже совсем нехорошо
Цитата: Так он и сообщает, вопрос в том, что каждое приложение с не совпадающим хешем считается как новое - ИМХО правильно, что бы не вводить в заблуждение.
Правильно, вот только для каждого такого случая я должен вручную лезть в таблицу checksum и искать, нет ли уже такого приложения. Дел-то тут - добавить глобальную настройку "Отдельный диалог, если для данного приложения уже есть записи" - кодирования практически не требуется, а жизнь упростило бы. А может, стандартный диалог можно модифицировать до такого собственными силами?
Цитата: Да собственно так же как и если бы сообщалось при изменении существующей - проверить. А список можно, даже нужно, упорядочить и иногда чистить от старых и не верных записей.
Ага, сортировка по пути
То есть я должен вручную поддерживать сортировку этого списка, чтобы облегчить себе поиск при следующем запросе о SHA-1. Для меня это несколько дико звучит, извини.
Добавлено: Ну вот, пока писал, XenoZ уже опередил
Dimitr1s Цитата: А как они сделают, если подсчёт хеша у них по трём событиям , которые могут иметь разные флаги, это ж переписывать весь драйвер надо тогда.
Не обязательно, достаточно модифицировать сообщение, если есть правило для данного события, но с другим SHA-1
Цитата: Если таблицы завершены так:
Прошу прощения, разницы не понимаю. Разве в любом случае, он выбора пользователя ожидать не должен?
.
Так, вот, просмотр логов, ведущихся не на группу, а по каждому приложению это позволил поймать, и Anvir был отключён, а вот как ты с группой будешь разбираться, выяснив кто именно сбоит? Представил себе картинку - группа программ эдак на 500 - 600, одна сбоит, удалил всю группу (по одной не выйдет), и заново всё писать.