» Comodo Firewall Pro / Comodo Internet Security (3)

Цитата:

По моей логике, если файл защищён, то он должен быть защищён от изменения/перемещения/удаления.

Юзай "Мои заблокированные файлы", правда тогда даже прочитать не сможешь .

Dorovsky
Цитата:

Цитата: Обычно через процесс explorer

Тогда теряется смысл всей проактивки...

Цитата:

Источник 10.255.255.253

AlaRic, а получатель кто ? Твой локальный адрес ?
Цитата:

Цитата:
Вот это бы поподробнее. Можешь скрыть свой локальный адрес, но глобальный и порты покажи (он всё равно динамический и меняется при каждом подключении, так что никто не вычислит ).

Порты были 3013-3014 а внешний IP 95.30.71.32

Возможно это какая-то из служб виндоса пыхтит, связанная с NetBIOS. У меня эти службы выключены и таких соединений не припомню.

Цитата:

Получается, что это не защита самого файла, а лишь запрещение процессам, которые неСистемные или неДоверенные, на определённые действия с этим самым файлом.

Именно так. Логика вполне правильная.
А что до изменения защищенного файла эксплорером, вот тут [more]acro, провёл я этот тест. А то и у меня файл запустился в начале из моего файлового менеджера и тест был провален.
Sssvan, я тоже так подумал. Но ты опередил с описанием почему может быть провален тест.

Итак, текст батника такой:

Код:echo 1 - rename
move "C:\Program Files\Opera\opera.exe" "c:\Program Files\Opera\opera+.exe"
pause
echo 2 - remouve
move D:\opera.exe "C:\Program Files\Opera\opera.exe"
pause
echo 3 - copy
copy D:\opera.exe "C:\Program Files\Opera\opera.exe"
pause
echo 4 - run
"C:\Program Files\Opera\opera.exe"

Думаю, что всем назначение операторов понятно, поэтому сразу к результатам.
1. Запустил я этот батник через ПУСК-Выполнить.
Сразу же после запуска вышел первый запрос (я по-русски напишу смысл): "Подписанное виндосом приложение cmd пытается что-то сделать с приложением C:\Program Files\Opera\opera.exe" -> я отказал -> в окне терминала появилась запись "Отказано в доступе."
В итоге первый шаг (переименование нормального файла) не прошёл. Я его сделал просто для проверки и такого пути, само собой, можно сразу затирать нормальный файл вредоносным.
2. Нажал на ПРОБЕЛ (пауза в батнике) -> возник второй запрос: "Опять cmd пытается изменить, но на этот раз d:\opera.exe" -> я отказал -> в окне терминала опять появилась запись "Отказано в доступе."
Т.о. и второй шаг (перенос файла) не прошёл.
3. Нажал опять на ПРОБЕЛ -> возник третий запрос: "Опять cmd пытается изменить, но на этот раз d:\opera.exe" -> я отказал -> в окне терминала появилась запись "Отказано в доступе.
Скопировано файлов: 0."
Т.е. и третий шаг (копирование файла) не прошёл.
4. Нажал опять на ПРОБЕЛ -> загрузилась ОПЕРА. Ну а, собственно, так и должно быть.
5. Что и требовалось доказать. А тест 2ip может пройти, если запускать этот батник или сам файл из полностью доверенного приложения (например, доверить всё файловому менеджеру и запустить).[/more]


Если кратко: то защищенные файлы "втихаря" изменить не удается.

Такая ситуация. Windows Vista. Некто влепил Comodo Firewall и установил на него пароль. Теперь невозможно ни настройки поменять ни удалить.
Кто нибудь подскажет, как сбросить пароль? Или корректно удалить Comodo?

Zr0M2 загрузится с диска LiveCD и удалить папку Comodo и реестр почистить по возможности...

XenoZ

Цитата:

Отнюдь... Т.к. к процессу explorer.exe еще надо получить доступ, каким-нибудь образом...

Да, действительно, тоже не подумал, уж больно тривиально подошел к принципу работы HIPSa...

Добавлено:
Zr0M2

Цитата:

...Кто нибудь подскажет, как сбросить пароль? Или корректно удалить Comodo?

Вот здесь >>>> посмотри, только там описано удаление CFP на winxp.

WIGF

Цитата:

а как же обновляться виндос будет без разрешения http/https ?

А зачем обновлять Windows при правильно настроенном HIPS от Comodo?

WIGF


Цитата:

а получатель кто ? Твой локальный адрес ?

Да


Цитата:

Возможно это какая-то из служб виндоса пыхтит, связанная с NetBIOS. У меня эти службы выключены и таких соединений не припомню.

Оставить все как есть?
Я сейчас кстати попробовал запретил оба запроса(и на 10*** и на 95***) - инет остался.

AlaRic, запрети. Разрешай только то, что необходимо для работы.

Цитата:

Вот здесь >>>> посмотри, только там описано удаление CFP на winxp.

laimer спасибо за ссылочку! Вычистил ручками.
Плохо, что нет утилиты от производителя для удаления.

KUSA

Цитата:

А зачем обновлять Windows при правильно настроенном HIPS от Comodo?

А затем, что Comodo работает в среде Виндовз, и, соответственно, ошибки операционки смогу "убить" любой HIPS и иже с ними, через лазейки, к примеру, в тех же системных библиотеках, которые испотльзуют ВСЕ программы, работающие под любой осью...

Цитата:

А зачем обновлять Windows при правильно настроенном HIPS от Comodo?

KUSA, опа... Меня этот вопрос врасплох застал...
Это шутка что-ли ? Или серьёзно считаете, что обновлять ось не нужно пусть даже и при настроенном HIPS ?

All
[more=Результаты эксперимента по локальному обновлению...]Результаты эксперимента по локальному обновлению:
Начальная база после инсталляции - 1157,
на зеркале базы 1158-1643,
КИСа все стянула, компилировала минут 20... Но! После компиляции НЕ затребовала перезагрузку и сразу показала, что базы актуальные.
А при обновлении исправленного русика, чтобы язык не слетал, после обновления надо выбрать русский и потом уже перегрузить гуй.

Резюме:
онлайн обновление - 100 МБ (с базы 1552, сейчас в ini уже указана 1630, какого она размера... хз... но думаю - не меньше), перезагрузка, дообновление;

локальное обновление - 55 МБ (т.е. в 2 раза меньше ), без перезагрузки, в один этап;

при локальном обновлении появляется возможность редактировать/менять файлы локализации (кстати, я вдобавок еще из ini и из папок выкинул китайские файлы).

Единственно, есть разница в размере конечного файла bases.cav (для базы 1643):
Онлайн:
Size: 101936888 bytes
Локально:
Size: 101906683 bytes
Но КИСа говорит, что все нормально.[/more]

Привет всем пользователям сабжа! Кто знает как закрыть порт в фаере? Тестировала безопасность своего компа по этой ссылке http://2ip.ru/port-scaner/, нашло, что у меня открыт 22-й порт. Как его закрыть? И еще вопрос: можно ли доустановить антивирус Комодо без переустановки, или придется удалять фаер с хипсом, а потом ставить полный пакет?

AgapKa
Цитата:

Кто знает как закрыть порт в фаере? Тестировала безопасность своего компа по этой ссылке http://2ip.ru/port-scaner/, нашло, что у меня открыт 22-й порт. Как его закрыть?

Заблокируйте входящие на этот порт в "Глобальных правилах".
Цитата:

И еще вопрос: можно ли доустановить антивирус Комодо без переустановки, или придется удалять фаер с хипсом, а потом ставить полный пакет?

У меня такое получилось - подробнее...
Стоял CFP, обновлённый до последнего билда (531). Скачал с оф.сайта дистрибутив CIS и установил. Все настройки сохранились.

AgapKa
В "Глобальных правилах" создать правило типа: запретить входящие с любого адреса на любой адрес, где протокол любой, порт источника любой и порт назначения 22.
Теоретически можно. Запустить изменение/удаление, выбрать "изменить", выбрать антивирус. Но (imho) лучше удалить и поставить полный пакет, во избежание возможных глюков.

Я создала это правило запрета и на порт отправления 22. Оставить так или лучше изменить?

И еще - ко мне на 445, 137, 139 порты постоянно ломятся с других адресов локалки моего провайдера. Больше всего - на 445. Это мне трояна пытаются засадить или это просто маршрутизатор сети? Я отвечаю Комодо, чтобы он блокировал эти адреса с запоминанием, он вроде запоминает, но все равно всплывающие окошки уже достали. Может и эти порты тоже позакрывать, или они чем-нибудь полезны системе?

Вопрос такой. Если вбит комодовский ДНС и с ним к примеру трабл, у них там на оборудовании, то может ли пропасть интернет у меня? аська, сайты, доп программы которые через интернет работают? я просто щас сделал снова ДНС провайдера и интернет появился. и сайты и програмы и ася работать стали снова.

WIGF

Цитата:

У меня такое получилось - подробнее...
Стоял CFP, обновлённый до последнего билда (531). Скачал с оф.сайта дистрибутив CIS и установил. Все настройки сохранились.

Прочитала по ссылке...Антивирь Комодо каждый раз просит перезагрузку после обновления баз или только после первого обновления? Если каждый раз, то я лучше останусь с Авастом, не люблю перезагружаться во время работы...

AgapKa
При входящих порт источника (отправления) указывать не нужно, т.к. он, в общем варианте, может быть любым.
445, 137-139 - это порты для общения по локальной сети. 445 вдобавок любят использовать всякие "зверьки". Если по локалке не лазишь, можно смело запретить. У меня создана группа портов: 22,23,113,135,137-139,445,500,3389,4500,5000 и на эту группу повешен запрет на входящие.

mxlandr
Ответ такой: а зачем тебе комодовские DNS? Это для буржуев. Сомневаюсь, что у них на серверах есть информация о твоем провайдере. Отсюда и траблы.

Добавлено:
AgapKa
После первого обновления - да. После очередной пересборки баз комодовцами - возможно, что-то такое на оффоруме проскакивало. Лучше оставайся на Авасте, если устраивает, т.к. комодовский антивирус пока еще слишком слабый, да и прожорлив не в меру по размеру обновлений.

AgapKa
Цитата:

Я создала это правило запрета и на порт отправления 22. Оставить так или лучше изменить?

Только порт получателя такой должен быть.
Цитата:

И еще - ко мне на 445, 137, 139 порты постоянно ломятся с других адресов локалки моего провайдера. Больше всего - на 445. Это мне трояна пытаются засадить или это просто маршрутизатор сети?

Это вирусня. Заблокируйте через те же "Глобальные правила".

---

---

Цитата:

Если вбит комодовский ДНС и с ним к примеру трабл, у них там на оборудовании, то может ли пропасть интернет у меня? аська, сайты, доп программы которые через интернет работают? я просто щас сделал снова ДНС провайдера и интернет появился. и сайты и програмы и ася работать стали снова.

mxlandr, да, может пропасть доступ. Ведь если ввести где-то (в браузере, в аське, в антивирусах и т.д.) адрес назначения в виде доменного имени, то сначала надо это имя преобразовать в IP. Этим DNS-серверы и занимаются. Если же они не будут доступны, то ничего и не получится открыть. И не всегда из локалки доступны серверы COMODO. У меня, например, интернет вручную подключается и изначально доступа ко всем адресам интернета, кроме ресурсов провайдера, нет.
Можно ввести серверы COMODO и серверы провайдера через опцию "Дополнительно"-DNS в настройках подключения. Если это (использование DNS от COMODO) вообще нужно... Меня устраивают серверы провайдера.

Добавлено:

Цитата:

Прочитала по ссылке...Антивирь Комодо каждый раз просит перезагрузку после обновления баз или только после первого обновления? Если каждый раз, то я лучше останусь с Авастом, не люблю перезагружаться во время работы...

AgapKa, у меня только один раз попросил. После этого так обновляется. Аваст можно и не удалять. Они могут вместе работать (на оф.форуме об этом писали).

Протокол при блокировании какой указывать - TCP,UDP, TCP или UDP, ICMP, IP?

Цитата:

Протокол при блокировании какой указывать - TCP,UDP, TCP или UDP, ICMP, IP?

AgapKa, понятие портов применимо только к TCP и UDP. Оба эти протокола укажите при блокировании.

Ребята!! Только что опять проверила комп после блокирования по этой ссылке http://2ip.ru/port-scaner/#, порт 22 так и остался открытым!!!...Что за...? Проверьте у себя кто-нибудь, непонятно, это проблема в фаере?

Цитата:

Аваст можно и не удалять. Они могут вместе работать (на оф.форуме об этом писали)

Два одновременно работающих монитора - шанс получить убитую систему, что бы там ни писали на оффоруме...

AgapKa
Если уж так хочется поставить комодовский антивирус, то после установки отключи монитор (сканер реального времени), во избежание...

Добавлено:
AgapKa
А ты кого проверяешь? Себя или своего провайдера? IP, к-рый показывают тебе на сайте, должен соответствовать IP твоей машины.
(у меня в портами все в порядке)

XenoZ, а там не показывают вообще никакого ай-пи...Вот что у меня написано в отчете после проверки: Port 22 (ssh )---Удаленный доступ---Количество открытых портов в системе: 1---Настоятельно рекомендуется закрыть вышеуказанные порты!!!

AgapKa
Зайди на главную страницу http://2ip.ru - покажут.

Цитата:

Два одновременно работающих монитора - шанс получить убитую систему, что бы там ни писали на оффоруме...

XenoZ, у меня-то с NOD32 работает. Всё дело в практической проверке

---

---

AgapKa, добавлю к сказанному XenoZ'ом: отсюда и немного дальше почитайте (на следующей странице). Возможно ваш случай.

AgapKa, зайдите просто на http://2ip.ru/
Там будет показан IP. А Ваш или провайдера, определите сами. Посмотреть Ваш IP можно в свойствах Вашего интернет-подключения или по команде ipconfig /all