Цитата:
Где вы только вирусы до сих подхватываете? )
Дело не в вирусах, а проактивке комода, которая на проверку оказалась пустышкой на первом уровне. Ищу альтернативу комоду
» Comodo Firewall Pro / Comodo Internet Security (4)
Цитата:
Дело не в вирусах, а проактивке комода, которая на проверку оказалась пустышкой на первом уровне. Ищу альтернативу комоду
acro, HarDDroN, возможно, в CIS более приоритетной вещью является ваше разрешение этому файлу что-либо делать, а не занесение каких-то папок в защищённые. Хотя и это косяк.
Вы же понимаете, что если вы разрешили действия файлу, то он их будет выполнять, а CIS не будет спрашивать вас об этом каждый раз?
Вы же понимаете, что если вы разрешили действия файлу, то он их будет выполнять, а CIS не будет спрашивать вас об этом каждый раз?
WIGF
Цитата:
acro писАл
Цитата:
У меня в первый раз было точно так же. Потом, немного почистил политики безопасности, хотя ничего системного не трогал - алерт вообще перестал выскакивать.
Цитата:
Вы же понимаете, что если вы разрешили действия файлу, то он их будет выполнять, а CIS не будет спрашивать вас об этом каждый раз?
acro писАл
Цитата:
Из защищенной папки-был алерт с запросом, но судя по факту-файлы удалились все независимо от принятого мной решения.
У меня в первый раз было точно так же. Потом, немного почистил политики безопасности, хотя ничего системного не трогал - алерт вообще перестал выскакивать.
Цитата:
возможно, в CIS более приоритетной вещью является ваше разрешение этому файлу что-либо делать,
filedel2.exe по умолчанию обладает привилегиями доверенного приложения или "системного приложения" ?
Нееет, тут похоже косяк жесткий. Вай-вай-вай *качаю головой* Посоветуйте что-нить для семерки.
Добавлено:
Цитата:
возможно, в CIS более приоритетной вещью является ваше разрешение этому файлу что-либо делать,
filedel2.exe по умолчанию обладает привилегиями доверенного приложения или "системного приложения" ?
Нееет, тут похоже косяк жесткий. Вай-вай-вай *качаю головой* Посоветуйте что-нить для семерки.
acro, ну я же не вижу, какое вы ему разрешение дали при запуске. Поэтому и написал.
Вы запуск этого файла разрешили? Похоже, что разрешили, а иначе бы он не запустился вообще. Или он даже без разрешения запуска в CIS всё там у вас напортил?
А если разрешили, то что именно разрешили?
Про защищённые папки я понял. Похоже косяк с этим апплетом, если вы нигде не напутали.
Я вот сам на семёрке (х64) так и не поставил его из-за непоняток по совместной работе с UAC и с системой х64 (т.е. нет полной уверенности, что проактивка будет действовать так, как мне нужно и лучше чем просто UAC+работа из-под обычного юзера). В виртуалке помучаю сначала, а потом может поставлю.
Вы запуск этого файла разрешили? Похоже, что разрешили, а иначе бы он не запустился вообще. Или он даже без разрешения запуска в CIS всё там у вас напортил?
А если разрешили, то что именно разрешили?
Про защищённые папки я понял. Похоже косяк с этим апплетом, если вы нигде не напутали.
Я вот сам на семёрке (х64) так и не поставил его из-за непоняток по совместной работе с UAC и с системой х64 (т.е. нет полной уверенности, что проактивка будет действовать так, как мне нужно и лучше чем просто UAC+работа из-под обычного юзера). В виртуалке помучаю сначала, а потом может поставлю.
Что-то форум барахлит...?
Сообщения вставляются с третьего раза.
Это только у меня?
Куда пожаловаться?
Сообщения вставляются с третьего раза.
Это только у меня?
Куда пожаловаться?
Chis1
БАГ РЕПОРТ
Вот только надо ли? Там жалобщиков уже и без тебя хватает...
Добавлено:
Chis1
БАГ РЕПОРТ
Вот только надо ли? Там жалобщиков уже и без тебя хватает...
действительно барахлит...
БАГ РЕПОРТ
Вот только надо ли? Там жалобщиков уже и без тебя хватает...
Добавлено:
Chis1
БАГ РЕПОРТ
Вот только надо ли? Там жалобщиков уже и без тебя хватает...
действительно барахлит...
Цитата:
acro, ну я же не вижу, какое вы ему разрешение дали при запуске. Поэтому и написал
По умолчанию всем exeшникам в Комоде какие полномочия присвоены? Отдельно ничего не настраивал.
Баги-баги форума [more]Software error:
data/fstate.file did not return a true value at /home2/forum/forum.ru-board.com/post.cgi line 1075.
For help, please send mail to the webmaster (root@host1), giving this error message and the time and date of the error. [/more]
All
Что за шум?
1. SSTS предназначен для WinXP SP3 + IE8. Достоверность результатов на других системах не гарантируется.
2. Комод НЕ мониторит создание/модификацию файлов/папок вне зоны безопасности. (кому данный подход не нравится - попробуйте занести в безопасную зону весь хард... только сначала слепок системы сделайте...)
3. Внутри безопасной зоны исправно выскакивают алерты на попытки создания (при блокировке также блокируется модификация, поэтому алерта на нее нет). До ответа на запрос в тестируемой папке (безопасной) НЕ появляется ничего лишнего. После ответа "блокировать" из нее ничего НЕ удаляется.
Система: WinXP SP3 + IE8, CIS 3.14.130099.587.
(вышесказанное - применительно к "милому" файлику filedel2.exe, остальные тесты не смотрел... и кстати, комодовский антивирь на этот, и не только, файл ругается, пришлось на время теста занести в исключения)
Что за шум?
1. SSTS предназначен для WinXP SP3 + IE8. Достоверность результатов на других системах не гарантируется.
2. Комод НЕ мониторит создание/модификацию файлов/папок вне зоны безопасности. (кому данный подход не нравится - попробуйте занести в безопасную зону весь хард... только сначала слепок системы сделайте...)
3. Внутри безопасной зоны исправно выскакивают алерты на попытки создания (при блокировке также блокируется модификация, поэтому алерта на нее нет). До ответа на запрос в тестируемой папке (безопасной) НЕ появляется ничего лишнего. После ответа "блокировать" из нее ничего НЕ удаляется.
Система: WinXP SP3 + IE8, CIS 3.14.130099.587.
(вышесказанное - применительно к "милому" файлику filedel2.exe, остальные тесты не смотрел... и кстати, комодовский антивирь на этот, и не только, файл ругается, пришлось на время теста занести в исключения)
Цитата:
Достоверность результатов на других системах не гарантируется.
Но показательно произошла-файлы удалились.
Цитата:
НЕ мониторит создание/модификацию файлов/папок вне зоны безопасности
А где эта зона? "Мои безопасные файлы" ?
Итак, кому интересно, выкладываю результаты тестов с matousec.com.
Стоит CIS 3.14.130099.587 в полной комплектации с максимально жёсткими настройками. Система XP SP3.
Антивирус на время тестов был отключен из-за того, что некоторые их них определял как UnclassifiedMalware.
Настройки конфигурации тестов
Сначала запускался конфигуратор (configurator.exe) с ключом -c для создания снимка системы. Потом configurator.exe -X файл.снимка - вносит изменения в файл конфигурации ssts.conf. После этого ssts.conf поправлялся руками.
В файле ssts.conf присутствуют следующие строки:
processes=3
explorer.exe
cfp.exe
cmdagent.exe
Все эти файлы добавлены в защищённые.
files=4
W:\!\1050.adr
W:\!\unite.adr
W:\!\bookmarks.adr
W:\!\sessions
Папка W:\!\* также в защищённых
registry=2
HKLM\System\SOFTWARE\Comodo\\Test1
HKLM\System\SOFTWARE\Comodo\\Test2
Защищённые ключи реестра.
При запуске тестов разрешалось лишь cmd.exe выполнение каждого теста. Все остальные алерты запрещались.
Результаты:
Level 1
filedel2.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
Level 2
regdel1.exe - удаляет НЕЗАЩИЩЁННЫЕ ключи реестра
kill3b.exe - убивает процесс explorer.exe
Level 3
kill3f - убивает процесс explorer.exe и остаётся в памяти
regset1.exe - обнуляет НЕЗАЩИЩЁННЫЕ ключи реестра
sss2.exe - завершает работу системы
Level 4
kill3e.exe - убивает процесс explorer.exe
sss.exe - принудительно завершает текущий сеанс
Level 5
filewri1.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
kernel2.exe - не понял до конца, что делает. Видимо запускает драйвер и верифицирует его
Вот отрывок из файла отчета (запускал так: kernel2.exe -v > rpt.txt):
Opening service manager.
Driver's file set to "W:\bin\Level 5\drv.sys".
Opening driver's service.
Unable to open driver's service, trying to create new driver's service.
Driver's service started.
Driver's state verified.
YOUR SYSTEM FAILED THE TEST!
Level 6
filewri2.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
Level 7
filedel1.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
filemov1.exe - переименовывает НЕЗАЩИЩЁННЫЕ файлы и папки
filewri3.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
sss3.exe - перезагружает систему
Level 8
filedel3.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
fileopn1.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
fileopn2.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
Level 9
filectl1.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
Level 10
Как говорят, ниасилил ) Подожду результатов с matousec.com.
Красным цветом выделил критические, по моему разумению, уязвимости.
Выводы: Не так уж всё и страшно )
Спасибо за внимание!
Стоит CIS 3.14.130099.587 в полной комплектации с максимально жёсткими настройками. Система XP SP3.
Антивирус на время тестов был отключен из-за того, что некоторые их них определял как UnclassifiedMalware.
Настройки конфигурации тестов
Сначала запускался конфигуратор (configurator.exe) с ключом -c для создания снимка системы. Потом configurator.exe -X файл.снимка - вносит изменения в файл конфигурации ssts.conf. После этого ssts.conf поправлялся руками.
В файле ssts.conf присутствуют следующие строки:
processes=3
explorer.exe
cfp.exe
cmdagent.exe
Все эти файлы добавлены в защищённые.
files=4
W:\!\1050.adr
W:\!\unite.adr
W:\!\bookmarks.adr
W:\!\sessions
Папка W:\!\* также в защищённых
registry=2
HKLM\System\SOFTWARE\Comodo\\Test1
HKLM\System\SOFTWARE\Comodo\\Test2
Защищённые ключи реестра.
При запуске тестов разрешалось лишь cmd.exe выполнение каждого теста. Все остальные алерты запрещались.
Результаты:
Level 1
filedel2.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
Level 2
regdel1.exe - удаляет НЕЗАЩИЩЁННЫЕ ключи реестра
kill3b.exe - убивает процесс explorer.exe
Level 3
kill3f - убивает процесс explorer.exe и остаётся в памяти
regset1.exe - обнуляет НЕЗАЩИЩЁННЫЕ ключи реестра
sss2.exe - завершает работу системы
Level 4
kill3e.exe - убивает процесс explorer.exe
sss.exe - принудительно завершает текущий сеанс
Level 5
filewri1.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
kernel2.exe - не понял до конца, что делает. Видимо запускает драйвер и верифицирует его
Вот отрывок из файла отчета (запускал так: kernel2.exe -v > rpt.txt):
Opening service manager.
Driver's file set to "W:\bin\Level 5\drv.sys".
Opening driver's service.
Unable to open driver's service, trying to create new driver's service.
Driver's service started.
Driver's state verified.
YOUR SYSTEM FAILED THE TEST!
Level 6
filewri2.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
Level 7
filedel1.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
filemov1.exe - переименовывает НЕЗАЩИЩЁННЫЕ файлы и папки
filewri3.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
sss3.exe - перезагружает систему
Level 8
filedel3.exe - удаляет НЕЗАЩИЩЁННЫЕ файлы и папки
fileopn1.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
fileopn2.exe - обнуляет как содержимое НЕЗАЩИЩЁНЫХ файлов и папок, так и их размер
Level 9
filectl1.exe - обнуляет содержимое НЕЗАЩИЩЁНЫХ файлов и папок, оставляя размер прежним
Level 10
Как говорят, ниасилил ) Подожду результатов с matousec.com.
Красным цветом выделил критические, по моему разумению, уязвимости.
Выводы: Не так уж всё и страшно )
Спасибо за внимание!
Ujinnee
очень серьезная работа проделана. Молодец
Почти матустековские тесты повторил, только результат получился другой, не в пользу комода местами.
очень серьезная работа проделана. Молодец
Почти матустековские тесты повторил, только результат получился другой, не в пользу комода местами.
acro
Спасибо на добром слове
К сожалению недостаточное знание английского, не позволяет однозначно определить методику тестирования matousec-а. ПисАл об этом чуть выше.
Цитата:
Не совсем согласен с данным утверждением. Если Вы посмотрите подробные отчёты победителей теста (имею в виду Malware Defender 2.6.0 и Kaspersky Internet Security 2010 9.0.0.736) - это в колонке Report - то, может быть, и поменяете своё мнение.
Дождёмся результатов - посмотрим.
Спасибо на добром слове
К сожалению недостаточное знание английского, не позволяет однозначно определить методику тестирования matousec-а. ПисАл об этом чуть выше.
Цитата:
только результат получился другой, не в пользу комода местами.
Не совсем согласен с данным утверждением. Если Вы посмотрите подробные отчёты победителей теста (имею в виду Malware Defender 2.6.0 и Kaspersky Internet Security 2010 9.0.0.736) - это в колонке Report - то, может быть, и поменяете своё мнение.
Дождёмся результатов - посмотрим.
Цитата:
Не совсем согласен с данным утверждением.
удаление незащищенных файлов, убитие защищенного процесса, завершение сеанса, перезагрузка компа, чистка реестра.. это не страшно? ИМХО это полный провал для HIPSа. У него должно быть два режима работы: или работает, или не работает. По результатам я вижу, что он не работает. Самое страшное, что алерты не блокируют (не приостанавливают) выполнение деструктивной команды. Сообщение вылезло, пользователь думает.. а файлы уже удалены. А 60% алертов даже не вылазят.
COMODO Internet Security Version 4.0
Version 4.0.138377.779 : 24 March, 2010
Version 4.0.138377.779 : 24 March, 2010
[more=Changelog]
* FIXED! Defense+ registry protection misses some keys in Classes root hive
* FIXED! Cfp.exe crashes while showing realtime virus detection alerts under certain conditions
* FIXED! Cfp.exe sometimes shows wrong sandboxed process notifications
* FIXED! Sandboxed IE8 can not save bookmarks
* FIXED! Some virtualized programs do not read/write registry keys properly
* FIXED! Some sandboxed applications do not disappear in active process list
* FIXED! CIS4 does not handle RDP session switching properly
* FIXED! Firewall rules can not be deleted under certain conditions
[/more]
Version 4.0.138377.779 : 24 March, 2010
Version 4.0.138377.779 : 24 March, 2010
[more=Changelog]
* FIXED! Defense+ registry protection misses some keys in Classes root hive
* FIXED! Cfp.exe crashes while showing realtime virus detection alerts under certain conditions
* FIXED! Cfp.exe sometimes shows wrong sandboxed process notifications
* FIXED! Sandboxed IE8 can not save bookmarks
* FIXED! Some virtualized programs do not read/write registry keys properly
* FIXED! Some sandboxed applications do not disappear in active process list
* FIXED! CIS4 does not handle RDP session switching properly
* FIXED! Firewall rules can not be deleted under certain conditions
[/more]
Ujinnee
acro
-удаление незащищенных файлов - логично, ибо не мониторит.
-убитие защищенного процесса - логично, ибо разрешено политикой. После небольшой правки настроек:
С kill3f.exe не совсем понятно:
затем выскакивает алерт от Ватсона и эксплорер перезапускается, а kill3f.exe "висит". Похоже, в тесте ошибка.
-чистка реестра, т.е. незащищенных частей реестра - тоже логично.
-завершение сеанса, перезагрузка компа - пока не смотрел.
Цитата:
Т.е., под вопросом пока:
Level 3: sss2.exe - завершает работу системы
Level 4: sss.exe - принудительно завершает текущий сеанс
Level 5: kernel2.exe (???)
Level 7: sss3.exe - перезагружает систему
а также 2 теста из Level 10.
Суммарно выходит совсем неплохо, и нечего панику разводить...
acro
-удаление незащищенных файлов - логично, ибо не мониторит.
-убитие защищенного процесса - логично, ибо разрешено политикой. После небольшой правки настроек:
С kill3f.exe не совсем понятно:
затем выскакивает алерт от Ватсона и эксплорер перезапускается, а kill3f.exe "висит". Похоже, в тесте ошибка.
-чистка реестра, т.е. незащищенных частей реестра - тоже логично.
-завершение сеанса, перезагрузка компа - пока не смотрел.
Цитата:
Самое страшное, что алерты не блокируют (не приостанавливают) выполнение деструктивной команды.На уже озвученной конфигурации все блокируется.
Т.е., под вопросом пока:
Level 3: sss2.exe - завершает работу системы
Level 4: sss.exe - принудительно завершает текущий сеанс
Level 5: kernel2.exe (???)
Level 7: sss3.exe - перезагружает систему
а также 2 теста из Level 10.
Суммарно выходит совсем неплохо, и нечего панику разводить...
[deleted]
Не заметил 36 страницу
Не заметил 36 страницу XenoZ
Цитата:
Можно подробней, что-то я не понял какой политикой, если explorer.exe у меня в защищённых файлах как системное приложение?!
Сегодня порылся на matousec-е тщательнЕе, обнаружил, что все тесты отвеченные у меня красным, у них оказывается CIS прошёл. Посмотреть можно начиная отсюда.
Может они не пробовали эксплорер убивать
Цитата:
-убитие защищенного процесса - логично, ибо разрешено политикой.
Можно подробней, что-то я не понял какой политикой, если explorer.exe у меня в защищённых файлах как системное приложение?!
Сегодня порылся на matousec-е тщательнЕе, обнаружил, что все тесты отвеченные у меня красным, у них оказывается CIS прошёл. Посмотреть можно начиная отсюда.
Может они не пробовали эксплорер убивать
Ujinnee
Т.е. данной политикой разрешается завершение процессов любым приложениям.
Добавлено:
Цитата:
Здесь мониторятся права доступа к файлу, а не к процессу.
Добавлено:
По Level 10: тестов, как таковых, там нет, просто лежат 2 урла со ссылкой на сайт Матушека с описанием этих тестов и ссылкой на закачку.
Т.е. данной политикой разрешается завершение процессов любым приложениям.
Добавлено:
Цитата:
explorer.exe у меня в защищённых файлах как системное приложение
Здесь мониторятся права доступа к файлу, а не к процессу.
Добавлено:
По Level 10: тестов, как таковых, там нет, просто лежат 2 урла со ссылкой на сайт Матушека с описанием этих тестов и ссылкой на закачку.
XenoZ
В политике безопасности компьютера explorer.exe тоже присутствует. Простой вопрос: что нужно сделать, чтобы появлялись алерты, показанные в Вашем предыдущем посте?
Разобрался...
По поводу Level 10. Там даже не 2 урла, а один. В архиве утилита для проверки BSODhook и ShadowHook. Пока руки не дошли.
В политике безопасности компьютера explorer.exe тоже присутствует. Простой вопрос: что нужно сделать, чтобы появлялись алерты, показанные в Вашем предыдущем посте?
Разобрался...
По поводу Level 10. Там даже не 2 урла, а один. В архиве утилита для проверки BSODhook и ShadowHook. Пока руки не дошли.
Цитата:
Т.е. данной политикой разрешается завершение процессов любым приложениям
А у меня по-дефолту там пусто.
В смысле на полномочие "завершение приложений" для группы "все приложения" т.е. *.exe везде стоит "Спросить". Почему тогда убивает защищенный процесс explorer?
Поставил текущий файрвол+проактивная защита на домашний комп с целью защиты от ARP атак, домашнюю сеть включил как доверенную... Влючил галочки "Защита ARP кеша", "Блокировать ARP фреймы".
Попробовал с соеднего в сети компа отравить свою ARP таблицу (подменить MAC для одного из IP) и это у меня получилось без проблем. Файровол даже не пикнул.
Куда мне копать дальше ?
Попробовал с соеднего в сети компа отравить свою ARP таблицу (подменить MAC для одного из IP) и это у меня получилось без проблем. Файровол даже не пикнул.
Куда мне копать дальше ?
4 версия уже научилась подхватывать правила фаервола от 3.1х версий?
Цитата:
Level 3 - kill3f - убивает процесс explorer.exe и остаётся в памяти
Проверил на семерке. Так же.
Цитата:
и эксплорер перезапускается, а kill3f.exe "висит". Похоже, в тесте ошибка.
Да, окошки были, нажал блокировать, но все равно эксплорер был убит, перезапущен автоматом.
Imperator
Цитата:
А разве изначально не подхватывала? У меня все правила импортировались...
Добавлено:
Imperator
Цитата:
А разве изначально не подхватывала? У меня все правила импортировались...
Цитата:
4 версия уже научилась подхватывать правила фаервола от 3.1х версий?
А разве изначально не подхватывала? У меня все правила импортировались...
Добавлено:
Imperator
Цитата:
4 версия уже научилась подхватывать правила фаервола от 3.1х версий?
А разве изначально не подхватывала? У меня все правила импортировались...
Цитата:
Level 7: sss3.exe - перезагружает систему
На первый же алерт о попытке получения повышенной привилегии-добавил sss3.exe в "изолированные приложения". Одна запись в логе о попытке "доступа к СОМ интерфейсу LocalSecurityAuthority.Shutdown" и все. Ребута не было. Так что из всех выявленных Ujinnee'ом проблем подтверждаю только: Level 3 - kill3f - убивает процесс explorer.exe и остаётся в памяти .
Но выглядит это не как убийство, а какое-то доведение до самоубийства. Причем он в защищенных, прав на его завершение у sss3.exe нет. На запросы отвечаю- блокировать, не позволить завершать! Эх, не помогает. Сейчас попробую обвешать его защитой не через "мои защищенные файлы", а через настойки защиты (где рядом с правами)
forser
А как обновлять? С удалением предыдущей и переносом настроек через экспорт-импрот? Или тупо поверх?
А как обновлять? С удалением предыдущей и переносом настроек через экспорт-импрот? Или тупо поверх?
Imperator, с предварительным удалением тройки. И систему (после установки четверки) желательно сразу не перезагружать, а, запустив GUI, импортировать конфиг от тройки и сразу же отключить сандбокс. Причину отключения сандбокса обговаривали несколькими страницами ранее. Правда, последнюю версию (4.0.138377.779) на предмет наличия данного бага еще не проверял... Если "кривой" русский остался, можешь обновить: http://forums.comodo.com/beta-corner-cis/comodo-cis-40x-localizations-t51090.0.html;msg380897#msg380897 Но, необходимо учитывать энтот момент (опять же - исправление не проверял в последней версии четверки).
acro
А sss2.exe и sss.exe проверили, всё в порядке?
Дело в том, что алерта о попытке получения повышенной привилегии при запуске sss3.exe у меня не было. Из чего делаю вывод, что у меня что-то не так в настройках. Что, пока понять не могу. - Добавлено: Скорее всего, нет какого-то COM-интерфейса в защищённых. Буду копать в этом направлении. - Спасибо Вам, acro, за подсказку!
Добавил в защищённые COM-интерфейсы LocalSecurityAuthority.Shutdown - стали появляться алерты на всё семейство sss.
Цитата:
"Мои защищенные файлы" тут совсем не при чём. Нужно ковырять "Политику безопасности компьютера", т. к. мы имеем дело с процессами в памяти.
Посмотрите внимательно картинку приведённую Xenoz-ом за несколько постов до Вашего. Я тоже не сразу разобрался. Дело в том, что в политиках безопасности у группы "Все приложения" в правах доступа на Завершение приложений действительно стоит "Спросить". Но, нажав кнопку Изменить, видим, что в Разрешённых приложениях стоит звёздочка. То есть следуя формальной логике получаем, что любое приложение, не внесённое в политики безопасности, может завершить любое приложение не защищённое от этого действия. Что на картинке и показано. Вот как-то так. Звёздочку оттуда нужно убрать.
Ещё нужно помнить, что приложения в политиках безопасности имеют приоритет. Чем выше находится, тем главнее. В справке написано об этом вскользь: "Пользователи могут изменить приоритет политики, "перетащив" имя искомого приложения или файловой группы. Для того, чтобы изменить приоритет приложений, принадлежащих к одной файловой группе, вам следует ипользовать 'My File Groups' ".
А sss2.exe и sss.exe проверили, всё в порядке?
Дело в том, что алерта о попытке получения повышенной привилегии при запуске sss3.exe у меня не было. Из чего делаю вывод, что у меня что-то не так в настройках. Что, пока понять не могу. - Добавлено: Скорее всего, нет какого-то COM-интерфейса в защищённых. Буду копать в этом направлении. - Спасибо Вам, acro, за подсказку!
Добавил в защищённые COM-интерфейсы LocalSecurityAuthority.Shutdown - стали появляться алерты на всё семейство sss.
Цитата:
Но выглядит это не как убийство, а какое-то доведение до самоубийства. Причем он в защищенных, прав на его завершение у sss3.exe нет (Вы тут ошиблись. Не sss3.exe, а kill3f.exe). На запросы отвечаю- блокировать, не позволить завершать! Эх, не помогает. Сейчас попробую обвешать его защитой не через "мои защищенные файлы", а через настойки защиты (где рядом с правами)
"Мои защищенные файлы" тут совсем не при чём. Нужно ковырять "Политику безопасности компьютера", т. к. мы имеем дело с процессами в памяти.
Посмотрите внимательно картинку приведённую Xenoz-ом за несколько постов до Вашего. Я тоже не сразу разобрался. Дело в том, что в политиках безопасности у группы "Все приложения" в правах доступа на Завершение приложений действительно стоит "Спросить". Но, нажав кнопку Изменить, видим, что в Разрешённых приложениях стоит звёздочка. То есть следуя формальной логике получаем, что любое приложение, не внесённое в политики безопасности, может завершить любое приложение не защищённое от этого действия. Что на картинке и показано. Вот как-то так. Звёздочку оттуда нужно убрать.
Ещё нужно помнить, что приложения в политиках безопасности имеют приоритет. Чем выше находится, тем главнее. В справке написано об этом вскользь: "Пользователи могут изменить приоритет политики, "перетащив" имя искомого приложения или файловой группы. Для того, чтобы изменить приоритет приложений, принадлежащих к одной файловой группе, вам следует ипользовать 'My File Groups' ".
23W
Цитата:
Если удалить домашнюю сеть из доверенных,arp spoofing всё равно проходит?
Цитата:
Поставил текущий файрвол+проактивная защита на домашний комп с целью защиты от ARP атак, домашнюю сеть включил как доверенную... Влючил галочки "Защита ARP кеша", "Блокировать ARP фреймы".
Попробовал с соеднего в сети компа отравить свою ARP таблицу (подменить MAC для одного из IP) и это у меня получилось без проблем. Файровол даже не пикнул.
Если удалить домашнюю сеть из доверенных,arp spoofing всё равно проходит?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990
Предыдущая тема: The Bat! (часть 9)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.