» Comodo Internet Security

emhanik

Цитата:

Запускаю TC. Не в группе.

То есть для TC ты постоянных правил не создавал?
Если да, когда запускаешь TC, какой алерт появляется, и какой вариант действий ты выбираешь? если HIPS на паранойю переключить, алерты появляются?
По идее, если на 'Create rules for safe applications' галочки нет, а екзешник SeaMonkeyPortable - оригинальный = никак не патченый, то никаких алертов и записей создаваться и не будет, на то это и safe.


Цитата:

Открываю список активных процессов (отключаю показ только изолированных) — в столбце «рейтинг» у данной программы стоит «доверенный»; однако, если вызвать на ней контекстное меню, — пункт «Добавить в доверенные файлы» активный, не серый.

Тут хз, может киллсвич показывает «доверенный», основываясь на вендоре, а самого файла в "Trusted files" еще нет ? если добавить в доверенные, кликнув на пункте, и потом еще раз менюшку вызвать - пункт всё равно активный?

laprad

Цитата:

То есть для TC ты постоянных правил не создавал?

Никаких правил не создавал, и опция «Создавать правила для безопасных приложений» отключена
При запуке TC никаких алертов, аналогично SeaMonkey


Цитата:

если HIPS на паранойю переключить, алерты появляются?

Алерты, конечно, появляются. Но никаких записей о доверенности/неопознанности


Цитата:

то никаких алертов и записей создаваться и не будет, на то это и safe.

Возможно... Однако я так понимаю, что все запускаемые программы должны классифицироваться как доверенные или неопознанные. Этого не происходит. И никаких упоминаний в журналах.
Вернее, если запустить неопознанную при включенной автопесочнице — запись появится.
Если доверенную — не всегда.


Цитата:

если добавить в доверенные, кликнув на пункте, и потом еще раз менюшку вызвать - пункт всё равно активный?

Если добавить, то, пункт станет неактивным, а программа занесется в список.
Странность в том, что программа обрабатывается как доверенная, хотя соответствующие опции в параметрах рейтинга отключены. И записей об этом никаких нет.

Добавлено:
Уточню: использую не KillSwitch, а родное окно CIS с активными процессами

Цитата:

опция «Создавать правила для безопасных приложений» отключена

А если вкл. галочку ?

vitsat
Цитата:

А если вкл. галочку ?

Правила молча создались, записи о доверенности — нет

Поставил обновление. Похоже, версия обновилась до 7-мой. Была 6. Теперь пустое окно. Как лечится? Принудительно удалить и поставить по новой?

emhanik
Было нечто похожее пару лет назад, писал на оффоруме.
Отсюда и до конца...

Очередные непонятки с проактивкой.
Скачал новый файл с инета, запустил на установку, появилось окошко безопасности винды, "файл скачан с инета ля-ля", после этого обычно появляется алерт проактивки на разрешение фару запустить неизвестный экзешник, но алерта не было. Неприятно... Открыл окно CIS, сохранил cfgx, чтобы позже глянуть, закрыл окно CIS. Снова запустил файл с инета - в итоге увидел и окно винды, и потом - алерт проактивки. Сохранил конфиг еще раз, сравнил - практически одинаковые.
И что это было? винда работала меньше 8 часов, проактивку новыми правилами практически не напрягал.
Win7 SP1 x32 Ultimate, CIS 7.0.317799.4142, проактивка всегда в параноидальном режиме.

XenoZ
Добавлю, что на виртуальной WinXP это поведение не проявлялось до первоначального обновления базы. Т.е. при попытке запуска браузера SeaMonkeyPortable был обычный алерт, даже при включенном интернете
Но если обновить базу (даже офлайн, файлом) и даже отключить интернет — происходит вышеописанное: запуск без оповещений и записей в журналах

Напрашивается вывод, что вместе с базами добавляются доверенные поставщики... И что не работает отключение соответствующей опции в настройке рейтинга

Насчет наличия ЭЦП недопонял: речь о той подписи, которая отмечается в окне Свойств файла? Интересно, что она есть у SeaMonkeyPortable.exe, но не у seamonkey.exe...
Или речь о чем-то другом?

Можно предположить, что где-то в базе указывается не просто поставщик, а контрольная сумма самого seamonkey.exe, хотя с чего бы...
По идее, надо открыть «c:\ProgramData\Comodo\Firewall Pro\cisdata.sdb» и произвести поиск в таблице TrustedFiles по полю VendorSha1
Но я не разобрался

laprad
Цитата:

появилось окошко безопасности винды

Не UAC?

Цитата:

но алерта не было

Т.е. файл просто запустился?

Цитата:

Снова запустил файл с инета

Перезапускали перед этим Far?

Цитата:

проактивка всегда в параноидальном режиме

Автопесочница?

Цитата:

Сохранил конфиг еще раз, сравнил - практически одинаковые

А в журналах «Защиты+» и «Изменений конфигурации» есть записи за данное время?

emhanik


Цитата:

появилось окошко безопасности винды
Не UAC?

нет, типа такого


Цитата:

но алерта не было
Т.е. файл просто запустился?

да


Цитата:

Снова запустил файл с инета
Перезапускали перед этим Far?

да. намекаешь что фар научился обламывать проактивку комодо?


Цитата:

проактивка всегда в параноидальном режиме
Автопесочница?

Нет, песочницей пользуюсь только в ручном режиме


Цитата:

Сохранил конфиг еще раз, сравнил - практически одинаковые
А в журналах «Защиты+» и «Изменений конфигурации» есть записи за данное время?

отличная наводка, про второй лог не знал, достаточно детальный
вот что было на первый запуск файла


а примерно вот такие должны были быть записи (алерт на разрешение фару запустить экзешник, и разрешение на запуск самому экзешнику)


Так как опция "Создавать правила для безопасных приложений" у меня отключена, то и правило для конфига не создалось. И в настройках у меня выставлено доверять и вендорам и инсталлерам. Похоже, что CIS самовольно "провалился" из paranoid в safe mode.

laprad
Цитата:

Похоже, что CIS самовольно "провалился" из paranoid в safe mode

Я замечал такие «провалы», но при других условиях: http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=5060#6
Вкратце: это происходит, когда включена автопесочница, а родительское приложение имеет статус доверенного инсталлятора (с точки зрения рейтинга, а не правил хипс)
Однако Фару — с чего бы? К тому же, при выключенной автопесочнице
Если только он был запущен не просто ярлыком, а посредством какого-нибудь инсталлятора...

Подскажите, можно ли автоматом переносить настройки CIS 7 на другой компьютер? В пятой версии решалось файлом реестра, в шестой как будто тоже работало, а в этой что-то не прокатывает... Нужно для автоматической установки в домене...

Zedd

Цитата:

Подскажите, можно ли автоматом переносить настройки CIS 7 на другой компьютер? В пятой версии решалось файлом реестра, в шестой как будто тоже работало, а в этой что-то не прокатывает... Нужно для автоматической установки в домене...

не думаю что это хорошая идея. Зайди в настройки Defense+, Protected Objects, Registry Keys, группа Comodo keys - видишь сколько веток? для их замены всего придется как минимум проактивку отключать. Если бы все было так просто, вирусы наверняка использовали бы такую дыру

У комодо постоянно идет реакция на торрент файлы heur.packed.unknown@4294967295, как отключить?

laprad

Цитата:

Очередные непонятки с проактивкой.
Скачал новый файл с инета, запустил на установку, появилось окошко безопасности винды, "файл скачан с инета ля-ля", после этого обычно появляется алерт проактивки на разрешение фару запустить неизвестный экзешник, но алерта не было. Неприятно... Открыл окно CIS, сохранил cfgx, чтобы позже глянуть, закрыл окно CIS. Снова запустил файл с инета - в итоге увидел и окно винды, и потом - алерт проактивки. Сохранил конфиг еще раз, сравнил - практически одинаковые.
И что это было? винда работала меньше 8 часов, проактивку новыми правилами практически не напрягал.
Win7 SP1 x32 Ultimate, CIS 7.0.317799.4142, проактивка всегда в параноидальном режиме.

Сам спросил, сам объясняю.
Дело в том, что, если в фаре (находится в группе доверенных) запустить какой-либо екзешник, и в алерте "far.exe is trying to execute некий.exe" выбрать действие "Treat as" - "Installer or Updater" (даже и с неотмеченным чекбоксом "Remember my answer"), при попытке запустить другое приложение, алертов "far.exe is trying to execute другой.exe" и т.д. больше не увидим, то есть проактивка будет молчать до тех пор, пока не закроем фар, и не запустим его заново.
Короче говоря после первого же применения "Installer or Updater", правило будет автоматом распространяться на все что запускается в файлменеджере.
Возможно я неправильно понял руководство, но такое поведение проактивки огорчает

Цитата:

но такое поведение проактивки огорчает

ИМХО, вполне себе логичное поведение наследования прав родителя.

laprad
Цитата:

в алерте "far.exe is trying to execute некий.exe" выбрать действие "Treat as" - "Installer or Updater" (даже и с неотмеченным чекбоксом "Remember my answer")

Это значит, что теперь Far имеет политику установщика до своего закрытия. Так что все работало правильно
А нужно было в этом оповещении нажать просто «разрешить», а потом уже в оповещении относительно активности дочернего приложения выбирать политику установщика

OldOOOH http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=4900#14

laprad
У меня 5.10, поведение такое же не только для "Installer or Updater", а если просто разрешить - запоминает до следующего перезапуска. Такая политика у Comodo: сам себе разрешил один раз и не мучайся с алертами до следующего перезапуска программы.

KismetT

Цитата:

ИМХО, вполне себе логичное поведение наследования прав родителя.

Может и логичное, но неинтуитивное, от paranoid mode я ожидаю алерт на каждый новый запускаемый экзешник

Сегодня сравнил скорость загрузки веб-сайтов на 2х компах что стоят рядом. Comodo 7 нехило так тормозит открытие сайтов, задержка очень ощутимая в сравнении с Online Armor. Выглядит как пауза сразу после попытки открытия сайта, после чего сайт открывается с нормальной скоростью.

Они планируют выпускать обновление с исправлением кучи ошибок? А то как-то это затишье настораживает.

mxa
Перечислите, пожалуйста, кучу своих баг-репортов
Если вас опередили с баг-репортами, то, пожалуйста, перечислите кучу наиболее серьезных из них.
Виноват: мне лень самому сейчас выискивать их на оффоруме. Но уверен — вы это уже сделали.

emhanik
http://forums.comodo.com/comodo-internet-security-cis-b125.0/
Не тема с баг-репортами, они ее чистят видимо. А все остальные темы. Я не поленился и почитал о чем народ пишет во многих темах. Нареканий очень много, а в ответ многозначительная тишина...

У меня только один баг, который вообще не дает работать. Это постоянное подвисание HIPS на неопределенное время. Об этом им уже писали на оф.форуме и довольно давно. В ответ многозначительная тишина...

mxa
Цитата:

Не тема с баг-репортами, они ее чистят видимо

Если залогиниться, в теме полно топиков. Мой репорт, по крайней мере, никто еще не вычистил.

Цитата:

Это постоянное подвисание HIPS на неопределенное время

Я слыхал подобное, но пока не могу воспроизвести у себя так, чтобы можно было четко «отрапортовать».

Понимаете, бессмысленно просто возмущаться в воздух. Есть претензии — пишите, пожалуйста, баг-репорт. Не умеете или нет времени — попросите кого-нибудь, детально изложив проблему. А так — неконструктивно.

emhanik
Понимаете, это тема для общения про Comodo. И тут каждый высказывается про Comodo. Конструктивно или нет, это уже решать каждому из написавших. Вот заведете себе подобный форум, там и будете устанавливать свою диктатуру о том что, кому и как надо писать.

И проблема не в баг-рапорте. Он у них уже давно есть потому что подобное я видел на оф.форуме еще у нескольких человек. Проблема в отсутствии обновления и явном ухудшении продукта в сравнении с прошлыми версиями. И если все будут дружно молчать, то разрабы подумают, что надо и дальше выпускать сырой продукт обзывая его stable.

Господа, маски «*» и «?:\*» в правилах Comodo - одно и то же или нет?

romby
Определенно нет: первое - любое количество любых символов, второе - любая буква диска.

Цитата:

Определенно нет: первое - любое количество любых символов, второе - любая буква диска.

Мне кажется практически ничем не отличаются: первое - любое количество любых символов, второе - любое количество любых символов на любом диске (в общем то на диске с одной любой буквой, но дисков с двумя буквами вроде бы не бывает в Windows, так что на любом).

KismetT
Мне кажется, отличаются. В первом случае цепляются все подключённые устройства, во втором - только диски. Любой символ и двоеточие с обратным слэшем как раз показывают Comodo, что это диск. Можно посмотреть справку, например, команды NET USE (или поискать в интернете).

Цитата:

В первом случае цепляются все подключённые устройства, во втором - только диски.

Не совсем понял, ведь подключённое устройство всё равно монтируется как диск.
Я могу только придумать ситуацию, когда объект не на диске, а в памяти, но я при работе Комода с таким не сталкивался.

KismetT
Телефон, подключённый к компьютеру с помощью программы производителя обязательно смонтируется как диск? Или планшет? А в случае * Комод сунется туда.
Хотя я не специалист по телефонам и могу ошибаться.

romby
Цитата:

Господа, маски «*» и «?:\*» в правилах Comodo - одно и то же или нет?

Под первый вариант попадают также native-пути, типа
\Device\root#system#0000#...
\Device\Harddisk0\Partition1\Windows\...
Признаюсь, я совсем не в теме о них

Я в одном месте давал совет добавлять «*» в «защищенные объекты», но не совсем (т.е. не только) для защиты, а для того, чтобы спровоцировать алерт

mxa
Цитата:

Конструктивно или нет, это уже решать каждому из написавших. Вот заведете себе подобный форум, там и будете устанавливать свою диктатуру о том что, кому и как надо писать

Да, это тема для разговоров про Comodo. И я не пытаюсь устанавливать правила (с какой стати??), а отвечаю по теме. Ваше право считать свои сообщения конструктивными, точно так же, как мое — считать их бездоказательным ворчанием. Про Comodo.