Ru-Board.club
← Вернуться в раздел «Программы»

» Comodo Internet Security

Автор: unyqUm
Дата сообщения: 13.01.2015 20:45
Т.е. ещё нужно реестр править? И потом этот пункт будет в контекстном меню всех файлов? А не проще ли Comodo перевести в игровой режим, установить игру, а потом вернуть обратно?
Автор: emhanik
Дата сообщения: 13.01.2015 21:13
unyqUm
Дело хозяйское)
P.S.

Цитата:
И потом этот пункт будет в контекстном меню всех файлов?

Только в расширенном контекстном меню, которое вызывается при удержании Shift

Добавлено:
Gourmet 15:56 12-01-2015
Цитата:
перестают собираться рабочие проекты в QtCreator

Скажите, пожалуйста, работает ли QtCreator, если его запустить изначально в виртуальной среде?
Я не предлагаю вам этим пользоваться, просто интересуюсь.
Автор: unyqUm
Дата сообщения: 13.01.2015 23:26
Как полностью выгружать (временно) Comodo ISP 8.0.0.4344 из системы (Win8.1x64)?
Автор: emhanik
Дата сообщения: 14.01.2015 09:50
gjf
XenoZ
Accessisdenied
All
Наслаждайтесь.

Определение программ-интерпретаторов по их имени: https://forums.comodo.com/index.php?topic=109237.0
(Update: частично исправлено в CIS 8.2 Beta. Обход фаервола все еще возможен.)

Наследование привилегий при составной команде: https://forums.comodo.com/index.php?topic=109236.0

Ну и уже упомянутое, что нетрудно додумать до использования «по назначению» — https://forums.comodo.com/index.php?topic=107943.0;msg794189#msg794189 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Добавлю специфично 8-чную уязвимость к подмене доверенных файлов: https://forums.comodo.com/index.php?topic=107570.0;msg800770#msg800770 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Это, кстати, не все, но это самая жесть.

Мои статьи — http://www.comss.ru/list.php?c=comodoblog
Конкретно о затыкании дыр — http://www.comss.ru/page.php?id=2347
Автор: XenoZ
Дата сообщения: 14.01.2015 14:19
emhanik
Занятно...
Одно но: реакции придется ждать до 23 февраля, qmarius отписывался, что его не будет, разве что egemen'а или Казакова персонально носом ткнуть. С Казаковым можно общаться по-русски.
Автор: emhanik
Дата сообщения: 14.01.2015 14:37
XenoZ
egemen'у написал
Автор: XenoZ
Дата сообщения: 15.01.2015 13:38
emhanik
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.
Автор: emhanik
Дата сообщения: 15.01.2015 14:10
XenoZ 14:38 15-01-2015
Цитата:
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.

Дык я о чем:
emhanik 19:15 12-01-2015
Цитата:
Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.

Даже если запретить запуск файлов, имеющих имена интерпретаторов, но иные пути, «бомба» сможет запустить отдельный свой компонент виртуально, и тот в сеть выйдет (виртуальная подмена интерпретатора по его правильному пути делается беспрепятственно).
Но намеренный запуск в виртуальной среде Comodo еще можно запретить.
А вот интересно, как будет, если вредоносная программа создает собственную виртуальную среду? Я немного поэкспериментировал с портативными сборками, созданными VMware и Cameyo. Оказалось, что для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает, поэтому не прокатывают и его уязвимости. А при распаковке и запуске программы в Cameyo контролируется-таки ее реальное расположение, а не виртуальное. Т.е. обойти приведенную блокировку сторонней виртуализацией пока не удалось, но я и пробовал всего ничего.

Добавлено:

Цитата:
для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает

Перепроверил — все же работает, хотя с какими-то странностями. Но, как и в случае Cameyo, при попытке запустить программу, виртуально расположенную на месте интерпретатора, Comodo блокировал запуск и в журнале появилась запись с реальным местоположением этой программы.

Внезапно обнаружил забавную вещь: если в виртуальной среде VMware выполнить копирование исполняемого файла, то становятся видны альтернативные потоки данных, которые создает Comodo. Т.е. рядом с файлом «java.exe» появляется файл «java.exe:$CmdTcID», который можно просмотреть.
Автор: slavkosha
Дата сообщения: 23.01.2015 19:37
Всем привет.

Можете помочь?
На днях заметил графический глюк.
Висит на экране типо окошко от комодо центра извещений, но совсем мелкое и обрезанное. Никак не убрать. Можно только мышкой двигать.

Скрин здесь ---> http://s020.radikal.ru/i701/1501/06/f7130e4590dc.jpg
Автор: emhanik
Дата сообщения: 23.01.2015 20:30
slavkosha
На вкладке «Интерфейс» отключите «извещения от центра сообщений Comodo» и перезагрузитесь.
Автор: Spielism
Дата сообщения: 28.01.2015 15:27
Доброго времени всем.На ХР стоял Comodo Firewall - 5.10.Чистый.Снес его и все,что с ним связано Revo Uninst. Но фокус в том,что ключи реестра НИКАК не удаляются.Пробовал и вручную и спец.программами - бесполезно.Потом стало еще забавней - снова его установить не получается (не работает агент),поэтому я вообще решил от фаера отказаться.Но как удалить ключи? Заранее благодарен.
Автор: shadow_member
Дата сообщения: 28.01.2015 17:36
Spielism
Почти уверен, нужно задать права на ветки реестра. Всречал такое не раз, по другим делам.
http://www.windxp.com.ru/articles90.htm
http://www.oszone.net/7836/
Автор: Spielism
Дата сообщения: 29.01.2015 07:36
shadow_member
У меня ХР (но не в этом суть).Описанными в статье средствами я могу изменить и удалить что угодно,но только не ветку HKEY_LOCAL_MACHINE/SYSTEM/Software/COMODO.Даже если я владелец со всеми правами,то при удалении (и даже при изменении имени) выдает ошибку.Комод как будто врос в систему)
Автор: XenoZ
Дата сообщения: 29.01.2015 10:10
Spielism
Уже не раз писалось, что Комод корректно удаляется штатным методом. Использование всевозможных сторонних утилит зачастую приводит к различным глюкам.
Возможно, ветку реестра "держит" оставшийся в системе драйвер.
Автор: redson
Дата сообщения: 29.01.2015 10:24
Spielism

Цитата:
Доброго времени всем.На ХР стоял Comodo Firewall - 5.10.Чистый.Снес его и все,что с ним связано Revo Uninst. Но фокус в том,что ключи реестра НИКАК не удаляются.Пробовал и вручную и спец.программами - бесполезно.Потом стало еще забавней - снова его установить не получается (не работает агент),поэтому я вообще решил от фаера отказаться.Но как удалить ключи? Заранее благодарен.

по пробуй Comodo Uninstaller Tool:
forums.comodo.com/install-setup-configuration-faq-cis-b141.0/-t71897.0.html
Автор: Spielism
Дата сообщения: 29.01.2015 15:44
shadow_member,XenoZ,redson,
Спасибо за внимание к моей персоне.По ссылкам shadow_member я наткнулся на способ удаления скрытых и незадействованных драйверов на ХР и снес драйвера CIS...там еще epfw какие-то есть,но они не удаляются(система уходит в вечные раздумья)...попробую
Comodo Uninstaller Tool.
UPD - Не вышло.Я уж думаю - а не поставить ли мне CIS-5...типа так и было)
Автор: XenoZ
Дата сообщения: 29.01.2015 22:18
Spielism
Для начала разберись как следует в своей системе: epfw.sys - это драйвер ESET.
Автор: krserv
Дата сообщения: 30.01.2015 09:59
подскажите пжс как правильно настроить Comodo Firewall для работы с интернет банком под Window 7, открыть только порт 80 и 443 т.е нужно обновлять через интернет саму ОС и Comodo Firewall и работать через web browser Firefox. Или даже может лучше установить Comodo Browser, который на базе Firefox? Больше никаких программ на компе не установлено.
Т.е программа для интернет-банка и Comodo
Автор: shadow_member
Дата сообщения: 30.01.2015 10:52
krserv
Если этого достаточно, то разрешить только порты 80 и 443 и запретить все остальные и включить логирование. По результатам смотреть в логах и уточнять правила, лучше всего, с точностью до единого IP или диапазона IP.
Это в правилах для Firefox.
Можно попробовать то же самое сделать в глобальных правилах, это будет для всей системы.
COMODO Browser роли не играет и не нужен.
Автор: krserv
Дата сообщения: 30.01.2015 11:42
техподдержка сказала, что еще нужны 90 и 91 порты, не могу понять, что это за порты? Находятся в диапазоне официально назначенных.
Автор: XenoZ
Дата сообщения: 30.01.2015 13:31
krserv

Цитата:
техподдержка сказала, что еще нужны 90 и 91 порты, не могу понять, что это за порты? Находятся в диапазоне официально назначенных.
Наверное, не 90 и 91, а 9091?
Цитата:
Для работы системы требуется установленная Java и должны быть открыты следующие порты: 443 и 9091.

Не можешь понять - не мучай мозг, у каждой конторы свои тараканы. Нужны порты для работы - открывай.
Автор: krserv
Дата сообщения: 30.01.2015 13:47
ну теперь понятно, такая техподдержка в банке
Автор: fromkeila
Дата сообщения: 30.01.2015 18:02
Очень нравится фаерволл, и жутко не нравится дырявый антивирус. Скажите, просто фаревола уже не выпускают без этих довесков в лице песочниц, хипсов, вирускопов и прочей хрени? С сайта место фаера скачивается богопротивный CIS, а мне антивирусник не нужен, у меня на это трехдвижковый 360 TotalSecurity стоит.
Подскажите пожалуйста какая версия фаервола была еще фаерволом, а не бенчмарком по нагрузке проца ?
Автор: shadow_member
Дата сообщения: 30.01.2015 18:12
fromkeila
Выпускают, как и прежде. Дистрибутив общий, и называется он "CIS", в него входит антивирус и фаервол, при установке можно выбрать, что устанавливать. Фаервол неотъемлемо имеет песочницу и хипс, но их можно не включать.
Последняя приличная версия- 5.10 (5.12- поддержка Win8, но не Win81).

Добавлено:
Последняя, какая выпускалась не в составе CIS, наверное, v4.
Автор: XenoZ
Дата сообщения: 30.01.2015 22:10
fromkeila

Цитата:
Очень нравится фаерволл, и жутко не нравится дырявый антивирус. Скажите, просто фаревола уже не выпускают без этих довесков в лице песочниц, хипсов, вирускопов и прочей хрени?

Как уже сказано выше, при установке есть выбор, какие компоненты ставить. Одно но: при отключенном HIPS пропадает контроль целостности приложений.
И главное на сегодня но: в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.


Цитата:
Последняя, какая выпускалась не в составе CIS, наверное, v4

Последний "чистый" фаервол, если не изменяет память, - 3.0. CIS был анонсирован с версии 3.8. (заинтересованные могут полистать топик, ссылки на старые ветки - в шапке)
Автор: XenoZ
Дата сообщения: 31.01.2015 01:23
All
Добавил в шапку информацию о "дыре" в Комодо.
Автор: Spielism
Дата сообщения: 31.01.2015 08:26
XenoZ
Я разобрался в своей системе(насколько смог),поэтому в дополнение к Eset Endpoint и поставил CF - 5.10 и теперь вот вычистить не могу...ну да ладно,спасибо за помощь.
P.S - о дровах я всё давно прогуглил,просто поспешил написать.
P.P.S - лично я для себя вопрос с фаерволом решил - он мне не нужен,ибо я паранойей не страдаю и особой надобности в нём не вижу.
shadow_member,последний чистый был 5.10,его я и нашел на трекере.
Автор: kaijosta
Дата сообщения: 31.01.2015 09:11

Цитата:
в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.

CIS 5.12. Если выставить "обрабатывать неопознанные как Заблокированные", то пробить невозможно. Максимум, что при запуске ярлыка "add to trusted and run" создается в этой же папке файл "test2.exe", но толку от этого никакого.
CIS 7 - это конечно дырка, данный метод не спасает.
Автор: emhanik
Дата сообщения: 31.01.2015 13:09
kaijosta
Пожалуйста, уточните ОС и скиньте конфигурацию.

Причины могут быть разными:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);
- был отключен анализ командной строки;
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
- ..?

Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился
Конфигурация Proactive Security + блокировка неопознанных: http://rghost.ru/8tYMjBtnr

Добавлено:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.
В более новых версиях того же эффекта можно добиться отключением опции «Обнаруживать программы, требующие повышенных привилегий». О чем, в общем-то, я многократно и писал.
Дополнительно нужно отключить доверие программам, созданным доверенными инсталляторами (писал там же).

Проверил 5.12 — повторилась ситуация с 5.10
Автор: kaijosta
Дата сообщения: 31.01.2015 14:26
emhanik

Цитата:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);

На месте: C:\WINDOWS\system32\tcmsetup.exe

Цитата:
- был отключен анализ командной строки;

Включен

Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;

Это да - отключено, и без разговоров...

Цитата:
Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился

Ничего доверенным не стало, и не запустилось.

Цитата:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.

Баг, не баг, но CIS 5 удар держит, в отличии от дерьма под названием CIS 6,7,8.

Цитата:
Пожалуйста, уточните ОС и скиньте конфигурацию.

Win XP x86, Win 7 x64. Конфигурацию скидывать не буду, т.к. там много всяко-разного.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458

Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.