» Comodo Internet Security

XenoZ 10:16 10-02-2015
Цитата:

Правда, возникает потенциальная проблема с файлами .bat и .cmd

Полбеды, если бы только с ними. Но сюда же .js, .vbs, .hta, .msi, .jar...


Цитата:

Это не нормальное поведение Комода, а следствие кривой работы эвристика ком. строки

Само собой разумеется, что это лажовый анализ командной строки. Но сейчас я давал свои примеры в другом контексте.

Мы перед этим обсуждали логику обработки доверенных инсталляторов и ее связь с опциями. Или где?..
Применительно к этой теме я и расписал свои примеры (как если бы это была обычная работа доверенных инсталляторов).
Наш диалог:
XenoZ 21:59 08-02-2015
Цитата:

А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот

emhanik 23:09 08-02-2015
Цитата:

Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся доверенными, а «старые» файлы, которые лишь запускаются им, остаются неопознанными

00:04 09-02-2015
Цитата:

Все бы хорошо, да вот только опция «Доверять приложениям, установленным с помощью доверенных инсталляторов» была отключена.

00:12 09-02-2015
Цитата:

Эта опция отвечает за автоматическое занесение в доверенные.

10:58 09-02-2015
Цитата:

Возможно, но в конкретном, вышеописанном случае, она не работает, т.е., при ее включении файл в списке доверенных не появляется.

14:00 09-02-2015
Цитата:

не создает, а лишь временно запускает. Поэтому файл «test.exe» и не должен становиться доверенным ни при каких параметрах

emhanik
Сам себе противоречишь
A: А то, что Комод 8.1 "видит", что запускаемый файл - неопознанный, помечает его, как неопознанный, а потом разрешает запуск, давая права доверенного, - это просто анекдот
B: Не согласен. Это обычная логика работы Comodo, что при работе доверенного инсталлятора создаваемые им файлы становятся доверенными, а «старые» файлы, которые лишь запускаются им, остаются неопознанными
<...>
не создает, а лишь временно запускает. Поэтому файл «test.exe» и не должен становиться доверенным ни при каких параметрах

Файл в данном примере не создается, а запускается, следовательно - должен определяться, как неопознанный, обрабатываться, как неопознанный, и никоим образом не должен запускаться с правами доверенного.

(поступило предложение притормозить обсуждение багов ком. строки, иначе можно упороться в такие дебри, что потом и не выберешься..)

XenoZ
Я просто оставлю ссылку на свое разъяснение привилегий установщика: http://www.comss.ru/page.php?id=2336#installers-meaning
Кому нужно, тот поймет)

emhanik
И таки не нужно путать теплое с мягким. В данном конкретном случае ни о каких привилегиях установщика и речи быть не может, т.к. полученный "выхлоп на выходе" - это, повторюсь, результат багов анализа ком. строки.
(а как должны действовать и назначаться упомянутые привилегии - я в курсе)

XenoZ 16:02 10-02-2015
Цитата:

это, повторюсь, результат багов анализа ком. строки

Так отвечаешь, будто я с этим спорю.


Udpate:

XenoZ 16:02 10-02-2015
Цитата:

И таки не нужно путать теплое с мягким

[more=Давай разделим]1. Есть кривая реализация анализа командной строки.
Суть этого анализа: если запускается интерпретатор с аргументами командной строки, то к его процессу применяются те права и запреты, которые имеет файл, указанный в аргументах командной строки.

1a. Один из багов состоит в том, что за интерпретатор принимается любой файл, имеющий имя msiexec, hh, wscript и т.д. Следовательно, вредоносный файл с таким именем может получить привилегии любого, указанного в командной строке.

1б. Другой баг состоит в том, что принимается во внимание только файл, указанный в первой команде. Если командная строка составная, то, с точки зрения Comodo, последующие команды выполняются якобы от имени этого первого файла. Следовательно, если последующие команды — это запуск программ, то эти программы будут считаться дочерними процессами программы, указанной в первой команде. Следовательно (см. п. 2), если в первой команде указать доверенный инсталлятор (который даже сам ничего не делает), то последующие команды беспрепятственно (в дефолтной конфигурации) запустят неопознанные программы.

2. Есть нормальный порядок обработки доверенных инсталляторов. Упрощенно говоря, привилегии доверенных инсталляторов следующие:

- программы, которые они запускают, временно выполняются как доверенные, даже будучи неопознанными
(это поведение задается опцией Auto-Sandbox «Обнаруживать программы, требующие повышенных привилегий», но см. п. 3);

- программы, которые они создают, заносятся в список доверенных
(это поведение задается опцией «Доверять приложениям, установленным с помощью доверенных инсталляторов»).

3. Обнаружилось, что если одновременно использовать приемы 1а и 1б, то даже при отключенной опции «Обнаруживать программы, требующие повышенных привилегий» происходит запуск неопознанной программы. Проблема решается блокировкой запуска программ, имеющих имена интерпретаторов, но иное местоположение.



Цитата:

а как должны действовать и назначаться упомянутые привилегии - я в курсе

Либо мы друг друга не слышим, либо все же не в курсе. Потому как постоянно смешиваешь временный запуск без ограничений и добавление в доверенные:
14:44 10-02-2015
Цитата:

Файл в данном примере не создается, а запускается, следовательно - должен определяться, как неопознанный, обрабатываться, как неопознанный, и никоим образом не должен запускаться с правами доверенного.

А если бы создавался? Все равно это баг анализа командной строки, и никакого беспрепятственного запуска или занесения в доверенные не должно быть.

Если же не считать, что привилегии доверенного инсталлятора были даны процессу cmd.exe ошибочно — то в остальном поведение было корректным, включая запуск неопознанного файла test.exe[/more]

Чтобы еще яснее разделить, вот пример сферического инсталлятора в вакууме: http://rghost.ru/8gFWfmFgH

Вроде все точки над ё расставил, хотя при желании что угодно можно интерпретировать превратно...

Цитата:

программы, которые они запускают, временно выполняются как доверенные, даже будучи неопознанными

Цитата:

Либо мы друг друга не слышим, либо все же не в курсе. Потому как постоянно смешиваешь временный запуск без ограничений и добавление в доверенные

Некорректная формулировка. Происходит запуск с наследованием прав инсталлятора.
Цитата:

А если бы создавался? Все равно это баг анализа командной строки, и никакого беспрепятственного запуска или занесения в доверенные не должно быть.

Об этом и речь.
Цитата:

Если же не считать, что привилегии доверенного инсталлятора были даны процессу cmd.exe ошибочно

cmd.exe тут ни при чем. test.exe, в данном случае, с точки зрения Комода, наследует права от tcmsetup.exe.
(поэтому и предложил притормозить, т.к. из-за постоянной мешанины из того, как должен работать Комод и как он работает в действительности, - начинается путаница и взаимонепонимание.)

XenoZ 19:34 10-02-2015
Цитата:

Некорректная формулировка. Происходит запуск с наследованием прав инсталлятора.

Согласен, я осознанно упростил этот момент (и явно предупредил, что упрощаю). Сделал это, чтобы подчеркнуть, что неопознанный файл выполняется, как если бы он был доверенным (плюс с унаследованными привилегиями установщика).


Цитата:

cmd.exe тут ни при чем. test.exe, в данном случае, с точки зрения Комода, наследует права от tcmsetup.exe.

1. Сначала происходит запуск процесса cmd.exe с некоторыми аргументами

2. Потом анализ командной строки предписывает Comodo принять процесс cmd.exe за файл, указанный в первой команде, т.е. за tcmsetup.exe

3. Файл tcmsetup.exe запускается — в этот момент Comodo видит два процесса tcmsetup.exe:
- первый — это, на самом деле, cmd.exe
- второй — это запущенный им настоящий процесс tcmsetup.exe
В подтверждение — сравнение списка активных процессов в окне CIS и в окне KillSwitch: http://rghost.ru/6CDkcmjzB/image.png
(Результат получен удалением ключа /Q. Данный ключ использовался, чтобы запуск и завершение tcmsetup.exe прошли мгновенно и незаметно.)

4. Затем настоящий процесс tcmsetup.exe завершается.

5. Затем процесс cmd.exe (который Comodo принимает за первый tcmsetup.exe и наделяет соответствующими привилегиями) запускает файл test.exe


Цитата:

(поэтому и предложил притормозить, т.к. из-за постоянной мешанины из того, как должен работать Комод и как он работает в действительности, - начинается путаница и взаимонепонимание.)

Мы уже почти начали друг друга слышать)

Привет. Проблема. Windows 10 9926 не могу запустить виртуальный рабочий стол. Стоит comodo internet security 7 . После запуска в процессах висит virtkiosk.exe

emhanik

Цитата:

Затем процесс cmd.exe (который Comodo принимает за первый tcmsetup.exe) запускает файл test.exe

и

Цитата:

test.exe, в данном случае, с точки зрения Комода, наследует права от tcmsetup.exe.

разве не одно и то же?

Splendidum
1. CIS7 уже не поддерживается
2. на момент выхода CIS7 о Win10 никто не слышал, соответственно, о совместимости с тем, чего не было, и речи быть не может

Цитата:

Проблема. Windows 10 9926

Не уверен что точно помогло но , после скачал CIS с офф. сайта и переустановил но в режиме совместимости с win8 , в.стол работает.

XenoZ 20:43 10-02-2015
Цитата:

разве не одно и то же?

Равно как и
emhanik 16:15 10-02-2015
Цитата:

привилегии доверенного инсталлятора были даны процессу cmd.exe ошибочно

Splendidum 20:35 10-02-2015
Цитата:

не могу запустить виртуальный рабочий стол

Конечно, не мое дело, кому чем пользоваться, но отмечу, что данная функция — по большей части пустая свистоперделка (в отличие от обычной виртуальной среды Comodo).

emhanik
Мне надо модпак запустить в Sandbox,а он падла не запускается

Splendidum
Если запустить просто в виртуальной среде Sandbox (через контекстное меню), то это другое дело... Виртуальный же рабочий стол — просто ненужная оболочка над этой средой.
Что не запускается в Sandbox через контекстное меню — в виртуальном рабочем столе и подавно не пойдет.

В общем-то самый логичный ответ уже дал XenoZ: не стоит надеяться на совместимость Win10 и CIS7


Update: Еще на тему лажового анализа командной строки. Конкретно по пункту 3. (Я пишу сейчас не в порядке спора с кем-либо, а так, для информации.)

Возьмем ярлык, запускающий неопознанный файл hh.exe следующей строкой:

Код: %COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & hh.exe %windir%\system32\svchost.exe

emhanik

Цитата:

Вылавливались еще кое-какие аномалии... Но поберегу моск от их осмысления.

Правильно, лучше подождать "фикса", если он таки будет, и проверить, действительно ли это фикс, а не очередной костыль?

Цитата:

Если не считать того парадокса, что виртуализация оказалась в чем-то надежнее блокировки...

Никакого парадокса, просто лажовость анализа ком. строки + лажовость взаимодействия отдельных модулей, в данном случае, меньше повлияло на результат.
Хотя и в этом случае виртуализация не пресекает выход тестового приложения в сеть, так что большая надежность тут под сомнением.

(не в порядке спора с кем-либо, а так, для информации)

XenoZ 10:33 12-02-2015
Цитата:

Никакого парадокса, просто лажовость анализа ком. строки + лажовость взаимодействия отдельных модулей, в данном случае, меньше повлияло на результат.

Само собой — упомянутая «надежность» является просто наслоением багов. Иначе поведение зависело бы от опции «Обнаруживать программы, требующие повышенных привилегий».


Цитата:

Хотя и в этом случае виртуализация не пресекает выход тестового приложения в сеть, так что большая надежность тут под сомнением.

Согласен, особенно если учесть возможность виртуальной подмены и запуска интерпретатора, которая не затыкается HIPS'ом.

Однако в CIS 8 можно извратнуться следующим образом: сочетать виртуализацию с уровнем ограничений «Недоверенное». В этом случае, даже если программа произведет виртуальную подмену интерпретатора, она не сможет его запустить.

Если же пользоваться режимом блокировки, то придется уповать на правила HIPS, запрещающие запуск файлов с именами интерпретаторов. Проблема в том, чтобы перечислить все эти имена: java.exe, javaw.exe, hh.exe, winhlp32.exe, cmd.exe, wscript.exe, cscript.exe, mshta.exe, msiexec.exe, rundll32.exe... Важный вопрос ко всем: не упустил ли я чего?

Если упустил — то в режиме блокировки файл с таким именем запустится в реальной среде. В режиме виртуализации он, да, таки выйдет в сеть, но хоть не нагадит в системе.

Впрочем, блокировка ярлыков средствами SRP снимает львиную долю угроз.


Цитата:

если он таки будет

Именно...

Добавлено:
All
Насчет моего вопроса — даю инструкцию, как искать имя интерпретатора.

1. Создать любой exe-файл, можно тупо sfx-архив

2. Назвать его предполагаемым именем интерпретатора а-ля interpreter.exe (hh.exe, java.exe...)

3. Создать рядом с этим файлом батник test.bat, содержащий единственную строку

Код: interpreter.exe calc.exe

emhanik

Цитата:

В режиме виртуализации он, да, таки выйдет в сеть, но хоть не нагадит в системе.

Меня терзают смутные сомнения, что, используя Shared Space, в системе таки нагадить будет можно, хотя и совсем необязательно, т.к. полученный выход в сеть - это уже, как минимум, слив персональных данных жертвы.

XenoZ

Цитата:

полученный выход в сеть - это уже, как минимум, слив персональных данных жертвы.

Чтобы слить персональные данные их еще нужно сначала как-то получить

All
Кто нибудь обращал внимание на https://ru.comodo.com/ ? В отличие от комодоруса, этот сайт уж больно похож на оригинальный, такое впечатление, что сделан "за бугром".

Цитата:

General Info
Website: https://ru.comodo.com
Domain: ru.comodo.com
Scanned IP: 199.66.205.240
Country: United States
City: Jersey City

E-commerce Safety Information
Transaction Protection
Certified SSL is used to encrypt transactions
SSL Issuer: COMODO Extended Validation Secure Server CA
SSL Expires: 2015-06-21 23:59:59 UTC

Доброе утро, не смог найти различия между Comodo Internet Security Premium 8 и Comodo Internet Security Premium 7 (2014), может кто подскажет?

Нет разницы.

shadow_member
Есть разница.

bl1nch1k
Основные отличия:
Политики на основе автоматической песочницы:
- Возможность создания правил автоматической песочницы на основе различных параметров, таких как репутация, происхождение файла, источник файла и т.д.
- Новая политика автоматической песочницы по умолчанию, которая настроена изолировать опасные неизвестные приложения

Аппаратная поддержка виртуализации:
- Когда доступны расширения виртуализации Intel VT-х или AMD SVM, усиленный режим защиты использует эти технологии и CIS работает на уровне гипервизора

UPD
Еще в CIS8 реализована технология добавления к новым файлам ADS (Alternate Data Stream), что вызвало на оффоруме волну негодования.

XenoZ

Цитата:

добавления к новым файлам ADS (Alternate Data Stream), что вызвало на оффоруме волну негодования

дикий народ

sk9heaven

Цитата:

Вот отстой, действительно... Хорошо, что только на одном компе обновился. Отключить никак?

Никак. В следующей версии, к-рую обещают в марте, возможно добавят опцию отключения, но не факт.

Цитата:

Еще в CIS8 реализована технология добавления к новым файлам ADS (Alternate Data Stream)

А что это такое и включается ли если только фаервол из всего используется?

Imperator 23:23 15-02-2015
Цитата:

А что это такое и включается ли если только фаервол из всего используется?

Официально-достоверно не скажу, но вот мой личный вывод из наблюдений: http://www.comss.ru/page.php?id=2335#autosandbox-target-source-accounting

Т.е. Comodo следит за появлением новых исполняемых файлов и приписывает к каждому файлу данные о его происхождении. Отмечу, что функция довольно кривая и ненадежная. Судя по скринам грядущей версии, комодовцы намерены дальше ее усложнять. Боюсь, развитие пойдет в сторону навешивания на нее опций, а не исправления... Отключить пока никак нельзя.

All
Насчет того, что в ADS записываются именно данные о происхождении, я не до конца уверен. Просто сделал такой ввод из того, что в обычной базе Comodo этих данных нет.
Странно, что уж больно коротковатым выглядит содержимое ADS. Я просматриваю его такой командой:

Код: more < file.exe:$CmdTcID

Как могла придти в голову идея использовать Alternate Data Stream (сиречь - изменять файлы без спроса и без нужды) вместо, например, базы с контрольными суммами?
Может, собрались срубить монету с FAT32? ) По-ходу, пора всерьёз искать альтернативы: переход на 8.х точно не грозит

Добавлено:
XenoZ

Цитата:

что вызвало на оффоруме волну негодования.

Разработчики проигнорировали?

Skif_off

Цитата:

Разработчики проигнорировали?

Ответ egemen'а:
It is not that significant. CIS will not create ADS on any existing files. So we aren't using it for AV purposes etc. But that being said, we will introduce an option for you guys to disable such tracking so that you will shut it down if you don't like.
Т.е., судя по всему, отказываться от использования ADS они не собираются, но обещают сделать отключаемым.
Кстати, при удалении 8-го Комода, он за собой не подчищает - созданные им ADS остаются.

Цитата:

Alternate Data Stream

У меня у одного Windows использует это для указания "неблагонадежности" файла у остальных только Comodo так шалит?
Или microsoft используют кошерный Stream?

beZmeN
У Микрософта используется Zone.Identifier, указывающий источник получения файла.
Комод цепляет к файлу два ADS: $CmdZnID - копия Zone.Identifier и $CmdTcID, вокруг к-рого и разгорелся сыр-бор. В тонкости не вникал, но, судя по сообщениям на оффоруме, как раз последний ADS вызывает проблемы при использовании бэкапа, т.к. постоянно сбивает то ли время создания, то ли время модификации файла.