При включении режима "заблокировано" в COMODO, нет подключения к интернету (через модем 3G). При проверке причин отсутствия связи система выдаёт сообщение что все работает нормально. Почему система не даёт информацию, что интернет заблокирован программой COMODO? Из-за этого пришлось долго мучиться и искать причину. Есть ли какие-нибудь программы, которые отслеживали бы все отключенные функции? Бывает, что случайно или по незнанию чего-то отключишь и не знаешь что делать.
» Comodo Internet Security
XenoZ
Посмотрел видео с оффорума, где видны свойства ярлыка: https://forums.comodo.com/news-announcements-feedback-cis/do-you-still-think-that-comodo-v8-is-safe-to-use-t108660.0.html;msg796775#msg796775
Это же еще один баг! Та самая аномалия, от осмысления которой я поначалу берег моск.
Природу тех, что я обнаружил, еще можно понять. Но чем надо было укуриться, чтобы получилось вот это??
Суть: когда системный интерпретатор Cmd.exe запускает какой-либо файл, имеющий то же имя, что и какой-нибудь другой интерпретатор, находящийся в одном каталоге с Cmd.exe, то Comodo принимает этот файл за тот самый «другой интерпретатор».
Особенно бредовые детали:
1. Ошибается не только CIS, но и KillSwitch. Это что-то новое...
2. Ошибка происходит именно при включенном анализе командной строки. (Следовательно, эта опция влияет на KillSwitch — ?!)
3. Проявляется именно при запуске файла системным интерпретатором Cmd.exe, в т.ч. батником. По крайней мере, аналогичный фокус через Wscript.exe у меня не прошел.
4. Cmd.exe должен быть настоящим системным интерпретатором, расположенным на своем законном месте. При использовании другого файла с именем «Cmd.exe» баг у меня не проявился.
5. Файл, который запускает Cmd.exe, должен иметь имя интерпретатора, находящегося в одном каталоге с ним.
Например, если система 64-битная, то баг проявляется по-разному, в зависимости от выбора cmd.exe
Если используется интерпретатор «%windir%\SysWOW64\cmd.exe», то в качестве имен запускаемых файлов годятся «msiexec.exe», «wscript.exe», «hh.exe» и др.
Но если используется интерпретатор «%windir%\System32\cmd.exe», то для имени «hh.exe» баг не проявится
6. Запускаемый файл должен иметь имя интерпретатора, а не какого-либо другого файла. Например, если назвать его «calc.exe», то баг не проявится.
Уфф... Кто будет рапорт писать?) Тащемта не я этот баг вскрыл. И я задолбался.
И у меня еще совершенно другой баг на очереди, не менее бредовый...
Посмотрел видео с оффорума, где видны свойства ярлыка: https://forums.comodo.com/news-announcements-feedback-cis/do-you-still-think-that-comodo-v8-is-safe-to-use-t108660.0.html;msg796775#msg796775
Это же еще один баг! Та самая аномалия, от осмысления которой я поначалу берег моск.
Природу тех, что я обнаружил, еще можно понять. Но чем надо было укуриться, чтобы получилось вот это??
Суть: когда системный интерпретатор Cmd.exe запускает какой-либо файл, имеющий то же имя, что и какой-нибудь другой интерпретатор, находящийся в одном каталоге с Cmd.exe, то Comodo принимает этот файл за тот самый «другой интерпретатор».
Особенно бредовые детали:
1. Ошибается не только CIS, но и KillSwitch. Это что-то новое...
2. Ошибка происходит именно при включенном анализе командной строки. (Следовательно, эта опция влияет на KillSwitch — ?!)
3. Проявляется именно при запуске файла системным интерпретатором Cmd.exe, в т.ч. батником. По крайней мере, аналогичный фокус через Wscript.exe у меня не прошел.
4. Cmd.exe должен быть настоящим системным интерпретатором, расположенным на своем законном месте. При использовании другого файла с именем «Cmd.exe» баг у меня не проявился.
5. Файл, который запускает Cmd.exe, должен иметь имя интерпретатора, находящегося в одном каталоге с ним.
Например, если система 64-битная, то баг проявляется по-разному, в зависимости от выбора cmd.exe
Если используется интерпретатор «%windir%\SysWOW64\cmd.exe», то в качестве имен запускаемых файлов годятся «msiexec.exe», «wscript.exe», «hh.exe» и др.
Но если используется интерпретатор «%windir%\System32\cmd.exe», то для имени «hh.exe» баг не проявится
6. Запускаемый файл должен иметь имя интерпретатора, а не какого-либо другого файла. Например, если назвать его «calc.exe», то баг не проявится.
Уфф... Кто будет рапорт писать?) Тащемта не я этот баг вскрыл. И я задолбался.
И у меня еще совершенно другой баг на очереди, не менее бредовый...
emhanik
Цитата:
Ну это же то же видео, что выкладывал раньше, или ты "подмену" Комодом только сейчас заметил?
Цитата:
Цитата:
Килсвитчем не пользуюсь - монструозина еще та, но посмотрел - Килсвитч ошибается, если запущен после запуска тестового образца, если до, то путь показывает правильный.
Залил на ютуб пару примеров. Первый - вышеупомянутый, а вот второй более грустный (для будущей жертвы) - успешный запуск винлока при полном пофигизме Комода.
http://www.youtube.com/watch?v=QpDlvk1ZVJA
http://www.youtube.com/watch?v=ODPVO6JiCIo
Цитата:
(тут еще наткнулся... сложно подобрать эпитет, но ржал долго... суть: если при компиляции в секцию 'Version Info' файла добавить ключ 'CompanyName' со значением 'Microsoft Corporation', Комод сразу убивает скомпилированный файл с вердиктом 'TrojWare.Win32.Spy.Banker.Gen', причем содержимое файла уже глубоко пофиг, проводил эксперимент на пустышке, форма и кнопка. Хотя, справедливости ради, следует отметить, что облажался не один Комод. Вирустотал: на момент компиляции (17/56), спустя некоторое время (22/57) и сейчас (17/57).)
Цитата:
Посмотрел видео с оффорума, где видны свойства ярлыка: https://forums.comodo.com/news-announcements-feedback-cis/do-you-still-think-that-comodo-v8-is-safe-to-use-t108660.0.html;msg796775#msg796775
Это же еще один баг! Та самая аномалия, от осмысления которой я поначалу берег моск.
Ну это же то же видео, что выкладывал раньше, или ты "подмену" Комодом только сейчас заметил?
Цитата:
когда системный интерпретатор Cmd.exe запускает какой-либо файл, имеющий то же имя, что и какой-нибудь другой интерпретатор, находящийся в одном каталоге с Cmd.exe, то Comodo принимает этот файл за тот самый «другой интерпретатор».
Цитата:
Ошибается не только CIS, но и KillSwitch. Это что-то новое...
Килсвитчем не пользуюсь - монструозина еще та, но посмотрел - Килсвитч ошибается, если запущен после запуска тестового образца, если до, то путь показывает правильный.
Залил на ютуб пару примеров. Первый - вышеупомянутый, а вот второй более грустный (для будущей жертвы) - успешный запуск винлока при полном пофигизме Комода.
http://www.youtube.com/watch?v=QpDlvk1ZVJA
http://www.youtube.com/watch?v=ODPVO6JiCIo
Цитата:
Уфф... Кто будет рапорт писать?) Тащемта не я этот баг вскрыл. И я задолбался.Пока никто, думаю. Имеет смысл подождать до середины марта, когда обещают новую версию, и посмотреть, что там студенты понакрутят.
(тут еще наткнулся... сложно подобрать эпитет, но ржал долго... суть: если при компиляции в секцию 'Version Info' файла добавить ключ 'CompanyName' со значением 'Microsoft Corporation', Комод сразу убивает скомпилированный файл с вердиктом 'TrojWare.Win32.Spy.Banker.Gen', причем содержимое файла уже глубоко пофиг, проводил эксперимент на пустышке, форма и кнопка. Хотя, справедливости ради, следует отметить, что облажался не один Комод. Вирустотал: на момент компиляции (17/56), спустя некоторое время (22/57) и сейчас (17/57).)
XenoZ 21:42 16-02-2015
Цитата:
В том варианте видео, что ты давал на руборде, не показана сама команда. Я думал, там что-то вроде
%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & msiexec.exe %windir%\System32\msiexec.exe
Что подобное работает и без последней курсивной части — я увидел только сейчас. И это что-то совершенно новое — в плане природы бага. (В плане защиты все меры остаются прежними.)
Цитата:
В смысле?))
Цитата:
У меня ошибается и до, и после. Бывает, разве что иконку правильную у процесса отображает, но в его свойствах лажается.
В принципе, новизна ситуации здесь только для меня. Раньше я думал, что KillSwitch не замечает скриптов и отображает соответствующие процессы как интерпретаторы. Оказалось — нет. Он пишет имя интерпретатора только в столбце «Процессы». Но если включить столбец «Путь к образу», то в нем будут видны пути как раз к скриптам. Также оказалось, что KillSwitch'ем можно заносить скрипты в доверенные через контекстное меню.
Причем эти функции работают только при включенной в CIS опции «Выполнять эвристический анализ командной строки».
Короче, я ошибся конкретно в этом: «Однако KillSwitch, в отличие от окна CIS, не покажет в этом списке выполняющиеся скрипты».
Цитата:
У меня еще грустнее: видно, что от заразы не спасает даже детект антивируса.
Первое видео. Там чуть другой метод, использующий права «системного» у проводника. Кстати, здесь ссылку на него я еще вона когда давал (потом удалил запись из блога: типа дал комод-овцам шанс)))
Второе видео. То самое, что давал Chiron'у в личку 4 месяца назад. Ни видео, ни подробное описание багов никого в Comodo не заинтересовало.
Третье аналогичное. Прикреплено к баг-репорту.
Цитата:
Еще можно понять) Но это чисто антивирусный момент.
Кстати, если я правильно понял, в Comodo собираются менять именно антивирусный движок, а не хипс? Это я к тому, что, скорее всего, баги хипса никуда не денутся, и таки надо о них рапортовать. По крайней мере, о тех, что не связаны с анализом командной строки.
Цитата:
Ну это же то же видео, что выкладывал раньше [?], или ты "подмену" Комодом только сейчас заметил?
В том варианте видео, что ты давал на руборде, не показана сама команда. Я думал, там что-то вроде
%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & msiexec.exe %windir%\System32\msiexec.exe
Что подобное работает и без последней курсивной части — я увидел только сейчас. И это что-то совершенно новое — в плане природы бага. (В плане защиты все меры остаются прежними.)
Цитата:
В смысле?))
Цитата:
Килсвитч ошибается, если запущен после запуска тестового образца, если до, то путь показывает правильный
У меня ошибается и до, и после. Бывает, разве что иконку правильную у процесса отображает, но в его свойствах лажается.
В принципе, новизна ситуации здесь только для меня. Раньше я думал, что KillSwitch не замечает скриптов и отображает соответствующие процессы как интерпретаторы. Оказалось — нет. Он пишет имя интерпретатора только в столбце «Процессы». Но если включить столбец «Путь к образу», то в нем будут видны пути как раз к скриптам. Также оказалось, что KillSwitch'ем можно заносить скрипты в доверенные через контекстное меню.
Причем эти функции работают только при включенной в CIS опции «Выполнять эвристический анализ командной строки».
Короче, я ошибся конкретно в этом: «Однако KillSwitch, в отличие от окна CIS, не покажет в этом списке выполняющиеся скрипты».
Цитата:
а вот второй более грустный
У меня еще грустнее: видно, что от заразы не спасает даже детект антивируса.
Первое видео. Там чуть другой метод, использующий права «системного» у проводника. Кстати, здесь ссылку на него я еще вона когда давал (потом удалил запись из блога: типа дал комод-овцам шанс)))
Второе видео. То самое, что давал Chiron'у в личку 4 месяца назад. Ни видео, ни подробное описание багов никого в Comodo не заинтересовало.
Третье аналогичное. Прикреплено к баг-репорту.
Цитата:
Хотя, справедливости ради, следует отметить, что облажался не один Комод.
Еще можно понять) Но это чисто антивирусный момент.
Кстати, если я правильно понял, в Comodo собираются менять именно антивирусный движок, а не хипс? Это я к тому, что, скорее всего, баги хипса никуда не денутся, и таки надо о них рапортовать. По крайней мере, о тех, что не связаны с анализом командной строки.
emhanik
Цитата:
Да, пардон, запамятовал, что переписывал с английским фейсом Комода для оффорума.
Цитата:
Цитата:
Цитата:
В том варианте видео, что ты давал на руборде, не показана сама команда.
Да, пардон, запамятовал, что переписывал с английским фейсом Комода для оффорума.
Цитата:
В смысле?))Относилось к вопросу выше цитаты. Ну да уже разобрались.
Цитата:
Кстати, если я правильно понял, в Comodo собираются менять именно антивирусный движок, а не хипс? Это я к тому, что, скорее всего, баги хипса никуда не денутсяПосмотрим, пока сложно сказать, что именно они хотят, а что конкретно поменяют.
emhanik
Возвращаясь к
Цитата:
Как оказалось, виртуализация не спасает. Вот видео, где неизвестный файл запускается и скачивает из сети (для демонстрации) файл-пустышку, также неизвестный, к-рый получает права доверенного, в реальной системе, обходя режим виртуализации:
https://www.youtube.com/watch?v=2R1wDuOJDnM
(На оффоруме этой проблемой заинтересовался yigido, представитель Malware Research Group, в теме
Protection against crypto viruses (Cryptolocker))
gjf
Ты зачем из шапки информацию о дырище убрал?
Добавлено:
All
Информацию о баге в шапке восстановил.
Возвращаясь к
Цитата:
В режиме виртуализации он, да, таки выйдет в сеть, но хоть не нагадит в системе.
Как оказалось, виртуализация не спасает. Вот видео, где неизвестный файл запускается и скачивает из сети (для демонстрации) файл-пустышку, также неизвестный, к-рый получает права доверенного, в реальной системе, обходя режим виртуализации:
https://www.youtube.com/watch?v=2R1wDuOJDnM
(На оффоруме этой проблемой заинтересовался yigido, представитель Malware Research Group, в теме
Protection against crypto viruses (Cryptolocker))
gjf
Ты зачем из шапки информацию о дырище убрал?
Добавлено:
All
Информацию о баге в шапке восстановил.
XenoZ
Блин, ну побойся Бога: какая это дырища? Создали какую-то искусственную ситуацию - и раздули флейм на десять страниц.
Блин, ну побойся Бога: какая это дырища? Создали какую-то искусственную ситуацию - и раздули флейм на десять страниц.
XenoZ 19:31 19-02-2015
Цитата:
Хм, где я говорил, что режим виртуализации спасет сам по себе?
Почти во всех моих примерах это не так.
Вообще-то я всегда подчеркиваю необходимость следующего подхода:
- отключить обнаружение инсталляторов (опция автопесочницы)
- отключить доверие программам, созданным инсталляторами (опция рейтинга)
- заблокировать запуск программ, имеющих имена интерпретаторов, но иные расположения (правилами HIPS)
При этом подходе остается риск, что в правилах HIPS будет упущено какое-нибудь имя интерпретатора типа «interpreter.exe», известное злоумышленнику.
Если это так, то опасность представляет команда типа:
%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & interpreter.exe %windir%\system32\svchost.exe
Если Auto-Sandbox настроен на блокировку, то interpreter.exe выполнится в реальной среде. Если на виртуализацию — в виртуальной. Конкретно при этой команде.
Повторяю, речь о комплексе мер, а не об одной лишь виртуализации, как на твоем видео.
Проблема режима виртуализации — опасность виртуальной подмены интерпретатора. Решается выбором виртуализации с дополнительным уровнем ограничений «Недоверенное» (возможность появилась в CIS 8).
Впрочем, даже в этой конфигурации остается возможность запуска неопознанного файла в реальной среде...
https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192
Цитата:
Я пока невнимательно смотрел, но почему ты дал ему ссылку на баг-репорт про запуск батника, а не про использование имени интерпретатора?
gjf 20:34 19-02-2015
Цитата:
И какая же ситуация не являлась бы искусственной? От чего вообще должен защищать Comodo с такой точки зрения?
Пользователь запускает файл или ярлык — и в результате
1) неопознанная программа запускается с привилегиями установщика
2) получает привилегии любой другой программы
3) в т.ч. выходит в сеть
4) добавляется в доверенные
Если это не дырища, то что это?
All
Люди, что происходит? Неужели я настолько неясно выражаюсь? Ладно, английский хреновый, так вам же в руки и видео, и образцы, и, вообще-то, по-русски разжевал уже все...
Цитата:
Как оказалось, виртуализация не спасает
Хм, где я говорил, что режим виртуализации спасет сам по себе?
Почти во всех моих примерах это не так.
Вообще-то я всегда подчеркиваю необходимость следующего подхода:
- отключить обнаружение инсталляторов (опция автопесочницы)
- отключить доверие программам, созданным инсталляторами (опция рейтинга)
- заблокировать запуск программ, имеющих имена интерпретаторов, но иные расположения (правилами HIPS)
При этом подходе остается риск, что в правилах HIPS будет упущено какое-нибудь имя интерпретатора типа «interpreter.exe», известное злоумышленнику.
Если это так, то опасность представляет команда типа:
%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & interpreter.exe %windir%\system32\svchost.exe
Если Auto-Sandbox настроен на блокировку, то interpreter.exe выполнится в реальной среде. Если на виртуализацию — в виртуальной. Конкретно при этой команде.
Повторяю, речь о комплексе мер, а не об одной лишь виртуализации, как на твоем видео.
Проблема режима виртуализации — опасность виртуальной подмены интерпретатора. Решается выбором виртуализации с дополнительным уровнем ограничений «Недоверенное» (возможность появилась в CIS 8).
Впрочем, даже в этой конфигурации остается возможность запуска неопознанного файла в реальной среде...
https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192
Цитата:
(На оффоруме этой проблемой заинтересовался yigido, представитель Malware Research Group, в теме
Protection against crypto viruses (Cryptolocker))
Я пока невнимательно смотрел, но почему ты дал ему ссылку на баг-репорт про запуск батника, а не про использование имени интерпретатора?
gjf 20:34 19-02-2015
Цитата:
Создали какую-то искусственную ситуацию - и раздули флейм на десять страниц.
И какая же ситуация не являлась бы искусственной? От чего вообще должен защищать Comodo с такой точки зрения?
Пользователь запускает файл или ярлык — и в результате
1) неопознанная программа запускается с привилегиями установщика
2) получает привилегии любой другой программы
3) в т.ч. выходит в сеть
4) добавляется в доверенные
Если это не дырища, то что это?
All
Люди, что происходит? Неужели я настолько неясно выражаюсь? Ладно, английский хреновый, так вам же в руки и видео, и образцы, и, вообще-то, по-русски разжевал уже все...
Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.
Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела.
Получаю полный беспредел и отмену всех ограничений.
Дырища?
Несколько раз говорил Вам: напишите на официальный суппорт. Там есть и русская ветка. Нашли дырищу - так и напишите там тему "ДЫРИЩА!!!!!1111"
Если там признают - зеркальте тут. А так - просто беседы на завалинке.
Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела.
Получаю полный беспредел и отмену всех ограничений.
Дырища?
Несколько раз говорил Вам: напишите на официальный суппорт. Там есть и русская ветка. Нашли дырищу - так и напишите там тему "ДЫРИЩА!!!!!1111"
Если там признают - зеркальте тут. А так - просто беседы на завалинке.
emhanik
Цитата:
Там обсуждался вопрос о безопасности виртуализации, вот я и сляпал видеопример, где она обходится.
(а комплекс мер... вещь, конечно, полезная, но конкретно мне подвязывать бантиками шатающиеся костыли Комода как-то нет желания... Посмотрю, что они в марте выкатят.)
Цитата:
На видео используется %comspec% /c %windir%\system32\tcmsetup.exe /Q & copy help.exe msiexec.exe /y & msiexec.exe и неопознанный файл запускается в реальной среде, качая себе "помощь" из сети.
Цитата:
Цитата:
Добавлено:
gjf
Во флейме скучно стало - здесь решил потроллить?
Цитата:
%COMSPEC% /c %windir%\System32\tcmsetup.exe /Q & interpreter.exe %windir%\system32\svchost.exe
Если Auto-Sandbox настроен на блокировку, то interpreter.exe выполнится в реальной среде. Если на виртуализацию — в виртуальной. Конкретно при этой команде.
Повторяю, речь о комплексе мер, а не об одной лишь виртуализации, как на твоем видео.
Там обсуждался вопрос о безопасности виртуализации, вот я и сляпал видеопример, где она обходится.
(а комплекс мер... вещь, конечно, полезная, но конкретно мне подвязывать бантиками шатающиеся костыли Комода как-то нет желания... Посмотрю, что они в марте выкатят.)
Цитата:
Проблема режима виртуализации — опасность виртуальной подмены интерпретатора. Решается выбором виртуализации с дополнительным уровнем ограничений «Недоверенное» (возможность появилась в CIS 8).
Впрочем, даже в этой конфигурации остается возможность запуска неопознанного файла в реальной среде...
https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192
На видео используется %comspec% /c %windir%\system32\tcmsetup.exe /Q & copy help.exe msiexec.exe /y & msiexec.exe и неопознанный файл запускается в реальной среде, качая себе "помощь" из сети.
Цитата:
Я пока невнимательно смотрел, но почему ты дал ему ссылку на баг-репорт про запуск батника, а не про использование имени интерпретатора?Я ж написал ему "некоторые из оформленных багов", а ссылки ткнул для наглядности, первые, к-рые были в закладках.
Цитата:
Люди, что происходит?Происходит глобальный пофигизм.
Добавлено:
gjf
Во флейме скучно стало - здесь решил потроллить?
XenoZ
При чём здесь троллинг? Вас не смутило, что последние N страниц у Вас с emhanik проходит сугубо диалог?
При чём здесь троллинг? Вас не смутило, что последние N страниц у Вас с emhanik проходит сугубо диалог?
gjf
Цитата:
Не смутило. Диалоги на руборде не запрещены. Тебе есть что сказать по теме - присоединяйся, нет - проходи мимо.
Цитата:
При чём здесь троллинг? Вас не смутило, что последние N страниц у Вас с emhanik проходит сугубо диалог?
Не смутило. Диалоги на руборде не запрещены. Тебе есть что сказать по теме - присоединяйся, нет - проходи мимо.
XenoZ
п. 2.8.2. главы VIII Соглашения по использованию
И по теме мне есть что сказать: данную "Дырищу" дырищей не считаю, а считаю результатом кучи свободного времени у людей, которым нечем больше заняться.
Шапку править не буду, охота позориться - вперёд.
п. 2.8.2. главы VIII Соглашения по использованию
И по теме мне есть что сказать: данную "Дырищу" дырищей не считаю, а считаю результатом кучи свободного времени у людей, которым нечем больше заняться.
Шапку править не буду, охота позориться - вперёд.
gjf 21:49 19-02-2015
Цитата:
Во-первых, антируткиту требуется повышение прав.
Во-вторых, он имеет интерфейс. (Или какой-нибудь подписанный антируткит может действовать «тихо», прицельно убивая Comodo?)
...
Повторяю вопрос: от чего должен защищать Comodo?
XenoZ 21:57 19-02-2015
Цитата:
Понятно.
При отключении 2 опций, о которых я выше писал, в режиме виртуализации запуск пошел в песочнице.
А после настройки HIPS против лжеинтерпретаторов и запуска не произошло.
Цитата:
М-да
Цитата:
Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.
Во-первых, антируткиту требуется повышение прав.
Во-вторых, он имеет интерфейс. (Или какой-нибудь подписанный антируткит может действовать «тихо», прицельно убивая Comodo?)
...
Повторяю вопрос: от чего должен защищать Comodo?
XenoZ 21:57 19-02-2015
Цитата:
На видео используется %comspec% /c %windir%\system32\tcmsetup.exe /Q & copy help.exe msiexec.exe /y & msiexec.exe
Понятно.
При отключении 2 опций, о которых я выше писал, в режиме виртуализации запуск пошел в песочнице.
А после настройки HIPS против лжеинтерпретаторов и запуска не произошло.
Цитата:
Происходит глобальный пофигизм.
М-да
emhanik
Вы про Gmer слышали? AVZ?
Вы про Gmer слышали? AVZ?
gjf 22:36 19-02-2015
Цитата:
Ok, антивирусные утилиты могут исполнять свои скрипты.
Запроса прав администратора это не отменяет. Или?
Можете собрать образец, запускающийся незаметно, как то ярлыком? Без запроса прав администратора?
В любом случае — в моих баг-репортах речь не о вырубании Comodo.
И даны методы, вполне пригодные для использования злоумышленниками.
Третий раз спрашиваю: от чего должен защищать Comodo? В чем эта защита должна выражаться?
Таки, может, он вообще не нужен?
Цитата:
Вы про Gmer слышали? AVZ?
Ok, антивирусные утилиты могут исполнять свои скрипты.
Запроса прав администратора это не отменяет. Или?
Можете собрать образец, запускающийся незаметно, как то ярлыком? Без запроса прав администратора?
В любом случае — в моих баг-репортах речь не о вырубании Comodo.
И даны методы, вполне пригодные для использования злоумышленниками.
Третий раз спрашиваю: от чего должен защищать Comodo? В чем эта защита должна выражаться?
Таки, может, он вообще не нужен?
emhanik
Пф, на девяти компьюьтерах из десяти, что я вижу, UAC отключен и все работают под админом.
Ладно, я не хочу заниматься тут диспутами с Вами. У Вас уже есть личный собеседник - разбирайте Вашу личную маленькую сенсацию с ним.
Пф, на девяти компьюьтерах из десяти, что я вижу, UAC отключен и все работают под админом.
Ладно, я не хочу заниматься тут диспутами с Вами. У Вас уже есть личный собеседник - разбирайте Вашу личную маленькую сенсацию с ним.
gjf
Цитата:
Цитата:
Цитата:
GMER AVZ
Тут топик по Комоду.
Цитата:
п. 2.8.2. главы VIII Соглашения по использованиюМимо. диалог по теме.
Цитата:
И по теме мне есть что сказать: данную "Дырищу" дырищей не считаюЭто твое право. А для обычного пользователя будет более чем достаточно, при "надежно защищенном" Комодом компьютере, получить, пардон, задницу во весь экран.
Цитата:
Вы про Gmer слышали? AVZ?
GMER AVZ
Тут топик по Комоду.
XenoZ
Цитата:
Можно подумать что при "надежно защищенном" чем-то другим компьютере, для того же пользователя такой возможности не будет.
emhanik
Цитата:
Выполнение заданных настроек.
Хотите алерты в подобных случаях? Включайте Paranoid Mode - будут алерты с избытком. В чем проблема?
Цитата:
А для обычного пользователя будет более чем достаточно, при "надежно защищенном" Комодом компьютере, получить, пардон, задницу во весь экран.
Можно подумать что при "надежно защищенном" чем-то другим компьютере, для того же пользователя такой возможности не будет.
emhanik
Цитата:
Если это не дырища, то что это?
Выполнение заданных настроек.
Хотите алерты в подобных случаях? Включайте Paranoid Mode - будут алерты с избытком. В чем проблема?
gjf 23:11 19-02-2015
Цитата:
Вот это сенсация.
Но до таких клинических случаев мне дела нет. Пользователей, которые отрубают UAC и делают ставку лишь на антивирус, мне, скажем так, не жаль.
Accessisdenied 16:32 20-02-2015
Цитата:
Ничего подобного.
Привилегии установщика у портативных браузеров — дыра.
(Как и вообще у любого приложения, не запрашивающего права администратора. Примеров немало.)
Ошибочное наследование привилегий при составных командах — дыра.
Наделение одной программы привилегиями другой — дыра.
(Добавим еще вариант XenoZ'а.)
То, что CIS 8 не проверяет рейтинг после подмены файла, — дыра.
Все перечисленные уязвимости пригодны для использования злоумышленниками. (Простейшие методы я приводил. Другие сами можете придумать...)
В отличие от «атаки антируткитом» и т.п.
Напомню свой недавний комментарий: http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=6100#16
Цитата:
Во-первых, мне «избыток» не нужен. Нужно, грубо говоря, чтобы вышеописанная лажа была устранена.
Понимаю, что негоже критиковать чужую работу, но разработчиков модуля анализа командной строки следовало бы взять за шкирку и потыкать носом в их художества. А не оправдывать, что это «выполнение заданных настроек»... facepalm
Во-вторых, в CIS 8 и параноидальный режим не поможет.
В-третьих, параноидальный режим не поможет вообще нигде, если допустить лишь запуск неопознанной программы. Пользуясь багом с определением интерпретаторов, она тут же выйдет из-под контроля, получив все привилегии другой (в т.ч. сетевые).
Который раз повторяю вопрос: в чем должна выражаться защита Comodo? В каких конкретных ситуациях он должен спасти? Какой вообще смысл его использования?
Адресуется всем, кто отрицает очевидное.
Update: Не проверял, но, вероятно, параноидальный режим не защитит от ярлыка с такой командой:
%COMSPEC% /c %windir%\System32\wuauclt.exe & test.exe
Цитата:
Пф, на девяти компьюьтерах из десяти, что я вижу, UAC отключен и все работают под админом.
Вот это сенсация.
Но до таких клинических случаев мне дела нет. Пользователей, которые отрубают UAC и делают ставку лишь на антивирус, мне, скажем так, не жаль.
Accessisdenied 16:32 20-02-2015
Цитата:
Выполнение заданных настроек.
Ничего подобного.
Привилегии установщика у портативных браузеров — дыра.
(Как и вообще у любого приложения, не запрашивающего права администратора. Примеров немало.)
Ошибочное наследование привилегий при составных командах — дыра.
Наделение одной программы привилегиями другой — дыра.
(Добавим еще вариант XenoZ'а.)
То, что CIS 8 не проверяет рейтинг после подмены файла, — дыра.
Все перечисленные уязвимости пригодны для использования злоумышленниками. (Простейшие методы я приводил. Другие сами можете придумать...)
В отличие от «атаки антируткитом» и т.п.
Напомню свой недавний комментарий: http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=6100#16
Цитата:
Включайте Paranoid Mode - будут алерты с избытком
Во-первых, мне «избыток» не нужен. Нужно, грубо говоря, чтобы вышеописанная лажа была устранена.
Понимаю, что негоже критиковать чужую работу, но разработчиков модуля анализа командной строки следовало бы взять за шкирку и потыкать носом в их художества. А не оправдывать, что это «выполнение заданных настроек»... facepalm
Во-вторых, в CIS 8 и параноидальный режим не поможет.
В-третьих, параноидальный режим не поможет вообще нигде, если допустить лишь запуск неопознанной программы. Пользуясь багом с определением интерпретаторов, она тут же выйдет из-под контроля, получив все привилегии другой (в т.ч. сетевые).
Который раз повторяю вопрос: в чем должна выражаться защита Comodo? В каких конкретных ситуациях он должен спасти? Какой вообще смысл его использования?
Адресуется всем, кто отрицает очевидное.
Update: Не проверял, но, вероятно, параноидальный режим не защитит от ярлыка с такой командой:
%COMSPEC% /c %windir%\System32\wuauclt.exe & test.exe
Accessisdenied
Понимаете, тут ситуация клиническая. Человек не хочет смириться с тем, что by design, а хочет свой Comodo с блекджеком и шлюхами. И об этом уже пишет не одну страницу.
Попытаться провести сравнение и попробовать свои "дырищи" на других аналогичных продуктах, чтобы понять, а "дырищи" ли это вообще - тут, конечно, сил и желаний нет.
emhanik (17:49 02-02-2015)
Цитата:
"Мышки плакали, кололись, но продолжали жрать кактус"
Добавлено:
emhanik (19:08 20-02-2015)
Цитата:
Я ж и говорю: перестаньте ковыряться в несчастном Комоде, выйдите на улицу, посмотрите на мир. Обнаружите много новых сенсаций и впечатлений, которые куда интереснее, чем Ваши "дырища".
Понимаете, тут ситуация клиническая. Человек не хочет смириться с тем, что by design, а хочет свой Comodo с блекджеком и шлюхами. И об этом уже пишет не одну страницу.
Попытаться провести сравнение и попробовать свои "дырищи" на других аналогичных продуктах, чтобы понять, а "дырищи" ли это вообще - тут, конечно, сил и желаний нет.
emhanik (17:49 02-02-2015)
Цитата:
Мое время им убивается жесточайше.
"Мышки плакали, кололись, но продолжали жрать кактус"
Добавлено:
emhanik (19:08 20-02-2015)
Цитата:
Вот это сенсация.
Я ж и говорю: перестаньте ковыряться в несчастном Комоде, выйдите на улицу, посмотрите на мир. Обнаружите много новых сенсаций и впечатлений, которые куда интереснее, чем Ваши "дырища".
gjf
Чтобы не провоцировать пустой троллинг, повторю один-единственный вопрос: от каких ситуаций должен защищать Comodo?
Чтобы не провоцировать пустой троллинг, повторю один-единственный вопрос: от каких ситуаций должен защищать Comodo?
emhanik
Задайте вопрос Мелиху. Или почитайте на официальном сайте описание.
Но перед тем, как писать Мелиху вопросы, учтите: Comodo бывает просто фаервол (с хипсом или без), бывает антивирус, бывает песочница и бывает даже браузер. Каждый в свою очередь - с кучей настроек.
Если хотите получить умный ответ - задайте умный вопрос.
Задайте вопрос Мелиху. Или почитайте на официальном сайте описание.
Но перед тем, как писать Мелиху вопросы, учтите: Comodo бывает просто фаервол (с хипсом или без), бывает антивирус, бывает песочница и бывает даже браузер. Каждый в свою очередь - с кучей настроек.
Если хотите получить умный ответ - задайте умный вопрос.
gjf
Меня интересует мнение не Мелиха в данном случае, а тех, кто пользуется продуктом.
Ради чего?
Какая у кого версия и конфигурация, я не знаю.
Меня интересует мнение не Мелиха в данном случае, а тех, кто пользуется продуктом.
Ради чего?
Какая у кого версия и конфигурация, я не знаю.
emhanik
Я использую для блокировки и контроля сетевой активности.
Очень редко - настраиваю хипс. В основном по хипсу только фиксирую алерты.
Песочницей не пользуюсь.
Антивирус стоит - но только на подхват. По факту он ни к чему, но всё равно ставится в систему - так пусть хоть работает. Файловые вирусы он детектирует - и на том спасибо.
Я использую для блокировки и контроля сетевой активности.
Очень редко - настраиваю хипс. В основном по хипсу только фиксирую алерты.
Песочницей не пользуюсь.
Антивирус стоит - но только на подхват. По факту он ни к чему, но всё равно ставится в систему - так пусть хоть работает. Файловые вирусы он детектирует - и на том спасибо.
gjf 02:26 21-02-2015
Цитата:
Только безопасных («легальных», сознательно используемых) программ, я правильно понял?
Ведь от сетевой активности вредоносных программ (запущенных хоть в реальной среде, хоть в Comodo Sandbox, хоть в SandboxIE...) он уже не очень-то спасет.
Цитата:
Т.е. задача пресекать запуск и контролировать активность неопознанных файлов перед ним не стоит?
Если все так, как я понял, то от собственно защиты мало чего остается... Действительно, бессмысленно обсуждать недостатки функций, которые почти не используются.
Однако многие как раз делают на эти функции ставку. И имеют на то все основания.
Цитата:
Я использую для блокировки и контроля сетевой активности.
Только безопасных («легальных», сознательно используемых) программ, я правильно понял?
Ведь от сетевой активности вредоносных программ (запущенных хоть в реальной среде, хоть в Comodo Sandbox, хоть в SandboxIE...) он уже не очень-то спасет.
Цитата:
Очень редко - настраиваю хипс.
Т.е. задача пресекать запуск и контролировать активность неопознанных файлов перед ним не стоит?
Если все так, как я понял, то от собственно защиты мало чего остается... Действительно, бессмысленно обсуждать недостатки функций, которые почти не используются.
Однако многие как раз делают на эти функции ставку. И имеют на то все основания.
emhanik
Цитата:
Не имеют. 19:08 20-02-2015
Цитата:
Так какие у них основания?
У остальных... ну допустим спьяну или еще по какому недоразумению что-то такое запустится и Comodo даст лишние права - у ОС свое мнение есть.
Вот я запустил autoruns без админских прав и попытался что-то изменить в автозапуске:
А при запуске от админа будет что-то типа такого:
несмотря на то что Comodo этому приложению разрешает всё что оно делает.
А если пользователь сознательно запускает что попало, то на все алерты в том числе и от Comodo он просто нажмет "разрешить".
Если кто-то надел бронежилет, это еще не гарантирует что он не будет ранен или убит, даже если в нем нет дыр, особенно если надеясь на эту защиту будет пренебрегать остальными мерами безопасности.
Цитата:
Однако многие как раз делают на эти функции ставку. И имеют на то все основания.
Не имеют. 19:08 20-02-2015
Цитата:
Пользователей, которые отрубают UAC и делают ставку лишь на антивирус, мне, скажем так, не жаль.
Так какие у них основания?
У остальных... ну допустим спьяну или еще по какому недоразумению что-то такое запустится и Comodo даст лишние права - у ОС свое мнение есть.
Вот я запустил autoruns без админских прав и попытался что-то изменить в автозапуске:
А при запуске от админа будет что-то типа такого:
несмотря на то что Comodo этому приложению разрешает всё что оно делает.
А если пользователь сознательно запускает что попало, то на все алерты в том числе и от Comodo он просто нажмет "разрешить".
Если кто-то надел бронежилет, это еще не гарантирует что он не будет ранен или убит, даже если в нем нет дыр, особенно если надеясь на эту защиту будет пренебрегать остальными мерами безопасности.
emhanik
Поскольку я работаю под админом без УАКа (о ужас!), то что попало и где попало я не запускаю.
Для этих целей есть Sandboxie. Есть онлайн-анализаторы. Есть масса всего.
И если я вижу, что файл, который не должен лезть в сеть, в сеть всё-таки лезет - я его блокирую.
Итого:
1. Вредоносы могут и встать, если недосмотрю, но никуда и ничего отправить не смогут.
2. Руткиты встать не смогут, потому что необходимы привелегии ядра. Это легко отслеживается.
3. Файловая инфекция распознаётся слабеньким антивирусом, нынче это неактуально и не обновляется.
Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.
Accessisdenied (13:08 21-02-2015)
Цитата:
+100500!
Поскольку я работаю под админом без УАКа (о ужас!), то что попало и где попало я не запускаю.
Для этих целей есть Sandboxie. Есть онлайн-анализаторы. Есть масса всего.
И если я вижу, что файл, который не должен лезть в сеть, в сеть всё-таки лезет - я его блокирую.
Итого:
1. Вредоносы могут и встать, если недосмотрю, но никуда и ничего отправить не смогут.
2. Руткиты встать не смогут, потому что необходимы привелегии ядра. Это легко отслеживается.
3. Файловая инфекция распознаётся слабеньким антивирусом, нынче это неактуально и не обновляется.
Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.
Accessisdenied (13:08 21-02-2015)
Цитата:
А если пользователь сознательно запускает что попало, то на все алерты в том числе и от Comodo он просто нажмет "разрешить".
+100500!
Accessisdenied
gjf
Господа, вы скатываетесь в оффтоп. Здесь никто не обсуждает степень защищенности конкретно ваших машин, топик немного о другом.
В защите Комода найдена дыра, а не в ваших системах. Если вас это не волнует, проходите мимо, не задерживайтесь.
gjf
Господа, вы скатываетесь в оффтоп. Здесь никто не обсуждает степень защищенности конкретно ваших машин, топик немного о другом.
В защите Комода найдена дыра, а не в ваших системах. Если вас это не волнует, проходите мимо, не задерживайтесь.
gjf 00:20 22-02-2015
Цитата:
Ok, одни отключают UAC из-за отсутствия мозгов, другие, наоборот, слишком круты для него : ) Не хотел никого обидеть.
Все же рядовой пользователь, озабоченный безопасностью, отключать UAC не станет. Особенно, если настраивает систему кому-нибудь из менее опытных. Если в организации — то в любом случае не даст подопечному прав администратора, с UAC'ом или без него.
Кстати, напомню, откуда вообще всплыла тема UAC'а:
gjf 21:49 19-02-2015
Цитата:
Так вот — дырища, если этот метод можно использовать.
Но используется ли он реальными зловредами? Я не знаю. Полагаю, что нет, и именно из-за UAC'а.
Если бы не UAC, то, по идее, можно укомплектовать зловред антируткитом и подсунуть хоть на той самой флешке с ярлыком.
Мой же ярлык гадит на уровне пользователя. И что он способен сделать, я перечислял: обойти все компоненты защиты CIS'а, короче говоря.
Вас ярлыком не обманешь — Ok. А ваших «подопечных»?
Да, Accessisdenied защищается от внешних носителей с помощью SRP. Ну так и я в числе прочего об этом же говорю.
Не будем зацикливаться на ярлыках и флешках — это простейший путь, но не единственный.
Можно письма рассылать, можно еще как-нибудь... Лучше меня знаете.
От всех этих путей заражения CIS неплохо защищает, если они не используют обсуждаемые дыры.
Цитата:
Пожалуйста — файл из моего баг-репорта: http://rghost.ru/68drpVCDC
Говорите, запускаете сомнительные программы в Sandboxie и контролируете их сетевую активность?
Этот образец просто скачивает страницу и открывает ее в блокноте. Заменить его стилером можете самостоятельно.
Если хотите, можно усовершенствовать прием, чтобы при этом стилер добавился в доверенные и не блокировался антивирусом.
P.S. Конкретно тот образец распаковывает файл и выдает его за «%windir%\system32\msiexec.exe». У кого этой программе заблокирован интернет — можно заменить аргумент на «%windir%\system32\svchost.exe» или любую другую программу.
Цитата:
я работаю под админом без УАКа (о ужас!)
Ok, одни отключают UAC из-за отсутствия мозгов, другие, наоборот, слишком круты для него : ) Не хотел никого обидеть.
Все же рядовой пользователь, озабоченный безопасностью, отключать UAC не станет. Особенно, если настраивает систему кому-нибудь из менее опытных. Если в организации — то в любом случае не даст подопечному прав администратора, с UAC'ом или без него.
Кстати, напомню, откуда вообще всплыла тема UAC'а:
gjf 21:49 19-02-2015
Цитата:
Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью.
Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела.
Получаю полный беспредел и отмену всех ограничений.
Дырища?
Так вот — дырища, если этот метод можно использовать.
Но используется ли он реальными зловредами? Я не знаю. Полагаю, что нет, и именно из-за UAC'а.
Если бы не UAC, то, по идее, можно укомплектовать зловред антируткитом и подсунуть хоть на той самой флешке с ярлыком.
Мой же ярлык гадит на уровне пользователя. И что он способен сделать, я перечислял: обойти все компоненты защиты CIS'а, короче говоря.
Вас ярлыком не обманешь — Ok. А ваших «подопечных»?
Да, Accessisdenied защищается от внешних носителей с помощью SRP. Ну так и я в числе прочего об этом же говорю.
Не будем зацикливаться на ярлыках и флешках — это простейший путь, но не единственный.
Можно письма рассылать, можно еще как-нибудь... Лучше меня знаете.
От всех этих путей заражения CIS неплохо защищает, если они не используют обсуждаемые дыры.
Цитата:
Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.
Пожалуйста — файл из моего баг-репорта: http://rghost.ru/68drpVCDC
Говорите, запускаете сомнительные программы в Sandboxie и контролируете их сетевую активность?
Этот образец просто скачивает страницу и открывает ее в блокноте. Заменить его стилером можете самостоятельно.
Если хотите, можно усовершенствовать прием, чтобы при этом стилер добавился в доверенные и не блокировался антивирусом.
P.S. Конкретно тот образец распаковывает файл и выдает его за «%windir%\system32\msiexec.exe». У кого этой программе заблокирован интернет — можно заменить аргумент на «%windir%\system32\svchost.exe» или любую другую программу.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.