» Comodo Internet Security

private_joker

Цитата:

Я и говорю о том, что никаких недоработок в этом нет. Всё работает так как и должно.

Не соглашусь, пожалуй. Может быть, у разработчиков штук 10 VelociRaptor в RAID0, но у большинства пользователей - нет. 5400 об/мин + фрагментация + мусор в автозагрузки и вот оно - несколько секунд без проактивки (не знаю, откуда ~минута у Dementei). Сразу же при появлении рабочего стола делать что-то получается не всегда и в реальной работе может и не иметь значения, но экспериментально пауза отлавливается легко.

Skif_off

Цитата:

5400 об/мин + фрагментация + мусор в автозагрузки и вот оно

Это не проблемы Comodo (или любого AV), а конкретного юзера.
То что не соглашаетесь - ваше право, но порядок загрузки заложен в OS. Учитываю это какой бы вас вариант устроил?
P.S. Да и по поводу "без проактивки". Вы видимо не совсем поняли: вам дают два исчерпывающих варианта, проактивка блокирует неизвестное (интересно как неизвестное попало в автозапуск) или не блокирует (это как раз чтобы не было как у вас с OutPost). Так что всё работает и проактивная защита тоже. Просто дали опцию которая это регулирует, а могли бы и не дать.
Еще раз повторю, то что GUI 2 секунды (у меня меньше) с момента запуска не загружен не говорит о том, что проактивная защита не действует, она запускается как сервис, до входа пользователя и работает. Это два разных процесса, запущенные от разных пользователей.

Сейчас проверил.
"Блокировать неизвестные запросы, если приложение закрыто."

Эта опция помогла. То что явно не разрешено в правилах не запустилось. При этом когда я снял эту галку, удалил правила и перезапустил комп, то 7+ Taskbar Tweaker также не запустился пока я не добавил правила для него.

Допустим этой настройки нет.
Запускается ОС и до входа пользователя грузятся службы комодо.
Которые что-то контролируют.

При входе грузится гуй комодо. При этом пока он не загрузился арлетов хипса не возникает и неопознанные программы могут делать что хотят. И в чем же тогда заключается работа сервиса хипс?

П.С. галка с "Блокировать неизвестные запросы, если приложение закрыто" снята, но WinDjView.exe не грузится теперь из Автозагрузки.
Не знаю по какому принципу эта опция работает... как-то видно запоминает для уже установленных приложений.

Dementei

Цитата:

При входе грузится гуй комодо. При этом пока он не загрузился арлетов хипса не возникает и неопознанные программы могут делать что хотят. И в чем же тогда заключается работа сервиса хипс?

Все правила, предустановленные ли, режим обучения ли действуют до загрузки GUI, как и файрвол, av-сканнер. Для неизвестных предоставляется вариант выбора ("защита от дурака"). Что тут может быть непонятно?
P.S. Да и сервис не только hips, сервис отвечает за всё.

Добавлено:

Цитата:

П.С. галка с "Блокировать неизвестные запросы, если приложение закрыто" снята, но WinDjView.exe не грузится теперь из Автозагрузки.

Смотрите список недоверенных. Если там переносите в доверенные.

private_joker

Цитата:

Это не проблемы Comodo (или любого AV), а конкретного юзера.

ЕМНИП, что-то вроде такого было у какой-то версии каспера, только та версия до загрузки GUI сравнительно легко вообще убивалась напрочь (хотя тут и есть нюанс - зловред сначала должен обеспечить свой запуск с системой, но дырка все равно солидная). В любом случае превращение AV в неповоротливого монтра выглядит некрасиво (вспомнился Catalyst Control Center, который со сравнительно бедным функционалом запускается просто адово)

Цитата:

Учитываю это какой бы вас вариант устроил?

Оптимизация работы? Не задумывался. Нюанс есть, про проблему с ним пока ничего не встречал, в этой теме обсуждение не получилось, угроза, как мне кажется, может быть в случае загрузки уже скомпрометированной ОС или очевидного неумного действия пользователя. В общем, при таких если лично для себя проблемой не считаю, т.к. сталкиваясь преимущественно со слабыми машинами привык ждать полной загрузки ОС.

Dementei

Цитата:

На моем рабочем компе комодо почему-то стартует не быстро.

В настройках проактивки пункт Адаптировать режим работы при низких ресурсах системы не отмечен?

Skif_off

Цитата:

В любом случае превращение AV в неповоротливого монтра выглядит некрасиво

Казалось бы, причем тут порядок загрузки системы...


Цитата:

вспомнился Catalyst Control Center, который со сравнительно бедным функционалом запускается просто адово

Там "морда" написана на C# (дотнет), у Intel Matrix Storage тоже, отсюда и неспешность. Но это офтопик всё.


Цитата:

Нюанс есть, про проблему с ним пока ничего не встречал, в этой теме обсуждение не получилось, угроза, как мне кажется, может быть в случае загрузки уже скомпрометированной ОС

Это уже другой класс программ, бэкап/востановление данных. У Comodo тоже есть, но не пробовал не знаю.


Цитата:

Оптимизация работы? Не задумывался.

Вопрос в общем риторический был. Что-то иначе сделать не получится. Есть определенный порядок вещей.

private_joker

Цитата:

Для неизвестных предоставляется вариант выбора ("защита от дурака")

Имеется в виду, что неизвестные приложения просто запускаются в этом режиме защиты от дурака?

Хе хе я теперь и не знаю как его вернуть этот режим. Т.к. снятие галки с "Блокировать неизвестные запросы, если приложение закрыто" и перезагрузка компа не помогают, комодо блокирует запуск неизвестных приложений. Вообще мне это и нужно было.


Цитата:

Смотрите список недоверенных. Если там переносите в доверенные.

Да мне собственно и надо чтобы не грузились неизвестные приложения. Это логично. Не понятно почему они не грузятся теперь и со снятой галкой "Блокировать неизвестные запросы, если приложение закрыто".

Как я уже писал, список недоверенных приложений не заполняется если выключен сандбокс.

Skif_off

Цитата:

В настройках проактивки пункт Адаптировать режим работы при низких ресурсах системы не отмечен?

Вообще HIPS выключал... возможно это из-за старой ОС, возможно из-за того что раньше 5 версия комодо стояла. На этой ОС и быстрое сканирование зависает... Пробовал комодо и переустанавливать. Да и фиг с ним.

private_joker

Цитата:

то что GUI 2 секунды (у меня меньше) с момента запуска не загружен не говорит о том, что проактивная защита не действует, она запускается как сервис, до входа пользователя и работает

Как она работает, если в загруженной системе в параноидальном режиме при отсутствии правила получаю алерты, но при загрузке ОС есть пауза, в которой я могу творить все что захочу (или успею)?

Цитата:

Казалось бы, причем тут порядок загрузки системы...

Речь шла в т.ч. и о скорости загрузки ОС И тут разжирневшие AV добавляют.
Насчет "морды" на C# - просто пример сомнительных решений в разработке.

Кстати, опция Блокировать все неизвестные запросы, если приложение закрыто по умолчанию в 5.х не включена ни в одной из конфигураций, что как бэ подразумевает - защита будет пахать, даже если пользователь нажмет в трее ПКМ/Выйти, а не нюансы в процессе загрузки ОС.

Dementei

Цитата:

Имеется в виду, что неизвестные приложения просто запускаются в этом режиме защиты от дурака?

Они (приложения) не запускаются "в режиме", они либо запускаются либо нет. Если излишне грамотный юзер не разобравшись в функционировании софтины в частности и windows в целом, поставит "параноидальный" режим и загрузится с неработающими компонентами, будет виноват... COMODO. Поэтому галочка по умолчанию не стоит. В этом и есть защита "от дурака".


Цитата:

Хе хе я теперь и не знаю как его вернуть этот режим. Т.к. снятие галки с "Блокировать неизвестные запросы, если приложение закрыто" и перезагрузка компа не помогают, комодо блокирует запуск неизвестных приложений. Вообще мне это и нужно было.  

Смотрите в "политике безопасности" есть ли те приложения и в "недоверенных". И в логи тоже заглядывайте, когда что-то у вас не работает.


Цитата:

На этой ОС и быстрое сканирование зависает... Пробовал комодо и переустанавливать. Да и фиг с ним.

Системный журнал на предмет ошибок проверьте, если у вас загружается GUI минуту(!), сдается мне что что-то не так. И выполните "Диагностику" в Comodo.




Добавлено:
Skif_off

Цитата:

Как она работает, если в загруженной системе в параноидальном режиме при отсутствии правила получаю алерты, но при загрузке ОС есть пауза, в которой я могу творить все что захочу (или успею)?

Вы внимательно читаете то, что я пишу? http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=4300#20

Цитата:

Все правила, предустановленные ли, режим обучения ли действуют до загрузки GUI, как и файрвол, av-сканнер.

Загляните в "доверенные", "политики безопасности" все правила что уже записаны работают и без GUI. Туда же относится режим обучения, т.е. правила создаются. Можете щелкнуть на иконке COMODO в трее нажать "Выйти" и убедится. Сервис будет работать и выполнять функции не требующие интерактивности, там же где требуется он будет руководствоватся тем, стоит ли галочка на "Блокировать..." или нет. А GUI нужен только для интерактивных действий.


Добавлено:

Цитата:

Кстати, опция Блокировать все неизвестные запросы, если приложение закрыто по умолчанию в 5.х не включена ни в одной из конфигураций, что как бэ подразумевает - защита будет пахать, даже если пользователь нажмет в трее ПКМ/Выйти

Ну вот теперь понимаете.

private_joker

Цитата:

Вы внимательно читаете то, что я пишу?

Могу задать аналогичный вопрос
Ситуация 1.
Параноидальный режим, автосоздание правил отключено, опция Блокировать все неизвестные запросы, если приложение закрыто отключена (по умолчанию во всех конфигах), система полностью загружена, значок Comodo в трее:
запускаем exe'шник для которого нет никаких правил - получаем алерты, проактивка работает, так?

Ситуация 2.
Параноидальный режим, автосоздание правил отключено, опция Блокировать все неизвестные запросы, если приложение закрыто отключена (по умолчанию во всех конфигах), загрузка системы, значок Comodo в трее еще не появился:
запускаем exe'шник для которого нет никаких правил - не получаем алерты. Вы говорите - проактивка работает, по факту - нет.
Баг? Нюанс работы? Если, как говорится, не щелкать лицом, то вроде и не баг.


Цитата:

Ну вот теперь понимаете.

Тут я вел речь только о том, что опция предполагается для ситуации, если пользователь по каким-то причинам закрывает GUI, но желает сохранить защиту, а не для защиты в паузе до загрузки GUI.

Поставил 6-ю версию (только антивирус) на слабенький компьютер, игрался с оптимизацией и шутки ради попробовал удалить процесс cavwp.exe,что, к моему удивлению, мне удалось. плюс 25 метров свободной памяти, конечно, неплохо (особенно если их всего 512), но не чревато ли это последствиями? антивирус и проактивка похоже и не заметили удаления процесса.
На оффоруме народ предположил что процесс необходим для создания кэша во время простоя, но полного описания функций я не нашел. при отключеной галочке кэширования процесс при старте все равно создается.
Сдаётся мне, придется его таскиллом в автозагрузке "усмирять"..

Skif_off

Цитата:

Могу задать аналогичный вопрос

Я как раз понял что вы хотите сказать, и попробовал объяснить почему так, но вероятно переоценил свои силы. Каюсь


Цитата:

Баг? Нюанс работы? Если, как говорится, не щелкать лицом, то вроде и не баг.

В чем именно баг? В том что как написано так и получается?


Цитата:

Вы говорите - проактивка работает, по факту - нет.

[Устало] OMG... По какому факту? Все правила что есть работают. Проактивная это не значит интерактивная. А вывод запроса, это совершенно другое. Если правая рука не знает что творит левая ставите галочку, в противном случае нет. Уверены что не работает проактивка - поставьте winlogon.exe в запрещенные, потом расскажите как прошло (не надо так делать, если нет бэкапа).


Цитата:

Тут я вел речь только о том, что опция предполагается для ситуации, если пользователь по каким-то причинам закрывает GUI, но желает сохранить защиту, а не для защиты в паузе до загрузки GUI.

Работает всё аналогично.
P.S. Вы в общих чертах отличие сервиса от пользовательского процесса в автозапуске представляете?

private_joker

Цитата:

Работает всё аналогично.

Согласен, только не делается акцента "я прикрою твою ОС пока она не догрузила мои картинки"

Я всего лишь обратил внимание на то, что есть ситуация, когда при формально включенной проактивной защите она не работает, пусть и считанные секунды. При этом понимаю, почему такая ситуация возможна (и чем отличается сервис от пользовательского процесса в автозапуске тоже ).
Баг или не баг, мне, в общем-то, наплевать - я не пострадал и описанных случаев скомпрометированной системы по этой причине не встречал, но факт от этого никуда не делся.

Skif_off

Цитата:

Я всего лишь обратил внимание на то, что есть ситуация, когда при формально включенной проактивной защите она не работает, пусть и считанные секунды.

Я предполагаю что термин "проактивная" вы воспринимаете однобоко, поэтому у вас складывается впечатление, что "не работает".
То о чём вы говорите, лишь одна из частей проактивной защиты - HIPS. И лишь один из вариантов его работы - интерактивный (правила работают). И лишь с одним условием (галочка), которое действует как описано. И при том, что если отключены (вручную!) другие части проктивной защиты - песочница например.
Но даже в эти 2 секунды, работает эвристика и сигнатурный скан (если av работает). Но вы можете отключить и их тоже

Skif_off, тоже самое наблюдается даже в "платной" версии... так что совсем возможно что
это и баг...

private_joker

Цитата:

Я предполагаю что термин "проактивная" вы воспринимаете однобоко, поэтому у вас складывается впечатление, что "не работает"

В рамках этой ветки форума никакой однобокости - под проактивкой обычно подразумевают HIPS, под песочницей - песочницу, хотя и то, и другое - элементы проактивной защиты.
И именно не работает: до значка в трее не работает, а чуть подождал и на той же системе, с той же версией Comodo, с тем же файлом и тем же пользователем - алерты

Цитата:

То о чём вы говорите, лишь одна из частей проактивной защиты - HIPS. И лишь один из вариантов его работы - интерактивный (правила работают).

Да фиг с ними, с правилами Задача-то - тормознуть и представить на суд пользователя то, для чего нет правил. Сейчас начнем очередной круг

aRLi
Так и должно быть, платная версия, кажется, отличается наличием техподдержки + что-то с Wi-Fi?

private_joker

Цитата:

И лишь один из вариантов его работы - интерактивный (правила работают). И лишь с одним условием (галочка), которое действует как описано. И при том, что если отключены (вручную!) другие части проктивной защиты - песочница например.

Так песочница тоже не срабатывает. Пока гуй комодо не загрузился все проги стартуют с полными правами. И им пофиг, что до входа пользователя загрузились службы комодо После загрузки гуя стартуют в песке.

Вообще на сколько я понял в комодо есть как минимум три варианта работы HIPS.

1. По умолчанию. Запускать все проги для которых нет правил при загрузке. И не важно доверенные они или нет.
HIPS - безопасный или параноидальный
Блокировать все неизвестные запросы, если приложение закрыто - отключено

2. Блокировать все неизвестные проги для которых нет правил при загрузке.
HIPS - безопасный или параноидальный
Блокировать все неизвестные запросы, если приложение закрыто - включено

3. Блокировать все для чего нет правил.
HIPS - параноидальный
Блокировать все неизвестные запросы, если приложение закрыто - включен

Т.е. будет блокироваться все для чего нет правил и если удалить предопределенные политики комодо в HIPS по идее не возможно будет загрузить винду.


И как я понимаю именно из-за этого галка "Блокировать все неизвестные запросы, если приложение закрыто" не стоит по умолчанию?


Остается тока вопрос. Почему комодовцы не сделали вариант, при котором все доверенные приложения будут разрешены при загрузке в любом режиме HIPS, что в безопасном, что в параноидальном, а все неопознанные приложения будут запрещены.
Не было бы проблем вообще.

Или я чего-то не понимаю и написал чушь?

Dementei

Цитата:

И как я понимаю именно из-за этого галка "Блокировать все неизвестные запросы, если приложение закрыто" не стоит по умолчанию?

Именно так, но доходить до этой мысли гораздо интереснее опытным путем Только еще автосоздание правил надо отключить.

Суть в том, что проактивная защита (и HIPS, и песочница) завязаны плотно не только и не столько на драйвер и службу, но и в том числе на всё то, что грузится вместе с графическим интерфейсом. И это правильно - HIPS должен что-то делать если функция перехвачена, но правила нет, только механизм предоставления выбора пользователю еще не загружен и отсюда пауза (при выключенном автосоздании правил по крайней мере). С песочницей, вероятно, аналогично.

Опция Блокировать все неизвестные запросы, если приложение закрыто здесь отчасти выручает, но задумана она (по крайней мере так презентуется) на случай если по каким-то причинам GUI был вырублен (ведь инфы о паузе в работе до появления значка в трее нет ни при установке, ни в настройках) и поэтому вылезает предупреждение

Цитата:

Эта опция предназначена только для систем, инфицированных большим количеством вредоносных программ.
В этом режиме многие легитимные приложения могут быть заблокированы или изолированы и он не рекомендуется для постоянного использования.
Вы все равно хотите продолжить?

Фаер же пашет, потому что для него эта опция включена по умолчанию (ее нет в настройках, но если судить по поведению).

Наверное, проблем все это не вызывает, ибо большинство пользователей использует антивирь, родной или сторонний, и/или не успевает ничего натворить.

Я вообще попробовал следующее.
Переключил HIPS в параноидальный режим.
Удалил все правила из HIPS.

Перезагрузил комп.
Что есть галка "Блокировать все неизвестные запросы, если приложение закрыто", что ее нет, результат один.
Вин7 грузится и все. Могу только вызвать по пкм меню на рабочем столе. Все остальное не отвечает. Арлетов никаких нет. Винда труп

Не понимаю тогда где защита от дурака И почему же эта опция не установлена по умолчанию. Как комодовцы не включая ее хотели уберечь систему от дурака? Пример бы

Да и вообще опция называется некорректно. Назвали бы ее "Блокировать все неизвестные запросы, если comodo не запущен" было бы понятнее. Я вообще под приложением понимал не comodo, а какие-то другие программы.

П.С.

Цитата:

Уверены что не работает проактивка - поставьте winlogon.exe в запрещенные, потом расскажите как прошло (не надо так делать, если нет бэкапа).

Убил загрузку винды этим При том галка "Блокировать все неизвестные запросы, если приложение закрыто" не стояла. Все еще хочу получить пример, почему эта галка не стоит по умолчанию. Т.к. убиваю винду комодо и без нее без проблем. Где та самая защита от дурака

П.С.2
Про то, что в контекстном меню нет пункта управления HIPS. Вообще это меню отличается в режиме краткой и подробной сводки. Вот бы кто написал в английской ветке просьбу добавить пункт HIPS в меню при активной расширенной сводке.

Цитата:

aRLi
Так и должно быть, платная версия, кажется, отличается наличием техподдержки + что-то с Wi-Fi?

...да и только, а больше всё, кажись, абсолютно идентично, Skif_off. Спасибо.

Dementei

Цитата:

Убил загрузку винды этим При том галка "Блокировать все неизвестные запросы, если приложение закрыто" не стояла.

Так и должно быть - ведь правило есть и опция Блокировать все неизвестные запросы, если приложение закрыто тут значение не имеет.
Если исследовательский зуд не угас - убейте в автозагрузке "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h, поставьте галочку, грохните правила (параноидальный режим, автосоздание правил отключено, список доверенных файлов очищен) и ребутните.

З.Ы. Оговорюсь, с себя ответственность снимаю - система Ваша, решения Ваши

В параноидальном режиме если удалить все правила в любом случае будет плохо.
Я же на виртуалке экспериментировал.

Короче на комодовском форуме привели пример.

Допустим с этой опцией не будет стартовать Fraps. Хоть это и доверенное приложение.

А из-за того, что запускается через taskeng.exe (Обработчик планировщика заданий). Видно HIPS выкидывает запрос когда доверенное приложение пытается запустить доверенное (если нет правил).

В правиле для taskeng.exe прописываем исключение на запуск Fraps и нет проблем.


П.С. вот такой запрос в параноидальном режиме работы если запустить эту задачу в планировщике.


В безопасном режиме запроса никакого нет и идет сразу запуск. Почему в безопасном режиме комодо блокирует автозапуск Fraps для меня загадка. Либо это не доработка либо есть какие-то нюансы о которых я не знаю.

Dementei

Цитата:

В параноидальном режиме если удалить все правила в любом случае будет плохо.

Это был наглядный пример в ответ на:

Цитата:

Как комодовцы не включая ее хотели уберечь систему от дурака? Пример бы

Цитата:

В безопасном режиме запроса никакого нет и идет сразу запуск. Почему в безопасном режиме комодо блокирует автозапуск Fraps для меня загадка.

Не уловил мысль, по идее в безопасном режиме не должно быть запроса, если приложение доверенное (есть в списке Зашита+/Доверенные файлы).

Добавлено:
Опция Создавать правила для безопасных приложений тоже может иметь значение.

HIPS в безопасном.
Мысль в том, что если ручками из планировщика задач запустить Fraps то он стартует без запросов.
Но при загрузке винды Fraps не стартует пока не создашь правило для taskeng.exe, в котором не пропишешь в исключениях Fraps.

Т.к. стоит галка "Блокировать все неизвестные запросы, если приложение закрыто", то все неизвестные запросы блокируются. Но запуск Fraps это известный запрос, точнее запроса просто в безопасном режиме работы HIPS нет (не должно быть), но комодо блочит запуск Fraps все равно.

Dementei
"Block all unknown requests if the application is closed", возможно, имеет значение "Блокировать запросы, для к-рых нет правил" (смысловые тонкости перевода - та еще головная боль). Тогда все становится вполне логичным.

XenoZ

Цитата:

"Block all unknown requests if the application is closed", возможно, имеет значение "Блокировать запросы, для к-рых нет правил"

Никак не может быть такой перевод. Предложение очень простое и никакой двусмысленности в нём нет и быть не может.

ramzes6
Цитата:

Никак не может быть такой перевод. Предложение очень простое и никакой двусмысленности в нём нет и быть не может.

Отнюдь. "Блокировать неизвестные запросы" может означать как "блокировать запросы неизвестных приложений", так и "Блокировать неизвестные запросы" непосредственно, т.е. запросы, к-рые неизвестны - для к-рых не заданы разрешения.

Почему оно не спрашивая, тупо выпускает в Инет всё подряд? Сообщения включил, перебирал разные режимы - и пользовательский и обучения. Раньше было - запускаю впервые программу, он спросит - пускать её в Инет или нет. Запоминает. А теперь всё молча разрешает. Удалял правила на программы, но он и без правил их выпускает, даже не моргая. И новых правил на них не создаёт! Что-то они намудрили... ХР 32 SP3.

Кстати, при установке есть опция что-то вроде "Позволить Comodo самостоятельно принимать решение, не задалбывая пользователя" (не помню как дословно, на той же вкладки инсталятора, где галка "Проактивная защита"), после установки эту опцию можно включить/выключить? В виртуалке ставил с ней и без нее - в настройках потом никаких различий не обнаружил, странная опция.

И еще один момент: при установке Comodo Firewall встроенный нужно отрубать? В WinXP автоматом отрубался, в Win7-8 - работает.

Skif_off

Цитата:

при установке Comodo Firewall встроенный нужно отрубать?

Нужно.