emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору XenoZ 10:33 12-02-2015 Цитата: Никакого парадокса, просто лажовость анализа ком. строки + лажовость взаимодействия отдельных модулей, в данном случае, меньше повлияло на результат. | Само собой — упомянутая «надежность» является просто наслоением багов. Иначе поведение зависело бы от опции «Обнаруживать программы, требующие повышенных привилегий». Цитата: Хотя и в этом случае виртуализация не пресекает выход тестового приложения в сеть, так что большая надежность тут под сомнением. | Согласен, особенно если учесть возможность виртуальной подмены и запуска интерпретатора, которая не затыкается HIPS'ом. Однако в CIS 8 можно извратнуться следующим образом: сочетать виртуализацию с уровнем ограничений «Недоверенное». В этом случае, даже если программа произведет виртуальную подмену интерпретатора, она не сможет его запустить. Если же пользоваться режимом блокировки, то придется уповать на правила HIPS, запрещающие запуск файлов с именами интерпретаторов. Проблема в том, чтобы перечислить все эти имена: java.exe, javaw.exe, hh.exe, winhlp32.exe, cmd.exe, wscript.exe, cscript.exe, mshta.exe, msiexec.exe, rundll32.exe... Важный вопрос ко всем: не упустил ли я чего? Если упустил — то в режиме блокировки файл с таким именем запустится в реальной среде. В режиме виртуализации он, да, таки выйдет в сеть, но хоть не нагадит в системе. Впрочем, блокировка ярлыков средствами SRP снимает львиную долю угроз. Цитата: Именно... Добавлено: All Насчет моего вопроса — даю инструкцию, как искать имя интерпретатора. 1. Создать любой exe-файл, можно тупо sfx-архив 2. Назвать его предполагаемым именем интерпретатора а-ля interpreter.exe (hh.exe, java.exe...) 3. Создать рядом с этим файлом батник test.bat, содержащий единственную строку Код: Вместо interpreter.exe подставить предполагаемое имя. 4. Вызвать на батнике контекстное меню и выбрать пункт «Запустить в Comodo Sandbox» 5. Открыть список изолированных процессов: главное окно CIS > нажать на индикатор «Изолировано в Sandbox» Внимание! Делать это только после запуска батника. 6. Если в этом списке присутствует calc.exe — вы нашли недостающее имя! Сообщите, пожалуйста, его. В награду узнаете простой способ запуска неопознанных батников : ) (Наподобие указанного в баг-репорте, но чуть другой.) Просьба сообщать найденное имя публично, calc.exe не предлагать) | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 15:02 12-02-2015 | Исправлено: emhanik, 16:53 12-02-2015 |
|