Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Internet Security

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93

Открыть новую тему     Написать ответ в эту тему

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части >>> 1 >>> 2 >>> 3 >>> 4 >>> 5 >>> Все части

Архив: Comodo Firewall Pro 2.4 | Comodo Firewall Pro 3.0 | Comodo Internet Security 3.14 | Comodo Internet Security 4

Официальный сайт: www.comodo.com
Страница CIS на официальном сайте COMODO
 
Внимание!
Сайт comodorus.ru НЕ является официальным сайтом COMODO!
comodorus.ru распространяет не оригинальные дистрибутивы CIS, а «свои» - перепакованные, с добавлением программ от сторонних производителей! Всегда скачивайте дистрибутивы только с официального сайта, которым является www.comodo.com
Не дайте себя обмануть!


Comodo Internet Security Premium 12
 
   
Firewall Protection | AntiVirus Software | Proactive Security | Sandbox | Behaviour Blocker
Cloud & Rating Technology | Viruscope | Website Filter | Secure Shopping + Internet Security Essentials

 
Последняя версия: 12.1.0.6914 (оффлайн-установщик) | онлайн-установщик | Release Notes | Обсуждение Comodo Cloud Antivirus

Системные требования: XP 32bit, Vista/Win7/Win8/Win8.1/Win10 32 bit & 64 bit, 152 MB RAM / 400 MB свободного места на диске.
 

Скачать последние версии соответствующих линеек

Comodo Internet Security Premium 10: 10.2.0.6526 (web.archive)
Comodo Internet Security Premium 10: 10.0.2.6420 (Dropbox. Не добавляет в реестр ключ QualityCompat)
Comodo Internet Security Premium 8: 8.2.0.4792 (WinXP SP3) (Dropbox) | 8.4.0.5165 (Dropbox) (UPLOAD) (MEGA)
Comodo Internet Security Premium 7: 7.0.317799.4142 (Dropbox)
Comodo Internet Security Premium 6: 6.3.302093.2976 (Dropbox) | Обновление с версии 5.x до 6.3
Comodo Internet Security Premium 5: 5.12.256249.2599 | 5.10.228257.2253, 5.12.256249.2599 (Dropbox)

Блог о Comodo | Нюансы использования...  (v8) | Обсуждение на оф. форуме: англоязычное, русскоязычное.

Примеры правил и принципы работы фаервола в CIS:
Принцип фильтрации пакетов | Использование маски (* и ?) в правилах
Наборы портов | Сетевые зоны | Предопределённые политики фаервола
Примеры правил, которые были написаны ещё для CIS 3.14, но всё равно могут быть использованы и для последующих версий

Особенности работы COMODO со сторонними антивирусами: объяснение 1 и 2; пример 1 и 2.

Дополнения и советы:
1.  Использование символа "|" в конце пути/файла/маски "Защищенных файлов и папок" CIS.
2. Comodo Leak Test и ему подобные - как правильно проходить. А о результатах правду скажет procmon.
3. Антивирусные базы: скачивание и обновление антивирусных баз вручную.
4. Онлайн анализ подозрительных исполняемых файлов: ссылка-1 + ссылка-2.
5. Межпроцессорный доступ к памяти. Добавление приложения в список исключений.
6. Перенос настроек (конфигурационного файла) COMODO
7. ВАЖНО! При офлайн обновлении версии CIS компьютер остаётся не защищён и удаляются базы.
8. При некорректном удалении Комодо может возникнуть проблема с очисткой реестра. Возможное решение...
9. Как установить только фаервол из дистрибутива cispremium_only_installer.exe (с использованием ключей командной строки или батника): об этом коротко или развернуто.
10. Удалить или отключить ненужные задания планировщика Windows, созданные COMODO при его установке (они предназначены для сбора телеметрии и прочих прелестей:
http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1260#21  
http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1320#7
 


Рекомендуется при описании проблемы указывать версию операционной системы и тип подключения к интернету.
Иначе помочь будет трудно, т. к. телепаты опять в отпуске или в клубе телепатов.    


Всего записей: 36140 | Зарегистр. 26-02-2002 | Отправлено: 00:20 10-12-2016 | Исправлено: Kovu, 01:14 22-10-2019
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
По сути вам надо разрешить запуск и активность файлов firewall.cpl и WININET.dll  
Вы можете сделать системные файлы доверенными или исключить их из автопесочницы по маске (не знаю, какая именно маска вам нужна)  

Не совсем, мне нужно ограничить некоторые потенциально опасные системные функции, более подходящий тут пример - стрОки с использованием regsvr32.exe и различные powershell команды.

Цитата:
Логика там есть и учет разных факторов оправдан.  
Другое дело, что портит картину скрытость и неотключаемость «списка чистых файлов». Когда-то я просил сделать его отключаемым, но увы.  
Этот список как-то связан с антивирусным модулем, Comodo обращается к нему, даже если антивирус как будто не установлен. Можно сдампить внутреннюю базу в файл (есть такая скрытая фича для отладки), но этого списка там не будет.  

Я не спорю, что обывателю все это хозяйство, наверное, жизненно необходимо, но меня смущает, как я уже написал, его непрозрачность и отсутствие возможности избавиться от этого "добра". Тут наша точка зрения совпадает.

Цитата:
 
Вот до 10-й, вернее, 8.2.какой-то версии рейтинг был по-настоящему дырявым. Сейчас переработан.

Проблема в самой реализации, что есть какая-то система, которая тебе спускает свыше решение сделанное по неизвестно каким критериям. Не знаю, как вы, а я реально сомневаюсь, что сидят специалисты из Comodo и исследуют каждый файл индивидуально, скорее всего это какая-то болванка на базе статистики и доверенных подписантов, что само по себе не хорошо, потому что закрытые ключи можно украсть, как и было с  RealTek и JMicron.

Цитата:
Ох... Бритва Хэнлона рулит.  

В подобных вопросах мне больше импонирует закон Мерфи и его следствия.
А так, я бы в это поверил как бы не весь остальной дизайн Comodo, просто такой перекос слишком бросается в глаза.  
 
Farik90

Цитата:
По поводу "белого листа": для этого есть правило "все программы" в самом низу списка правил. Я и сам многое туда добавил.  

Не совсем понял, как это применимо к моему случаю.

Цитата:
В чем проблема очистить базу или сразу настроить как надо? У меня все прозрачно, ручной режим, тут такое есть, да.  

В том что есть скрытая база, которая непонятно где и как существует, и видимо благодаря которой у меня левый файл сразу становится "доверенным". Кстати, этого не происходит, если включено облако, то же лишний повод задуматься. Впрочем тут я пишу про 10ю версию, 8ю версию не пробовал.

Цитата:
1) Целостность файлов программ достигается отсутствием прав админа у просто юзера и его программ - банальная истина для любого админа.  

Я не админ и не программист, по крайней мере профессионально этим не занимаюсь. Но даже я понимаю, что есть уязвимости позволяющие выполнить повышение привилегий. И ради всего святого не пишите, что нужно ставить патчи, тогда все будет ОК. Не будет, всегда есть ZDV, и собственно говоря от них я весь этот огород и горожу. Если бы я рассчитывал, что собственные средства безопасности приложений и ОС способны справиться с различными угрозами, я бы ими и пользовался сейчас. Раньше, к слову я так и делал - ограниченный пользователь, AppLocker с жесткими, настроенными вручную, политиками, набортный фаэрволл с контролем трафика в обе стороны.

Цитата:
3) Ну допустим, злобный хакер, у которого есть пароль админа, сел за ваш комп, пока вы отвернулись и подменил недоверенный файл, который контролируется созданным правилом. Какая, к черту разница? Он ограничен правилом, а значит не сможет навредить (правило "разрешить все" не рассматриваем).  

Если вы думаете, что запороленная учетка админа вас защитит - не буду вас разубеждать. Что до правила, то о каком контроле идет речь? У многих приложений есть карт бланш на сетевой доступ как минимум с возможностью чтения ФС, этого уже достаточно.
Да и речь сейчас даже не о практической атака, а о ее возможном векторе, который должен быть закрыт, если все делать по уму.

Цитата:
4) Делаем доверенной и запрещаем все ненужные активности: вуаля, права программы урезаны только нужными, при этом после подмены она лишится даже их.

Вариант возможный, но не совсем то, что мне нужно. В некоторых случаях я хочу принимать решение на месте, а не запретить все задним числом.

Цитата:
5) После каждого обновления будете заново вручную назначать прогам рейтинг доверенных по хешу? Ну-ну.  

У меня мало софта, который постоянно обновляется, поэтому обновить хэши на то, что обновилось абсолюно не проблема. Впрочем, чего я распинаюсь, если вы никогда не пользовались anti-exec'ами, то вы не можете знать, что это занимает минут 5 времени от силы на средний набор программ.

Цитата:
Не доверяете рейтингу - ставьте параноид режим, целостность контролируется пунктами 1, 2, 3.  

Ответил выше.

Цитата:
Если программа системная или требует больших прав, то наверняка подписана, и можно не заморачиваясь добавить ее по подписи, ибо какой смысл пытаться ее ограничить.

Действительно, какой смысл. После этого я думаю, что можно и не продолжать, все равно мы друг друга не поймем, а тратить свое время на объяснение почему иногда это нужно и почему это нужно лично мне я не собираюсь.

Цитата:
SRP политики позволяют сделать белый лист разрешенных к запуску по хешу - но так никто ни делает.  

Не понял суть данного высказывания.
Я так делал на XP, на 7ке и на 2008r2 использовал уже AppLocker, и каюсь, создавал правила и по ЦП. И я далеко не один такой.

Цитата:
Моим браузерам не разрешено запускать файл virus.exe из папки temp.

Если вы думаете, что это единственный способ запустить payload, мне также нечего сказать, точнее не хочется, потому что писать придется много, да и на благодарного читателя вы не похожи, а это значит, что я потеряю свое время впустую.

Цитата:
Bluegem, судя по последнему сообщению, вы высказываете уже свои убеждения, а не вопросы/проблемы, а значит использовать хипс не собираетесь. Как я и предупреждал, хипс не для простого юзера. Но тогда кому и что вы доказываете?

Не понял, что вы имели в виду. Что до меня, то я тестирую Comodo  на предмет пригодности для своих задач, если чего-то не знаю - спрашиваю, если что считаю плохо сделанным - так и пишу. Вам же я отвечаю на адресованные мне сообщения, доказывать я вам ничего не собирался и не собираюсь, со временем либо вы сами все поймете, либо вам это не нужно.

Всего записей: 240 | Зарегистр. 03-10-2009 | Отправлено: 00:19 17-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem 00:19 17-07-2017
Цитата:
более подходящий тут пример - стрОки с использованием regsvr32.exe и различные powershell команды

Бесфайловые PowerShell-скрипты Comodo контролирует, и вы можете исключить их из автопесочницы (но только все сразу), чтобы по каждому случаю принимать решение в оповещениях хипса.
Насчет regsvr32.exe — нужно будет разрешить файлы, которые указываются в командной строке.

Всего записей: 774 | Зарегистр. 18-12-2011 | Отправлено: 01:24 17-07-2017 | Исправлено: emhanik, 01:39 17-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Запароленная отдельная учетка, в которой вы не авторизованы после последней загрузки (ибо давно существует Mimikatz (хм, а не нужны ли ему разрешения хипс для вытягивания?)).  
Повышение привилегий на 90% относится к UAC, даже ms в ответ на репорт официально ответили что UAC не является средством безопасности. Существует два десятка только известных нам методов обхода, из которых как минимум два под каждую версию ос не закрытых последними обновами. Если вы знаете работающий способ для отдельного ограниченного пользователя (тем более с белым списком srp), буду благодарен за ссылку.
"всегда есть ZDV" - полностью согласен, и (о ужас!) не ставлю обновления windows даже после недавних событий.
 
"карт бланш на сетевой доступ как минимум с возможностью чтения ФС"
- все критичное должно хранится внутри криптоконтейнеров (keepass, veracrypt).
Кстати, m.e.doc запускал отдельный payload, хотя петя вроде как мог интегрироваться внутрь программы.Вот тогда бы действительно, хипс не спас бы от утечки и шифрования документов (предполагаю что программе нужен был полный доступ к ним), но спас бы от шифра недокументов и mbr. Но по факту такой интеграции не было. А вы бы, наверняка, после "успешного" обновления, сами ручками сделали новый файл медка доверенным, разве нет?
(вредоносная активность была запрограммирована по таймеру, и изначально ничем себя ни проявляла, благодаря чему успешно обошла недомашние песочницы отделов ИБ)
 
"я хочу принимать решение на месте" - не делайте доверенными. 95% я держу недоверенными, контроль целостности обеспечивается другими методами.
 
"Если вы думаете, что это единственный способ" - я не думаю, бестелесные редкий вид, но опять же они наткнутся на ограничения браузера/эксплорера, отображающего иконки, ха.
 
Повышая градус паранойи, наше общение теряет почву под ногами. Опишите конкретный вектор атаки для предметного разговора. Я писал семплы для проверки своих гипотез, возможно смогу написать и по вашему описанию.
Если же вам известен какой-либо другой достойный хипс - ссылку в студию.
 
Не знаю как вы, а я нахожу прошедшую дискуссию весьма интересной и позволившей мне по новому взглянуть на методы проактивной защиты.

Всего записей: 118 | Зарегистр. 23-05-2011 | Отправлено: 03:25 17-07-2017 | Исправлено: Farik90, 04:41 17-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Бесфайловые PowerShell-скрипты Comodo контролирует, и вы можете исключить их из автопесочницы (но только все сразу), чтобы по каждому случаю принимать решение в оповещениях хипса.  

Спасибо, обязательно протестирую. Я так понимаю у Comodo за это отвечает опция "Выполнять эвристический анализ в командной строке ...", а по какому принципу она работает? То есть допустим на PowerShell был отправлен какой-то код, Comodo по умолчанию блокирует его выполнение и предлагает мне принять решение о его выполнении, так? Интересуюсь потому что какое-то время назад, когда я еще не собирался ставить Comodo на рабочую систему, мне попадалось видео где на машине с Comodo вполне успешно запускали Empire и Comodo никак на это не отреагировал, х.з. правда какие там настройки у него были.

Всего записей: 240 | Зарегистр. 03-10-2009 | Отправлено: 04:25 17-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вы не ошиблись, причем в 10 появилась возможность добавлять "неродные" интерпретаторы (py, autoit, etc).
Принцип таков: файл скрипта считается за отдельный исполняемый файл, т.е. разрешения спрашиваются и правила создаются не для cmd.exe, а для условного script.bat/vbs/wsf/...
Особняком идут бесфайловые скрипты (команды интерпретатору cmd  внутри ярлыка - читайте у kibinimatik'a).

Всего записей: 118 | Зарегистр. 23-05-2011 | Отправлено: 04:38 17-07-2017 | Исправлено: Farik90, 04:48 17-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90

Цитата:
Если же вам известен какой-либо другой достойный хипс - ссылку в студию.

Если бы у меня была серебряная пуля, я бы тут не куковал.

Цитата:
Повышая градус паранойи, наша дискуссия теряет почву под ногами. Опишите конкретный вектор атаки для предметного разговора.

Я вам уже описал и может быть даже не один, другое дело, что вы хотите услышать от меня не вектор атаки, а ее конкретную реализацию, чтобы потом с гордостью заявить какие меры у вас уже приняты, чтобы все это не сработало. В реальности оно происходит немного по-другому и основная задача защищающегося прикрыть все потенциально слабые места, оставляя меньше пространства для маневра.

Цитата:
"я хочу принимать решение на месте" - не делайте доверенными. 95% я держу недоверенными, контроль целостности обеспечивается другими методами.  

Пока то, что вы описываете больше походит на "защиту от изменения" нежели на "контроль целостности".

Цитата:
"карт бланш на сетевой доступ как минимум с возможностью чтения ФС"  
- все критичное должно хранится внутри криптоконтейнеров (keepass, veracrypt).  

А еще лучше на отдельной машине с воздушной прослойкой и аппаратным шифрованием носителей данных, исполняющей нативный код на Эльбрусе, коммуникация с которой будет осуществляться сугубо по BD болванкам.
А если серьезно, не всегда получается, чтобы данные были в недоступном для просмотра криптоконтейнере. И пожалуйста, не пишите как вы можете туда ограничить доступ по процессам, почему - я уже написал выше.

Цитата:
А вы бы, наверняка, после "успешного" обновления, сами ручками сделали новый файл медка доверенным, разве нет?

Нет. Да и такое барахло должно работать в виртуальной среде, пожизненно.  

Цитата:
Запароленная отдельная учетка, в которой вы не авторизованы после последней загрузки (ибо давно существует Mimikatz (хм, а не нужны ли ему разрешения хипс для вытягивания?)).  
Повышение привилегий на 90% относится к UAC, даже ms в ответ на репорт официально ответили что UAC не является средством безопасности. Существует два десятка только известных нам методов обхода, из которых как минимум два под каждую версию ос не закрытых последними обновами.
....
Кстати, m.e.doc запускал отдельный payload, хотя петя вроде как мог интегрироваться внутрь программы.Вот тогда бы действительно, хипс не спас бы от утечки и шифрования документов (предполагаю что программе нужен был полный доступ к ним), но спас бы от шифра недокументов и mbr. Но по факту такой интеграции не было.  

Еще погуглите, много интересного узнаете. )

Всего записей: 240 | Зарегистр. 03-10-2009 | Отправлено: 07:51 17-07-2017 | Исправлено: Bluegem, 07:53 17-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Комод тоже не серебряная пуля, никто не запрещает использовать другие методы вместе с ним. Вы уже третью страницу темы пишите про свое недовольство контролем целосности, не надоело? Такая активность была бы уместнее на офф.форуме, а не тут.
 
"Я вам уже описал и может быть даже не один"
Сферических супер zdv в реальности не бывает. Кто или что подменяет вам файлы, как оно получает права хипс и получает права админа в среде хипс, как может быть запущен измененный исп. файл в среде srp с правилами по хешу? Это тоже не контроль целостности?
 
"А еще лучше на отдельной машине" - вы не поверите, те кого действительно это волнует, так и делают.
 
"И пожалуйста, не пишите" - пишите вы о недоверии неким программам, требующим(?) доступ ко всей фс на чтение и сети одновременно.
Не могли бы их озвучить? Интересно, у себя ни одной такой не нашел.
То, что вы не можете ограничить доступ на чтение, означает только то, что вы не разобрались с возможностями хипс.
 
"Нет. Да и такое барахло должно работать в виртуальной среде"
Вид сбоку: что ограниченная, что запесоченная, вред от такой программы одинаковый: утечка документов по сети и шифрование.
И неплохо бы пояснить, почему нет. Каким образом вы проверите такую программу, прежде чем считать ее "целостной"? Если вы изначально не доверяете программе, то зачем вообще контролировать ее целостность?
 
"Еще погуглите" - интересно что же я гуглил, и что мне погуглить еще?
Погуглить вам предложу я, потому что уже устаю от ламерских вопросов, ответы на которые поданы на блюдечке в мануале даже на русском языке. Кстати, нашу беседу я веду с телефона, и про то, как восстановить работу wmvare, и другие опции пишу по памяти. Беспредметный разговор о сферических уязвимостях в вакууме и "дырках для спец.служб" в комоде на этом заканчиваю, не смею отвлекать Вас от просмотра видеороликов про "взлом" комодо.

Всего записей: 118 | Зарегистр. 23-05-2011 | Отправлено: 09:38 17-07-2017 | Исправлено: Farik90, 10:52 17-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bluegem 04:25 17-07-2017
Цитата:
по какому принципу она работает?

Анализ командной строки и обнаружение внедренного кода
Farik90 04:38 17-07-2017
Цитата:
в 10 появилась возможность добавлять "неродные" интерпретаторы (py, autoit, etc).

К слову, теперь их добавили по умолчанию. С AutoIt'ом, правда, схалтурили (добавили только на уровне конфигурации), потом исправили, но не до конца.
09:38 17-07-2017
Цитата:
ограничить доступ на чтение

Гибкость этой функции оставляет желать лучшего

Всего записей: 774 | Зарегистр. 18-12-2011 | Отправлено: 12:29 17-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"Гибкость этой функции оставляет желать лучшего" - да, но возможность есть.
Или же запускать сетевые программы под отдельным пользователем с тем же уровнем гибкости, либо каждой по программе по пользователю с максимальной гибкостью.

Всего записей: 118 | Зарегистр. 23-05-2011 | Отправлено: 12:56 17-07-2017
NOSS68



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В этой инструкции будет детально прописан процесс поднятия своего локального сервера обновлений Comodo на Windows без использования каких-либо платных компонентов. В отличие от Comodo Offline Updater и аналогов нет необходимости настраивать прокси на стороне клиента...

 
Локальный сервер обновлений Comodo Internet Security

Всего записей: 1213 | Зарегистр. 06-01-2010 | Отправлено: 14:06 17-07-2017 | Исправлено: NOSS68, 14:17 17-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90
Зря вы так ощетинились, я вам предложил вернуться к гуглу без иронии и по делу. Просто достаточно очевидно, что вы слабо себе представляли возможность несанкционированного повышения привилегий в системе до тех пор пока я об этом не упомянул. Это хорошо видно исходя из того, как и с какой уверенностью в ACL ОС, вы ставите задачу(про злого хакера) до и после более плотного ознакомления с данным вопросом. Чувствуется, что вы в процессе поиска, видимо из-за сложившегося ажиотажа, наткнулись на статьи именно с разбором неПети, и нахватались оттуда приемов(не всех), которые использовало именно это вредоносное ПО. Что в итоге и отразилось на условии задачи, которое изменилось задним числом(учетка без логона), чтобы защитится от того о чем вы узнали. Правда этого маловато, по хорошему надо было еще написать про шифрованный или удаленный файл подкачки, про отсутствующий hiberfil.sys, про запрет на загрузку драйверов по белому листу, про защищенный загрузчик, про зашифрованный аппаратно жесткий диск и так далее. По этой же причине вы говорите о времени существования Mimikatz, как о какой-то точке отсчета, не зная, что это всего лишь практическая и не первая реализация старой дыры в Windows. Туда же и обход правил SRP(Applocker), кстати, пои посты про командные строки выше имеют к этому прямое отношение, типа подсказка, что еще погуглить. )
Если вас утомляют ламерские вопросы то не задавайте их, и не читайте их. Я не спорю, я расслабился и интересуюсь у людей тонкостями работы Comodo(хотя с некоторыми тут, не будем показывать пальцем, я продолжаю беседу скорее из вежливости), потому что мне уже порядком надоело ковырять всякие продукты безопасности самому; тем не менее это не повод осыпать меня вопросами в духе "а какое приложение имеет доступ к ФС на чтение и доступ в сеть"(SSH клиентов, FTP клиентов, интерпретаторов, .... у вас видимо нет и вы о них не слышали, или что более вероятно, вам хочется просто подискутировать, жаль только мне не хочется это делать, совсем). И прежде чем писать мне "ага, вы не можете ограничить доступ на чтение, не разобрались с возможностями хипс", еще раз прочитайте все, что я писал, внимательно, потом подумайте, и вы поймете насколько глупо это звучит в контексте всего обсуждения. Это, кстати, не единственный вопрос к которому стоит применить описанный выше алгоритм.  
Вообще вся эта полемика и казуистика по теме "а зачем нужен продукту безопасности, контролирующему активность приложений, надежный(почти, TOCTOU атаки я не рассматриваю сейчас) метод их идентификации" сродни рассуждениям "а зачем нужен программный фаэрволл, когда есть маршрутизатор"... Так же глупо. Тем не менее эта ваша точка зрения, и переубеждать вас в обратном я не буду.
 
На этом и закончим.
 
P.S. Я не третью страницу пишу про свое недовольство, а третью страницу отвечаю вам. И честно - надоело.

Всего записей: 240 | Зарегистр. 03-10-2009 | Отправлено: 17:47 17-07-2017 | Исправлено: Bluegem, 17:53 17-07-2017
Farik90



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не обижайтесь, что я предлагаю вам вернуться к просмотру ютуба. Там как раз информация изложена в доступном вам виде. Устаю знаете ли от товарищей, которые днями мусолят меня своими вопросами, вместо того, чтобы за час изучить матчасть. Достаточно очевидно, что вы слабо себе представляли невозможность несанкционированного повышения привилегий в системе с srp, в которой нет суперпользователя и uac, до тех пор пока я об этом не упомянул. Я считал это известной истиной, пока вы не завели разговор про повышение привилегий, после чего мне пришлось для вас уточнять. Очевидно, что моя уверенность в SRP + ACL не менялась ни на секунду. Снисходительных подсказок диванного експэрта, что мне гуглить вроде не прошу. Мне достаточно памяти, гуглить что-то с телефона ради вас - было все равно что метать бисер, вы зря надеялись.
 
"а зачем нужен продукту безопасности" - заметьте, не мой вопрос. Вам бы лучше спросить разработчиков. Я своей точки зрения еще даже не высказал, я лишь ответил как можно решить ваши проблемы.
 
На этом и закончим.

Всего записей: 118 | Зарегистр. 23-05-2011 | Отправлено: 19:18 17-07-2017 | Исправлено: Farik90, 19:25 17-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
All
На оффоруме появилось сообщение:

Цитата:
после обновления "COMODO Firewall" до версии 10 (10.0.1.6258) заметил файл cmddata (по адресу C:\ProgramData\Comodo\Cis\lmdb\) с огромным размером 12.9 ГБ.
 Каждый день этот файл растёт в размерах примерно на 300...450 МБ, просмотрел  - в него идёт запись но не чтение.

Это очередной косяк Комода или конкретный глюк у конкретного пользователя?

----------
А оно мне надо?..

Всего записей: 5098 | Зарегистр. 29-03-2006 | Отправлено: 06:47 19-07-2017
Ronin666



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
Это очередной косяк Комода или конкретный глюк у конкретного пользователя?

У меня 96 Мб весит...

----------

Всего записей: 3295 | Зарегистр. 27-11-2007 | Отправлено: 08:32 19-07-2017
NOSS68



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
На оффоруме появилось сообщение

Вопрос ему задал на форуме, чтобы он уточнил, как было дело до обновления.
 
Ronin666

Цитата:
У меня 96 Мб весит...

У меня точно так же, с учётом того, что по факту ещё и не отключён АВ и идут обновления баз.  

Всего записей: 1213 | Зарегистр. 06-01-2010 | Отправлено: 09:03 19-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ 06:47 19-07-2017
Цитата:
 Это очередной косяк Комода или конкретный глюк у конкретного пользователя?

Несколько месяцев назад была у кого-то похожая жалоба.
Сам не сталкивался, но мне удавалось создать искусственную ситуацию (совершенно безобидную), при которой этот файл постоянно увеличивался, примерно на несколько гигабайт за несколько часов.
 
Предложу ему переустановить и понаблюдать

Всего записей: 774 | Зарегистр. 18-12-2011 | Отправлено: 13:06 19-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
emhanik

Цитата:
удавалось создать искусственную ситуацию (совершенно безобидную), при которой этот файл постоянно увеличивался

Может, если ситуация воспроизводится, имеет смысл накатать баг-рапорт?

----------
А оно мне надо?..

Всего записей: 5098 | Зарегистр. 29-03-2006 | Отправлено: 17:26 19-07-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Вряд ли там моя ситуация. Я просто запускал «доверенный установщик», создающий и удаляющий файлы с меняющимся содержимым — от их хешей база и распухала.
Но только что поговорил с разработчиком — он уверен, что СУБД в порядке, а виной использование. Мол далеко не первый раз такое.

Всего записей: 774 | Зарегистр. 18-12-2011 | Отправлено: 18:26 19-07-2017 | Исправлено: emhanik, 18:29 19-07-2017
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
emhanik

Цитата:
он уверен, что СУБД в порядке, а виной использование

Т.е., СУБД хорошая, только пользоваться ей нельзя, а то сломается?


----------
А оно мне надо?..

Всего записей: 5098 | Зарегистр. 29-03-2006 | Отправлено: 22:49 19-07-2017
Bluegem

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90

Цитата:
Не обижайтесь, что я предлагаю вам вернуться к просмотру ютуба. Там как раз информация изложена в доступном вам виде.  

Я на глупость уже давно не обижаюсь, по крайней мере стараюсь этого не делать.

Цитата:
Устаю знаете ли от товарищей, которые днями мусолят меня своими вопросами, вместо того, чтобы за час изучить матчасть.

Мне ваше капинтанство помноженное на преступную наивность, будем выражаться мягко, тоже читать без особого интереса, тем не менее природная вежливость и специфика форума обязывает откланяться, поблагодарить и поддержать беседу если нужно. Некоторые люди, к сожалению, принимают это за слабость.

Цитата:
Достаточно очевидно, что вы слабо себе представляли невозможность несанкционированного повышения привилегий в системе с srp, в которой нет суперпользователя и uac, до тех пор пока я об этом не упомянул.

Ну, это не то что очевидно, это и есть моя позиция - я действительно слабо представляю невозможность  несанкционированного повышения привилегий в системе с srp  и ограниченной учеткой без uac, потому что как раз таки знаю о такой возможности, и в некоторых случаях даже знаю как ее реализовать на практике. ) Поэтому тут вы для меня Америки не открыли. ) Что вы имели в виду в данном случае под суперпользователем я честно не понял. Просто обычно, когда говорят суперпользователь в голову сразу приходит рут, но группа администраторы в Windows это совсем не рут.

Цитата:
Очевидно, что моя уверенность в SRP + ACL не менялась ни на секунду.

Учитывая, что вы стали на ходу добавлять условия, чтобы исключить атаки о которых узнали - так и не скажешь. Но это, в сущности, и не важно. Чтобы проиллюстрировать то насколько может быть опасна подобная уверенность я специально сделал видео, где получаю привилегии системы из под учетки пользователя, без UAC, с отключенным файлом подкачки, с удаленным файлом гибернации, но с включенным и жестко настроенным AppLocker'ом. Непосредственно перед атакой входов в систему с учеткой администратора не выполнялось, то есть было обязательное выключение, хотя в данном случае подобные вещи особой роли не играют. Вообще вся ирония ситуации заключается в том, что вы в своем стремлении создать максимально тяжелые условия потенциальному хакеру, когда описывали мне свой вариант защищенной системы, скажем так, смотрели совсем не в ту сторону. Это я к тому, что есть куда более опасные и неприятные вещи нежели Mimikatz. Ссылка ниже.
https://yadi.sk/i/_t8fPlCk3LDT9d
Заранее скажу, никаких деталей атаки я раскрывать не буду по этическим соображениям. А то сейчас, к сожалению, появилось очень много людей использующих подобные вещи ненадлежащим образом. Замечу лишь, что если вы не хотите, чтобы подобное было возможно на вашей системе - патчите Windows. Отвечаю на опережение на вопрос "а зачем показывать атаку на исправленных уязвимоcтях?" - чтобы четко проиллюстрировать насколько может быть опасна подходящая ZDV, и насколько принципиально важно следить за тем, чтобы каждое звено системы безопасности отвечало соответствующим требованиям. Напомню, что изначально весь этот разговор начался с обсуждения проверки целостности исполнительных файлов в Comodo, где вы почему-то решили, что я не знаю как прикрыть эту дырку. Знаю, только все это костыли и ослабление системы безопасности.

Цитата:
Мне достаточно памяти, гуглить что-то с телефона ради вас - было все равно что метать бисер, вы зря надеялись.  

Так не гуглите с телефона, купите себе компьютер или на худой конец планшет, зачем издеваться над своими глазами... А на тему памяти, тут такой момент, что всего знать нельзя, постоянно находится что-то новое и глупо не пользоваться этим.  

Цитата:
"а зачем нужен продукту безопасности" - заметьте, не мой вопрос. Вам бы лучше спросить разработчиков.  

Вы правда думаете, что разработчик скажет мне по этому поводу что-нибудь путное, а не отмахнется навесив рекламной лапши на уши? Сомневаюсь, по крайней мере мой опыт говорит об обратном.

Цитата:
Я своей точки зрения еще даже не высказал, я лишь ответил как можно решить ваши проблемы.  

Которых у меня нет...

Всего записей: 240 | Зарегистр. 03-10-2009 | Отправлено: 05:35 20-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93

Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Internet Security

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru