Bluegem
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90
Цитата:| 1) Чтобы подменить exe или добавить dll, недоверенной программе нужно разрешение hips, потому что исп. файлы находятся в группе Защищенных файлов. Также там находятся папки Windows, Program files. |
Все это конечно хорошо, только если она будет недоверенной и если она не будет так или иначе эксплуатировать доверенное приложение, как минимум.
Цитата:| 2) после подмены файл больше не будет доверенным. |
Как я уже писал это происходит не во всех условиях, вот конкретно у меня программа становится доверенной, и хорошо если это связано с какой-то внутренней базой комода, а не с багом.
Цитата:| Добавление в доверенные из алерта достигается открытием окна комода и вызова пункта меню. Причем моя программа должна быть заранее внесена в доверенные для таких манипуляций, так что нет, это не дыра. |
То есть вы просто симулируете работу с его интерфейсом, ну ладно.
Цитата:| По поводу самовольного присвоения рейтинга, я отвечаю за 8 версию. Если все 3 пути перекрыты (а ав модуль стоит?), рейтинг менять можете только вы. Возможно в 10 появился новый путь - вопрос к emhanik. |
Ясно. Нет, ав модуль не стоит.
Цитата:| Вы уверены что подменяете на НЕдоверенный файл? |
Нет, я уверен, что подменяю на файл, который Comodo, по крайней мере судя по списку файлов, еще не видел.
Цитата:| Сделайте ориг. файл доверенным, выберите файл для подмены, сделайте его недоверенным, совершите подмену, попытайтесь сделать подмененной нечто, попадающее под контроль хипс, либо попробуйте запустить ее другой доверенной программой. |
Я делаю по другому, отслеживаю чтобы в списке не было исходного файла и файла, который заменит его. Запускаю исходный смотрю, что он появился в списке и имеет рейтинг. Меняю его на другой, смотрю что другой появился в списке и получил необходимый рейтинг, произвожу нужные действия. Назначать руками подделке нужный рейтинг не вижу смысла, потому что в реальных условиях такого не будет.
emhanik
Цитата:| Увы, даже если очистить список файлов, CIS будет доверять некоторым хешам из внутренней базы. Скорее всего, эта база обновляется вместе с антивирусной, так что просто ставьте один ComodoFirewall. |
У меня сейчас Firewall без AV, правда до него стоял полный CIS c AV на том же образе позже был деинсталлирован, не знаю насколько это влияет.
Цитата:| Если вы хотите пренепременно Параноидальный HIPS, настройте автопесочницу, чтобы она блокировала все файлы с рейтингом неопознанных или вредоносных. Все свои программы добавьте в список файлов как доверенные. Вот вам и контроль хеша. |
Ну это уже какой-то anti-execution получается, и я бы на него может быть пошел если бы была возможность настроить белый лист командных строк.
|
Всего записей: 271 | Зарегистр. 03-10-2009 | Отправлено: 23:55 15-07-2017 | Исправлено: Bluegem, 00:02 16-07-2017 |
|
