Author Topic: Comodo блокирует системные процессы  (Read 3217 times)

Offline Xeno

  • Comodo's Hero
  • *****
  • Posts: 880
Re: Comodo блокирует системные процессы
« Reply #15 on: April 19, 2019, 08:14:58 AM »
Quote
2. HIPS не работает до загрузки GUI Комода.
Работает
Живой пример:
Конфигурация: "Proactive Security"; безопасный режим; не показывать оповещения - блокировать запросы.
Самописная программа, для к-рой прописан автозапуск в HKCU\Run; в доверенные добавлена вручную.
Меняю программу на новую версию, перезагружаю ОС и... программа беспроблемно запускается. Когда прогружается GUI Комода, в процессах она обозначена, естественно, как неопознанная. Возникает закономерный вопрос: как могла запуститься неопознанная программа при работающем HIPS?
Ммм?  :o

Quote
Безопасный, да, но в данном режиме "создавать правила для безопасных приложений" не активировано, а значит не известные CISу файлы могут быть блокированы хипсом
Какая связь между правилами для безопасных приложений и не известными Комоду файлами?

Quote
Целостность в данном случае что значит? Если файл изменится то отработает файл рейтинг/контеинмент/вирусскоуп/АВ наконец-то
Целостность означает именно целостность, т.е. неизменность. При наличии правила в HIPS рейтинг не влияет на запуск. Про автопесочницу/вирускоп ничего не скажу, отключены за ненужностью. АВ отработает только в случае детекта малвари, что далеко не 100%.

Offline igorb

  • Newbie
  • *
  • Posts: 21
Re: Comodo блокирует системные процессы
« Reply #16 on: April 19, 2019, 09:00:47 AM »
Работает
Живой пример:
Конфигурация: "Proactive Security"; безопасный режим; не показывать оповещения - блокировать запросы.
Самописная программа, для к-рой прописан автозапуск в HKCU\Run; в доверенные добавлена вручную.
Меняю программу на новую версию, перезагружаю ОС и... программа беспроблемно запускается.
Но она же добавлена в доверенные, чего бы ей не запуститься? Кроме того, ХИПС оперирует путями, а не хэшами файлов.
Если важна данная папка/файл - добавьте их в Protected Objects.

Quote
Возникает закономерный вопрос: как могла запуститься неопознанная программа при работающем HIPS?
Запуститься могла. Никто ей это не запрещал. Был бы включен контеинмент то она запустилась бы в нем. А вот могла ли она сделать что-то - надо разбираться ибо не просто ж так она определилась. Если есть данная программа то можете в личку скинуть. Вполне возможно что она запустилась, но "ножки-то ей пообрезали"

По поводу ГУЯ. ХИПС - драйвер. Он раньше гуя грузится.

Quote
Какая связь между правилами для безопасных приложений и не известными Комоду файлами?
Файл известный, он ранее добавлен пользователем в рулы ХИПСа

Quote
Целостность означает именно целостность, т.е. неизменность.

Целостность = неизменность хэша. Запустите приложение, закройте его, измените его и запустите снова. После этого вы найдете 2 приложения с одинаковым путем/именем в файл рейтинге. Хэши отслеживаются и если приложение неизвестное то мог бы отработать Containment, но в его выключили.

Quote
При наличии правила в HIPS рейтинг не влияет на запуск.
Вы не правы. Добавьте приложение в разрешенные в хипсе, а потом этому приложению сделайте статус "malisious" в Файл Рейтинге и запустите приложение.

Offline cis666

  • Comodo Member
  • **
  • Posts: 36
Re: Comodo блокирует системные процессы
« Reply #17 on: April 19, 2019, 09:25:59 AM »
Все, отработался. Открытые приложения можно свернуть/развернуть, просто запустить приложение невозможно, через 5 минут открылось белое окошко Dragon и черное Steam,  на Comodo постоянно крутится кружок. Тема закрыта, жаль потраченного времени

Offline Xeno

  • Comodo's Hero
  • *****
  • Posts: 880
Re: Comodo блокирует системные процессы
« Reply #18 on: April 19, 2019, 09:51:53 AM »
Но она же добавлена в доверенные, чего бы ей не запуститься?
Бред. В доверенных была предыдущая версия программы.
Quote
Кроме того, ХИПС оперирует путями, а не хэшами файлов.
Бред №2. Рекомендую изучить предмет.
Quote
Запуститься могла. Никто ей это не запрещал.
Бред №3. Запуск неопознанных запрещен настройками, было указано выше.
...
Ну хорошо, на пальцах, в картинках:
pic1 - файл в активных процессах, рейтинг - доверенный, билд 685;
pic2 - замена текущего файла новым;
pic3 - сообщение при запуске нового файла;
pic4 - рейтинг нового файла в списке Комода;
pic5 - запись в журнале о попытке запуска нового файла;
перезапуск ОС;
pic6 - новый файл в активных процессах, рейтинг - неизвестный, билд 688.

Offline igorb

  • Newbie
  • *
  • Posts: 21
Re: Comodo блокирует системные процессы
« Reply #19 on: April 19, 2019, 10:22:51 AM »
Бред. В доверенных была предыдущая версия программы.
Бред №2. Рекомендую изучить предмет.
А есть аргументы? Ибо написать "Бред" не сложно, но аргументировать уже сложнее. Возможно Вы заблуждаетесь.
Попробуйте провести маленький эксперимент из моего предыдущего поста. Это не сложно и не займет много времени. Если сложно с шагами воспроизведения - помогу.

Quote
Бред. В доверенных была предыдущая версия программы.
Бред №3. Запуск неопознанных запрещен настройками, было указано выше.
Запрещено или разрешено?

Offline Xeno

  • Comodo's Hero
  • *****
  • Posts: 880
Re: Comodo блокирует системные процессы
« Reply #20 on: April 19, 2019, 10:42:13 AM »
А есть аргументы? Ибо написать "Бред" не сложно, но аргументировать уже сложнее. Возможно Вы заблуждаетесь.
Попробуйте провести маленький эксперимент из моего предыдущего поста. Это не сложно и не займет много времени. Если сложно с шагами воспроизведения - помогу.
Серии скриншотов недостаточно? Там все наглядно, по шагам.
(для уточнения: рейтинг "вредоносный" не рассматривается)

Запрещено или разрешено?
Эээ...
Конфигурация: "Proactive Security"; безопасный режим; не показывать оповещения - блокировать запросы.

Offline futuretech

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 4830
Re: Comodo блокирует системные процессы
« Reply #21 on: April 19, 2019, 01:47:25 PM »
Бред. В доверенных была предыдущая версия программы.Бред №2. Рекомендую изучить предмет.Бред №3. Запуск неопознанных запрещен настройками, было указано выше.
...
Ну хорошо, на пальцах, в картинках:
pic1 - файл в активных процессах, рейтинг - доверенный, билд 685;
pic2 - замена текущего файла новым;
pic3 - сообщение при запуске нового файла;
pic4 - рейтинг нового файла в списке Комода;
pic5 - запись в журнале о попытке запуска нового файла;
перезапуск ОС;
pic6 - новый файл в активных процессах, рейтинг - неизвестный, билд 688.

Вам нужно включить Блокировать все неизвестные запросы, когда приложение не запущено в настройках HIPS, чтобы иметь блокировку HIPS, когда GUI еще не загружен. Кроме того, если вы добавите обнаруженные вредоносные приложения в исключения сканирования, тогда рейтинг изменится на нерассчитанный в списке файлов и больше не будет оцениваться как вредоносный.

Offline Xeno

  • Comodo's Hero
  • *****
  • Posts: 880
Re: Comodo блокирует системные процессы
« Reply #22 on: April 19, 2019, 02:59:26 PM »
Вам нужно включить Блокировать все неизвестные запросы, когда приложение не запущено в настройках HIPS, чтобы иметь блокировку HIPS, когда GUI еще не загружен. Кроме того, если вы добавите обнаруженные вредоносные приложения в исключения сканирования, тогда рейтинг изменится на нерассчитанный в списке файлов и больше не будет оцениваться как вредоносный.
Я в курсе данной опции.
Quote
Block all unknown requests when the application is not running - Selecting this option blocks all unknown execution requests if Comodo Internet Security is not running/has been shut down. This is option is very strict indeed and in most cases should only be enabled on seriously infested or compromised machines while the user is working to resolve these issues. (Default = Disabled)
Т.е., при повседневной работе включать эту опцию не рекомендуется.

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek