В основном, вопрос к Ntoskrnl. Предыстория, с утра зашёл на форум каспера, Вас ‘ночного’ почитать, а там тема интересная. С работы пришёл вечером почитать продолжение, стёрли… Смысл такой, парень написал bat’ник - reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Shell /t reg_sz /d virus.exe /f - и возмутился, почему он сработал на KAV 2012. Ему ответили, что этот ключ реестра, защищает только KIS. Я решил проверить у себя. Версия COMODO 5.5.195786.1383 Эффект тот же самый, защищённый ключ реестра, без запроса, меняется с C:\Windows\explorer.exe на virus.exe. Бился, бился, только в Параноидальном режиме добился запроса на изменение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell.
Вопрос - как заблокировать внесение изменений в этот ЗАЩИЩЁННЫЙ ключ реестра в любом другом режиме, кроме параноидального?
Здесь важно учитывать тот способ, которым Вы запускали bat-файл. Я почти уверен, что это выглядело следующим образом: 1) Вы создали этот файл каким бы то ни было текстовым редактором, 2) Вы запустили командный процессор cmd.exe, 3) в командной строке Вы написали путь к новому файлу и нажали “Ввод”. Поправьте, если не так. При таких начальных условиях важно то, что не создаётся нового процесса “на базе” этого bat-файла, а, фактически, уже открытый, доверенный, cmd.exe построчно выполняет его инструкции в своём контексте, просто читая файл, и запускает, опять же доверенный, reg.exe. Здесь речь о безопасном режиме, песочница пока роли не играет. В данном случае всё это делается по решению пользователя, это тоже важно и, в целом, мало отличается, с точки зрения CIS, от того, что Вы бы делали всё это просто регедитом. Так что вопрос должен звучать несколько иначе, может ли “нечто” запустить на исполнение этот бат файл, чтобы получить аналогичный эффект? Сами по себе bat-файлы не запускаются, а могут быть запущены только в виде параметра к cmd.exe и с ключами “/C” или “/K”. А это ведёт к созданию нового процесса на базе cmd.exe и к применению к нему политики, определяемой для нашего bat-файла. Т.е., поскольку бат-файл “неизвестен”, то и действия будут соответствовать - либо песочница для всего “дерева” (и для нового процесса на cmd.exe, и для бат-файла, и для reg.exe) с невозможностью изменять охраняемые ключи, либо, при выключенной песочнице, алерты. Так что здесь всё чисто и в данном случае именно практической нужды для параноидального режима нет. Я развеял Ваши сомнения?
Такое ощущение, что Вы меня не поняли. Файл на рабочем столе, я запускаю его вручную и он срабатывает без АЛЕРТОВ ЗАЩИЩЁННОГО КЛЮЧА РЕЕСТРА В РЕЖИМЕ безопасный, меня это не устраивает. маратка тоже вечно спорит, но Вы зачем упираетесь? Этот bat’ ник меняет ключ реестра SHELL, который, якобы, защищён Почему, только в параноидальном режиме доходит до этого запроса?
serge#77, я не упираюсь. Я просто совершенно точно знаю, что если запускать неизвестный бат-файл со стола, то он точно попадёт в песочницу. И ничего оттуда не поменяет. (см скриншот 1) Это даже на умолчальных настройках. Если бы это было иначе, шум уже стоял бы нешуточный. Поэтому либо Вы его запускали так, как я написал выше (см. скриншот 2), либо у Вас что-то не так с настройками, давайте разбираться. Или Вы хотите именно видеть алерт? Тогда нужно выключить песочницу.
serge#77, в параноидальном режиме CIS даёт алерты на любые приложения, если в правилах указано “спросить” (и если объект не находится в списках исключений) или правила для приложения нет, тогда берётся правило “все приложения”, а там стоит “спросить” на всё. В безопасном режиме CIS сам отвечает “да” безопасным приложениям (если находит их в списке доверенных поставщиков, пользовательском списке или в облаке) и даёт алерты по неизвестным приложениям (опять же, если в правилах указано “спросить”, там ведь может быть явно указано разрешение или запрет). Т.е. для неизвестных приложений безопасный режим от параноидального не отличается, алерты (для неизвестных приложений) будут в обоих случаях. Это если выключена песочница. Если она включена, то CIS просто отправляет неизвестные приложения в песочницу и не показывает алерты, а просто запрещает опасные действия. Так что если нет алерта на reg.exe и cmd.exe в безопасном режиме - это правильно, поскольку оба - безопасные, это видно на Вашем скрине. До этого места понятно? Теперь давайте разбираться с Вашим бат-файлом. Если у Вас включена песочница, то, поскольку этот файл неизвестен, он попадёт туда при запуске автоматом и алертов не будет. Именно для минимизации их количества и делалась песочница. Вместе с ним туда же угодит и запускаемый им reg.exe и никаких изменений охраняемых ключей эта “парочка” произвести не сможет. Если песочница выключена, то а) в безопасном режиме мы получим алерт 1) на запуск батника и 2) на запуск им reg.exe, б) в параноидальном режиме мы получим помимо этого ещё один алерт, на попытку модификации ключа этим самым reg.exe. Здесь всё правильно, такая логика работы программы. Это совпадает с тем, что Вы наблюдаете? Поэтому давайте уточним, Вы хотите видеть именно алерт или Вам важно, чтобы ключ был защищен в том числе без алерта. И, если представить, что у Вас умолчальные настройки, а ключ всё равно изменяется, то тогда будем разбираться почему. Уточните этот момент.
Странно, писал ■■■■■■ off (раздражён), а получилось почти что ‘билетов нет’
Смысл всей моей темы о том, что в любом состоянии и в любой настройке параметра “защита” должны соблюдаться предустановленные правила разработчика. Если ключ защищён, то он должен быть защищён у потребителя!!! А если, как пишется на алерте, 1.bat. становится родительским (неопознанный файл) над файлом REG.EXE компании Microsoft, то о чём речь…
serge#77, ну так они и соблюдаются. Просто есть такой режим, когда они неявно разрешаются для безопасных приложений. Если нам это не нравится, просто включаем параноидальный режим и всё. Многие даже в режиме “Чистый ПК” работают, когда безопасными считаются все приложения, находящиеся на компьютере на момент установки CIS. Это уже кому как больше нравится.
serge#77, Вы не пропишете ничего и никогда в охраняемый ключ недоверенным приложением. Вот здесь должна быть точка. Остальное я отношу на счёт непонятных мне в данном случае эмоций и на то, что Вы не разобрались с программой. Тем более, что на мой пост №9 Вы не ответили и что конкретно Вы делаете по шагам не описали. Как, по-Вашему, множество людей пользуется программой и до сих пор не заметили такой “мелочи”?
ЗЫ. Я не помню чтобы был апологетом “на том самом форуме”. Если есть проблема, я буду обращать на неё внимание. Если Вы покажете, что есть проблема с CIS в Вашем случае, будет то же самое.
serge#77, я вот не пойму одного - Вы неизвестному файлу с расширением bat разрешаете выполнить reg.exe, а потом удивляетесь, что изменен реестр, так что ли?
P.S. Реестр меняется в данном случае как раз с помощью безопасного файла reg.exe, и алерта на него в Безопасном режиме естественно не будет.
Я его создал!!! Так вопрос, ПОЧЕМУ мною созданный bat файл меняет защищённый ключ реестра? и получает приоритет над REG.EXE
А ещё раз повторю, Словацкому антивирусу плевать если ключ защищён, кто бы не имел приоритет не важно, будет запрос!!! Вот чего я и добиваюсь. И если несложно, то поглядите эту тему, http://forum.kaspersky.com/index.php?showtopic=218978&pid=1737801&st=20&#entry1737801, всё расписано ‘от и до’ что может сделать WINLOCK при таком попустительстве.
Так об этом и есть весь спор, суть моих претензий. Конечно Я нажимаю разрешить, и дальше ожидаю алерта на изменение ЗАЩИЩЁННОГО КЛЮЧА, а его (алерта)
нет, но он (алерт) возникает только в режиме ‘параноидальный’
ВОПРОС: что защищает COMODO в остальных режимах, кроме ПАРАНОИДАЛЬНОГО?
и дальше я писал, что мой NOD 32 плевал на все политики, если ключ защищён, значит так тому и быть. Алерт возникает вне зависимости от приложения. По-моему это правильно.
В разных режимах Comodo работает по-разному. В Безопасном режиме например защищает систему от изменения важных настроек со стороны только неизвестных приложений. Reg.exe в данном случае пропускает, так как это безопасный системный файл.
Главная задача - не допустить несанкционированного изменения системы, правильно? Какая разница пользователю, что там конкретно в алерте написано, запретите запуск reg.exe неизвестным bat файлом и ни одно значение реестра не изменится.
