CLT(Comodo Leak Test) на CIS 5

Есть такой вопрос. Скачал с этой странички CLT запустил и получил результат 320/340. При условии, что запустил программу в песочнице. Если же просто разрешил, контролю выполнения приложений, выполнить файл то получил 30/340.
По моим соображениям если я разрешил выполнение файла вне песочницы, то дальше должна работать проактивка и задавать вопросы, но приложение делает, что хотит и комодо молчит.
С песочницей тоже не понятно, нажимаю выполнить в ней и получаю 320 из 340, почему?
23. Impersonation: ExplorerAsParent Vulnerable
25. Impersonation: Coat Vulnerable
Может тест просто “думает”, что что-то делает и выдаёт такие результаты? Может объяснит кто, где я поставил не те галочки.

CIS 5 Final
Win XP 32 3SP
Проактивка - режим параноидальный
Контроль исполнения - активен + запускать неопознанные приложения как частично ограниченные
фаер - пользовательские политики, но с ним проблем нет

Я прогонял этот тест на Win 7 c CIS 5.0 Final , сегодня 340\340. Настройки “заводские”, тест запустил в песочнице, без нее не пробовал. Завтра испробую и отпишусь.
Возможно инсталл криво сел, бета стояла? Все подчистили перед установкой финальной версии?

Разрешая выполнение вне песочницы comodo добавляет CLT в список доверенных - соответственно этому и результат.

У меня с отключенной песочницей 330/330. Win7 Ultimate x64.

Проверил Comodo Leak Tests (CLT) на своей машине Win 7 Pro.
Когда CIS предложил выбрать действия для CLT, я выбрал Разрешить в результате набрал 170/340. Нужно проанализировать это поведение, думая все работает так как надо, просто принцип поменялся в отличии от CIS 4.
С песочницей результат 340/340.

С отключенной песочницей естественно на все действия CLT выбирал Блокировать.
Результат как уже писал 330/330. Странно у всех вижу результаты 340, а у меня 330. В чем может быть подвох. Система Win7 x64 Ultimate.
Да к стати хочу спросить есть ли где нибудь инструкция по работе с песочницей.

Только то что есть в официальной документации HELP к CIS 5 (PDF)

Вот мой лог, версия у вас та же?

COMODO Leaktests v.1.1.0.3

  1. RootkitInstallation: MissingDriverLoad Protected
  2. RootkitInstallation: LoadAndCallImage Protected
  3. RootkitInstallation: DriverSupersede Protected
  4. RootkitInstallation: ChangeDrvPath Protected
  5. Invasion: Runner Protected
  6. Invasion: RawDisk Protected
  7. Invasion: PhysicalMemory Protected
  8. Invasion: FileDrop Protected
  9. Invasion: DebugControl Protected
  10. Injection: SetWinEventHook Protected
  11. Injection: SetWindowsHookEx Protected
  12. Injection: SetThreadContext Protected
  13. Injection: Services Protected
  14. Injection: ProcessInject Protected
  15. Injection: KnownDlls Protected
  16. Injection: DupHandles Protected
  17. Injection: CreateRemoteThread Protected
  18. Injection: APC dll injection Protected
  19. Injection: AdvancedProcessTermination Protected
  20. InfoSend: ICMP Test Protected
  21. InfoSend: DNS Test Protected
  22. Impersonation: OLE automation Protected
  23. Impersonation: ExplorerAsParent Protected
  24. Impersonation: DDE Protected
  25. Impersonation: Coat Protected
  26. Impersonation: BITS Protected
  27. Hijacking: WinlogonNotify Protected
  28. Hijacking: Userinit Protected
  29. Hijacking: UIHost Protected
  30. Hijacking: SupersedeServiceDll Protected
  31. Hijacking: StartupPrograms Protected
  32. Hijacking: ChangeDebuggerPath Protected
  33. Hijacking: AppinitDlls Protected
    34. Hijacking: ActiveDesktop Protected
    Score 340/340

Подтверждаю, если отключить песочницу в режимах, то на сцену выходит чистый HIPS и тест CLT проходит 340/340.
Если песочница включена в режимах и при исполнении теста CLT выбрать “Разрешить” а не “Песочница”, то тест 170/340 (у меня) т.е. провален я сам выбрал что приложение белое.

Да, проверил дома на “семёрке” с настройками по умолчанию 340/340
На XP сегодня сделал полное удаление, почистил реестр на наличие записи “comodo”, AVZом почистил скриптом(из соседней ветки) файлы в безопасном режиме, установил, запустил тест и 320/340, как и в верхнем моём посте.

Помнится у меня тоже такое было на XP, когда стал искать в чем причина, выяснилось что это настройки ОС и нужно было там что-то менять, но в то время уже 7 вышла и я просто перешел.

Решил тоже провести тест CLT(Comodo Leak Tests) на переустановленной уже с CIS 5 beta на CIS 5 Final, скорее как дань новому фаерволу. Так как ранее при переустановке с CIS 4 на CIS 5 beta этот тест был успешно пройден, то каких-либо худших результатов по этому тесту я и не ожидал…

И что же Вы думаете, о Боже! - Сomodo Firewall 2011 провалил этот тест с результатами - 170\340!!! Причём как с песочницей, так и без. Я в шоке >:(

Ну думаю ладно, в правилах чё-то намудрил и в результате завалил тест.
Сношу установленную 5-ку встроенным унинсталлером. Благо бэкап правил есть. Перезагрузил машину. Проверил на всякий случай контрольную сумму установщика(MD5), - совпадает. Установил по-новой…
Опять тест провален уже на дефолтных правилах!!!
Думаю пипец! Вот это “финальную пятёрочку” создал COMODO!!! ???

Начались эксперименты…

Снес опять фаер. Запустил в безопасном режиме комп и запустив АВЗ, уже скриптом удалил все остатки фаервола. Но не тут то было. После проделанной процедуры установки, Сomodo Firewall 2011 опять проваливает тест с теми же результатами!
Но так как слышал, что ветки реестра CIS4 и CIS5 разные, решил проверить сам ручками реестр. Как оказалось, действительно от CIS4 в системе ничего не осталось… А где же CIS5 прячет свои ключи реестра??

Эксперимент продолжается…

Поскольку скрипта от CIS 5 у АВЗ нет, то беру в данном случае программу Tl Uninstall (которая может делать снимки системы/реестра до установки приложений и после, с последующим сравнением и естественно последующим точным удалением приложения) и устанавливаю уже Сomodo Firewall 2011 под контролем Tl Uninstall. После установки, удалил полностью фаер Комода с помощью той же Tl Uninstall и опять поставил заново. Надеюсь ход мысли понятен, - т.е. Tl Uninstall снёс всё то, что прописалось в машине при установке Сomodo Firewall 2011 и инсталлятор фаервола затем встал уже “начисто”, без следов оставленных предшествующей бета-версией.

И вот чудо!!! Фаерволл прошёл тест на[color=red] отлично - 340\340, причем как с “песочницей” так и без неё.

Вывод очевиден:

1.Следы в системе/реестре от предшествующих версий CIS, а также фаерволов других разработчиков, могут служить причиной НЕПРАВИЛЬНОЙ работы по крайней мере проактивной защиты фаервола COMODO(возможно антивируса тоже) и как следствие может нарушаться ЗАЩИТА COMODO Internet Security

2.Описанный скрипт удаления следов в реестре утилитой AVZ после CIS 4 помогает, но от следов CIS 5 НЕ СПАСАЕТ!!! Всё-таки разные ветки/ключи реестра CIS 4 и CIS 5

Ждёмс скрипт AVZ для удаления остатков CIS 5 Final… :smiley:

Скрины прилагаю ниже:

[attachment deleted by admin]

Не могу понять в чём дело: вчера clt.exe запускался без проблем, правда результаты были хреновые (при запуске в песочнице 60/340, вне песочницы 300/340), сегодня после обновления антивирус Comodo блокирует запуск файла, находя в нём опасный объект Application.Win32.LeakTest.~B@124754821. В настройках антивируса ничего не менял. Архив скачал по ссылке указанной в этой теме.
Можно конечно поместить файл в исключения, но непонятно как это повлияет на результаты теста, да и сомнения гложут по поводу безопасности файла.
Сейчас скачал по указанной ссылке архив ещё раз, проверил, результат - в архиве вышеуказанный опасный объект. И ещё, в списке неопознанных файлов clt.exe стал сгодня определяться как вредоносный.
Странный какой-то тест, однако… ???

Avira уже пол-года назад ругалась на этот exe-шник, правда было некогда заниматься выяснением по делу или нет. Значит все правильно: она часто выявляет или подозревает то, что другие пока не видят.

Вечер добрый . Были такие-же результаты теста (320-340, Impersonation: Coat , Impersonation: ExplorerAsParent), при разных настройках . И вдруг вспомнил что защитник Windows у меня включен. Вырубил , тест прохожу на ура. (win. фаервол естественно тоже отключен)

Прогнал тест в песочнице и без. Защитник не отключал. Режимы фаера и хипсы “безопасные”, антивиря - “кумулятивный”. Результаты в обоих случаях - 340 из 340.

Та же проблема, невозможно проверить потому что детектится опасный объект еще при распаковке и все никакого теста. Пробовал с добавлением в доверенные и получалось 240/340 в песочнице, вне песочницы еще хуже.
Так что не понятно, как этот тест пройти. :frowning:

Надо выбирать “Игнорировать” - “Пропустить в этот раз”. Тогда результат теста будет 340/340.

Только недавно установил комодо, когда посмотрел на глобальные правила сразу заподозрил, собственно там было всего 5 правил блокирующих icmp из mac. Меня такой расклад дел довольно таки обеспокоил, посоветуйте что нибудь.

Установки были такие: проактив безопасный, фаервол безопасный, антивирус кумулятив
Версия CIS 5.0.163652.1142 x32
Версия базы 6627
Windows 7

http://i11.fastpic.ru/big/2010/1106/28/6cd89e79ef5232be9f0e0deefea4d228.jpg

Песочница = отключено [CLT не был предназначен для использования в песочнице. Если CLT в “песочнице”, он будет генерировать ошибочные результаты!]

Объединение тем: CIS v5 Final и Comodo HIPS and Firewall Leak Test и Комодо не проходит тест под новым названием CLT (Comodo Leak Test) на CIS 5

Все вопросы, касающиеся теста CLT(Comodo Leak Test), просьба обсуждать только здесь(в этой теме).