В нынешней рабочей версии активный антивирус часто занимает десятки %-в времени работы процессора. Это нормально или будет исправлено?
Ставиться на вин 7 х64 битную в папку Program Files,а не х86. К автору топика:хотелось бы исправления в названии(или пояснения) о том что,это мультипакет- на оси х32 и х64.Пояснения о том ,что есть исправления в проактивной защите в 64 битных системах,… немного дезориентируиет, т.к и х32 битный инсталлер так же предназназначен для работы в 64 битной среде,и запуститься без проблем.Дабы избежать путаницы прошу немного прояснить этот вопрос исправлением-пояснением в теме.
Кто-нибудь ее тестит? Как она в боевых условия? Новое ядро не ухудшило детект вирусов?
Особо изменений в степени детекта не заметил.А вот проблемное место подмеченное мной в ранних версиях сандбокса вернулось.Версиях до 5.4 несмотря на нажатие подписи -больше не изолировать- изоляция в песочницу все равно имела место.Потом в х5.4 этого не наблюдалось.Четкое реагирование на -не изолировать.В этой бете опять сандбох озорничает.До перезагрузки компа.
McARIS, а конкретнее?
Конкретнее-Запускаем например Медиа плэер Классик.Файл подписан цифровой подписью,и с оф сайта.Срабатывает Санд бокс и горит- типа частично ограничиваю.Есть надпись Больше не ограничивать.Нажимаем.Ноль реакции.До перезагрузки Компа.В версии 5.4 всех выпусков,этого не было.После нажатия надпис приложение больше не изолировалось.Это легко проверялось в сводке-приложения запущенные в сандбоксе.
McARIS, не могу подтвердить для MPC. Он проходит по белым спискам и запускается сразу же без песочницы, см скриншот. Версии и откуда я его качал там же. Соответственно, и проблема не возникает. Это на 5.8b2. Кстати, откуда у MPC взялась подпись и что именно в его случае “офсайт”? ???
[attachment deleted by admin]
В версии 5.8 существенно дополнилась безопасность.
В частности, в версии до 5.8 (т.е. во всех офф. релизах на текущий момент) есть возможность обойти защиту, при включённой песочнице.
Было протестировано на парочке зловредов - подтвердилось.
В версии 5.8 (напоминаю - на момент сообщения исключительно бетта) данную дыру уже прикрыли.
Коротко об уязвимости:
- Зловред запускался в авто-песочнице, как частично ограниченное (дефолт)
- Зловред юзал svchost
- svchost некорректно отрабатывался правилами (перехлёст встроенных+автопесочницы)
- Вредные действия svchost даже в защищённых ключах от частично ограниченных сохранялись.
- profit
Да,насчет цифровой подписи не прав,признаю.А сайт вот он http://mpc-hc.sourceforge.net/ да на вашей картинке тоже он. а так же http://www.codecguide.com/-по моему мнению легальное местонахождение.Короче скачано не с vasiapupkin.com.Да речь не о том.И не о плэйере.Очень много программ,разных сандбокс изолирует,да понятно для этого и придумана.Смысл своего поста объяснил выше.Повторюсь.То есть раньше сандбокс как бы позволял не изолировать.Теперь я жму не изолировать,а изоляция происходит. но до перезагрузки компа.Это собственно не принципиально,но мешает.Тот же модуль настройки K-Lite Codec Pack-ffdshow video decoder,запускается в сандбоксе 1й раз.И мне чтобы убрать его из запущеных в санбоксе нужна перезагрузка.Повторяю,речь не о конкретных программах,о способе отказа от изоляции в сандбоксе.В 5.4 было лучше.Хотя еще раз повторюсь,это не принципиально важно,учитывая,указанное Exproff.Да,кстати,все это касается первого запуска программы,после установки Комодо.Потом естественно изоляция уже,как и было нажато,не происходит.Но оформлю мысль до конца.Вот предположим я простой юзер,никогда не слыхал ни о песочницах,ни о изоляции приложений,и просто поставил комодо лишь по совету знакомого.Если я запускаю в версии 5.4 и вижу незнакомую фишку-изолировать!и рядом надпись -блльше не изолировать,я как всякий нормальный человек пойму -изоляция плохо-НЕ будет работать,не изолировать хорошо-Будет работать.Жму-работает.Я доволен.Версия 5.8-жму начинаю конфигурировать ffdshow video decoder - бъет ошибку,т.к. файл еще в санбоксе,а я об этом не знаю,я еще не разбираюсь.Что я делаю после энтого? Ну первое чего идет на ум звоню другу и жалуюсь на Комодо.Второе могу и удалить Комодо.Я ведь юзер и не шарю.А таких очень много.
Сейчас специально звонил общался с товарищем,он подтверждает,стало заметно труднее сладить с песочницей.Я собственно на версиях 5.3 вообще отключал её.С ней сладу не было.Жуть какая то была,перезагрузка,не перезагрузка по барабану,каждый запуск был омрачен изоляцией.Это помню хорошо.
хочу сказать, что в свое время тестировал я на зловредах (жена приносила с флешками со страховых компаний) песочницу комодо, и в свое время писал, что очень много пропускает. И уязвимость там не только в возможности использования svchost, а, как я установил опытным путем, и других системных приложений. Справедливости ради надо сказать, что такое присутствует и в других песочницах такого рода. Именно поэтому и использую сейчас глобальные системы виртуализации.
Данная уязвимость срабатывает лишь при авто-песочнице.
Ежели запускать вручную в ней, то всё отрабатывает на ура.
Основная проблема была в том числе, что в авто-песочнице не виртуализируются файловые системы и реестр. Таким образом, можно было и менее ужасными зловредами напортачить.
Собственно, мне вообще непонятна эта тяга к “авто”. Пускай запрашивает у юзверя каждый раз. Мне вон батники не даёт клепать - в автопесок их тюкает и нормальные вещи блокирует.
А зловредов таки пропускает (кстати, лишь на частично ограниченных, с остальными траблов не было)
Ну хорошо,но все же как рядового юзверя уберечь от описанного мною трабла?
McARIS, так MPC изолируется или кодек-пак? Все эти… кхм… кодек-паки… Как бы так сказать, чтобы никого не обидеть… Дайте, если не трудно ссылку на конкретный экзешник, который всегда изолируется, хоть посмотреть. До сих пор я встречал такие “казусы” с разными “портабельными” версиями, особенно с теми, которые что-то начинают очень круто модифицировать в памяти, курочат из всех сил ntdll и т.п. Такие вещи ябы и сам с удовольствием “заизолировал” 
, с разными упаковщиками, особенно с плохой репутацией и т.п. CIS на эти вещи реагирует таким интересным образом и я не возьмусь утверждать, что это неправильно. Таких казусов с мало-мальски приличным софтом не видел ни разу, честно.
Тоже палка о двух концах, юзверь ведь иной раз такое ответит, что закачаешься… ;D Но где-нибудь в опциях зарыть включение такого режима, как было в четвёрке надо, имхо, конечно…
И у меня такое впечатление, что egemen изо всех сил старается выжать что-то из частично-ограниченной песочницы, хотя уже много раз говорили, включить по умолчанию “Limited” и все эти проблемы с обходами исчезают… Не знаю, чего он упирается… 
Вопрос в том, что многие приложения в ограниченном режиме работают не корректно. Я лично необходимость подобной песочницы не понимаю. Вообще это ахиллесова пята hips продуктов. Надо или задавать на запуск неизвестных приложений вопросы или делать подобную песочницу.
А эти два варианта для рядового пользователя не подходят.
странно сегодня с утра обновление скачало, даже перезагрузку попросило, а версия продукта ен изменилась 8)
Вот скрины этих прог.А ссылку я выше давал.Ну насчет действия песочницы нет сомнений-если её отключить и посмотреть что пишет проактивка (это если еще никакого правила еще нет),и разрешать по одному…Мама не горюй.
[attachment deleted by admin]
Есть ли смысл в автоматическом обновлении версии беты?У меня стоит вручную,т.к предпочитаю читать рецензии к выпускам.Там написано-о версии 5.5.То есть чтобы поставить релиз кандидат нужно снести бета 2?
Обновил версию 5.8(не базы),и проблема о которой я писал теперь отсутствует.Теперь вновь установленный браузер Nyghtly песочница заизолировала,как и положено,но по моей просьбе не изолировать больше,так и поступила.Без перезагрузки.Меня интересует вот что,только не забивайте как мамонта…Уже спрашивал все молчат.
Вот имеем 5.8,запрашиваем обновление вручную,смотрим релиз заметки-речь идет о версии 5.5 с копейками.Вопрос:выходит 5.8 будет качать апдейты(самой программы) к параллельным версиям,пока не выйдет окончательная версия 5.8,так или нет?Просто не пойму смысла.Ничего не могу с собой поделать-тяга к разборке старых будильников!
Нашла недопереведённый участок программы, пожалуйста, поправьте до выхода финальной версии!
[attachment deleted by admin]