Comodo - własny katalog w 'chronione obiekty' w HIPS

Witam, czy jak dodam swoje katalogi w ‘chronione obiekty’ w HIPS to jakiekolwiek działania na nich zostaną zakomunikowane zapytaniem Comodo jak np. do katalogów systemowych, czy czym się to objawi? Ma sens takie coś?

Właśnie sprawdziłem - brak jakichkolwiek monitów w trakcie dostępu do plików w “folderze z danymi”, nic nie wyświetla ani w przypadku zaufanych aplikacji (co jeszcze można zrozumieć), ani w przypadku “nierozpoznanych” (świeżutka kompilacja prostego programu testowego). Spokojnie można dane odczytać i zmodyfikować.

W przypadku dodania pliku do grupy “chronione pliki” Comodo zgłasza wszystkie próby dostępu do pliku przez programy “nierozpoznane”, “zaufane” nadal mają pełny dostęp.

Testowano na Win8x64 i CIS 8 (w wersji firewall) przy użyciu systemowego notatnika (“zaufany”) oraz prościutkiego programiku utworzonego na Microsoft Visual Studio Express 2013 (“nierozpoznany”).

Jeśli chcesz mieć pełną kontrolę nad jakimś “folderem z danymi” to proponowałbym wolumen TrueCrypt.

Czyli powinno się sprawdzać to o co pytałem, dzięki.
Co do TrueCrypta używam go ale do innych zastosowań, do Keepassa nie chce go bo kilka razy zapomniałem go odszyfrować i nie zsynchronizowało mi plików przez dropboxa, a ustawienie automatu w TC chyba nie ma sensu.

norbo, możesz podrzucić ten program testowy?
Generalnie założenie jest takie, że pliki umieszczone w tej kategorii nie będą modyfikowane (odczytywane?) przez nieznane aplikacje.
I niestety nie wiem czy do poprawnego działania tego potrzebny jest włączony HIPS.

Możesz użyć przecież dowolny program wrzucony do “nierozpoznanych”. Ja użyłem czegoś takiego, oryginał już skasowałem:

FileStream fileStream = new FileStream(@"C:\Users\jakis_plik); //owieramy plik

        try
        {
            fileStream.ReadByte(); //odczytujemy bajt
            fileStream.WriteByte(32); //zapisujemy bajt
        }
        finally
        {
            fileStream.Close(); //zamykamy plik
        }
         
        fileStream.Close(); //zamykamy plik

plik znajdował się jako nierozpoznany tylko? To akurat nic nie da :wink: wg opisu na stronie pomocy to ograniczenie działa na aplikacje uruchomione w piaskownicy. Pliki dodane do tej grupy są dla aplikacji w piaskownicy niewidoczne (nie może ich odczytać ani tym bardziej modyfikować)

Sprawdziłem, program uruchomiony w piaskownicy (z prawokliku) może otworzyć plik z “chronionego folderu”. Zmodyfikować go nie może oczywiście ponieważ podczas otwierania w piaskownicy jest wirtualizowany, ale to akurat nie ma nic wspólnego z omawianą tutaj opcją. Wynika z tego, że ta “ochrona” jest fikcyjna. Może ktoś zapomniał ją zaimplementować, albo ma być to zrobione w przyszłości. W każdym bądź razie, na chwilę obecną nie działa.

Hmm

Prosty plik cleantemp.bat czyszczący temp dodany do nierozpoznanych.

Jak widać są odpowiednie komunikaty dotyczące chronionych plików czy też chronionych folderów z danymi.

Test:

  1. Utwórz na dysku C folder TEST - C:\TEST
  2. W powyższym folderze utwórz plik text.txt - C:\TEST\test.txt
  3. W powyższym pliku wpisz coś - np. “To jest test…”
  4. W ustawieniach Comodo dodaj folder C:\TEST do listy “chronionych folderów z danymi”
  5. Pobierz plik testowy - https://dl.dropboxusercontent.com/u/59576095/TEST.exe - dla paranoików: VirusTotal
  6. Uruchom plik testowy - CIS zapyta o to czy uruchomić plik, jeśli pozwolisz nie zapyta czy pozwolić na dostęp do chronionego folderu… - sprawdź zawartość pliku C:\TEST\test.txt
  7. Dodaj plik testowy do “zaufanych” i powtórz kroki 3. oraz 6. - CIS nie pyta o nic… - - sprawdź zawartość pliku C:\TEST\test.txt
  8. W ustawieniach HIPS Comodo znajdź regułe dla pliku testowego (test.exe) i zablokuj dostęp do “chronionych plików i folderów”
  9. Powtórz kroki 3. oraz 6… - - sprawdź zawartość pliku C:\TEST\test.txt

W piaskownicy CIS uniemożliwia dostęp do pliku tylko jeśli w regułach aplikacji wybierzemy “blokuj”, dla opcji “pytaj” program testowy może odczytać plik w “chronionym folderze”.

Cóż
No ok może to trochę kuleje,chociaż jakby nie zezwolić na uruchomienie konsoli to nic nie zrobi,bo i właściwie aplikacja inicjująca sama jest nierozpoznana,więc po co mamy się godzić.
.
Ogólnie najlepiej sprawuje się chronione obiekty/chronione pliki

Dość pokrętna logika, w ten sposób można od razu zamienić wszystkie programy ochronne na prostą bazę “plików zaufanych” :wink: A programiści będą się ustawiać w kolejce do “rejestracji” swoich programów…

Myślę że kolejna wersja 8.2 przyniesie trochę nowości,chociaż popracowął bym też w szczególności nad hipsem i jego komunikatami coś na wzór Spysheltera :slight_smile:

Chociaż w wirtualnej maszynie Spyshelter też kuleje z niewiadomych przyczyn https://safegroup.pl/testy/ctb-locker-vs-antiexe-video-t12069.html

W 8.2 pewnie będzie nowy silnik :slight_smile:

Byle te nowości nie były takie że nawet nowe maszyny ledwo dają radę z comodo. Bo on trochę wymaga od systemu.

Byle te nowości nie były takie że nawet nowe maszyny ledwo dają radę z comodo. Bo on trochę wymaga od systemu.
To fakt, przy włączonych wszystkich modułach wyraźnie opóźnia system. A i sam interfejs też potrafi nieźle lagować.