Песочница в Comodo:миф или реальность?

Уже где-то месяц пользуюсь CIS-впечатления только положительные!Нашел стоящую альтернативу платному антивирусу.Но вот на днях решил проверить защиту Comodo с помощью лик-тестов.Вот с этой страницы их скачал:
http://www.pcflank.com/leaktests_info.htm
Антивирус Comodo при скачивании ругался,объявляя все файлы вирусами-прописал их в исключения.Настройки CIS все по-умолчанию,песочница включена,файерволл и проактивная защита-безопас.,антивирус-кумулятив.
Запускал скачанные файлы,Комодо всех прятал в песочницу,при всех вопросах я отвечал блокировать.
И что в итоге…треть или половину тестов Комодо провалил!Более того начальная страница IE поменялась на французский Гугл!Рабочий стол изменился до неузнаваемости:надписи к ярлыкам стали белыми на черном фоне!Меня аж покоробило…Но и это еще не все…Через какое-то время тема рабочего стола Alfa вообще пропала.Вместо нее появился кусок страницы с таким содержанием(дословно):"надо было пользоваться встроенным брандмауэром виндоуз!"И ссылкой на какой-то хакерский сайт…Как вам это,а?!Вот поддонки!..Вот уроды!..И не верь после этого антивирю Комодо!
Ну ладно,думаю,что делать?Восстановил систему из резервного снимка Акрониса.Вроде нормально пашет все…
И что за хрень с этими хакерами французскими?И чего это вдруг Комодо так облажался?Ну,думаю попробую-ка рискну еще раз,проверю…Только песочницу отключу.
И что оказывается-все тесты на ура,все заблокировано,граница на замке!
Так вот чего-то не вкурю я никак в эту песочницу.Нахрена она,если мерзости такие допускает!Тут прям войну Франции хоть щас объявляй!
Пацаны,грамотный кто,черкните маляву.

[attachment deleted by admin]

Тестовая программа может не понять, что она изменила виртуальный реестр, а будет считать его за настоящий, поэтому если она выдает что тест не пройден, то это ещё не факт что тест не пройден, так что результаты не настолько плачевны. Песочница это альтернатива хипсу, она менее надежная, но более автоматизированная. Это беда всех песочниц, не только comodo, я сам им не доверяю, пользуюсь только хипсом.

Так дело все в том,что изменения,сделанные,запущенными лик-тестами оказались реальными,а не виртуальными(как должно бы по идее быть!)И при чем изменения произошли в довольно значимых областях реестра-стартовая страница браузера,тема раб.стола.И еще куча изменений в файловой системе-какие-то скрытые файлы,dll-ки и.т.д.
Вообщем,я для себя сделал вывод,что песочница не работает должным образом с настройками по-умолчанию(контроль исполнения приложений-частично ограниченное)Может контроль исполнения приложений выставлять на недоверенное?И тогда это действительно будет виртуальная песочница?Или имеет смысл вообще ее отключить?

Песочницы по надежности намного хуже хипсов, я где-то видел тест песочниц, там все песоницы тест провалили. А всё потому что они не всё виртуализируют.

Да,согласен!Хотя если запускаешь в той же песочнице браузер,то все виртуализируется,как и должно быть.Допустим,скачиваешь файл какой-нибудь в папку C/Downloads,смотришь а его там нет.Он в песочнице:C/VirtualRoot.
Значит,не всегда успевает Sandbox исполняемые файлы виртуализировать!Хотя задумка отличная.Будем надеятся в новой версии эти баги исправят!

Извините neron, но может Вы что то перемудрили с настройками\правилами CIS?
Специально прошел по вашему линку - http://www.pcflank.com/leaktests_info.htm и прошел тест. При закачке предложенных для теста вирусов всегда выскакивал алерт антивируса CIS - “Обнаружен опасный объект”, при правильном реагировании на который - нажатии кнопки “Очистить”, файл с вирусом удалялся(см. скрин ниже). Только последний(снизу) файловый архив был закачен и сохранен, но при распаковке его вылез опять алерт антивируса, при юзании той же “волшебной” кнопки он был начисто удален. Может вы нажимали “Игнорировать” давая возможность закачать файл для проверки, тем самым разрешая его дальнейшие деструктивные действия на компьютере?

Далее, решив в очередной раз проверить CIS следующим тестом - Firewall Test for Computer Security is a Free Personal Firewall Test , скачал его и CIS тоже прошел его “на ура”- 340\340(см. скрин). Причем как с песочницей, так и без неё.


У Вас установлен CIS(антивирус+фаервол) или фаервол COMODO+антивирус другого производителя? У меня сейчас нет возможности проверить один HIPS проактивки фаервола Комодо, т.к. перешёл с него на "полный комбайн" CIS, может быть с одной проактивкой результат теста был бы другой..

[attachment deleted by admin]

Здравствуйте,Serb!У меня установлен CIS 5(полная версия).Других установленных программ безопасности на моем компьютере нет.По поводу скачанных файлов я уже писал,что при алертах антивируса Comodo добавлял их в исключения.Настройки стояли все по-умолчанию(как при установке),т.е. ничего не менял принципиально.При запуске всех тестов при появлении алертов проактивки выбирал блокировать.Итог,как я уже писал выше,-изменение рабочего стола,т.е. важного параметра реестра(ниже прилагаю скриншоты-обратите внимание на издевательскую надпись:"у вас есть персональный файрволл,а другие в нем не нуждаются!)После этого,откатившись к предыдущему состоянию системы,я решил проверить в чем здесь дело и какой из файлов смог пробить песочницу.Для этого я снова провел тесты на этих образцах,каждый раз меняя настройки(уровень контроля исполнения приложений-с недоверенного до частично ограниченного и вообще с отключенной песочницей-всего 5 видов настроек.)
И вот к какому выводу я пришел.ЗАРАЖЕНИЕ ПРОИСХОДИЛО ТОЛЬКО ПРИ НАСТРОЙКАХ ПО-УМОЛЧАНИЮ!!!С отключенной песочницей проактивная защита сразу выдавала ярко-красное окошко о попытке Breakout-wp.exe(это третий в списке) изменить значение реестра.В других случаях она молча блокировала зловреда в песочнице(читал журнал)И только в последнем случае(с заводскими настройками)она тихо пропустила удар.
Я,конечно,понимаю,многие могут сказать,мол,сам виноват-раз Комодо обнаружил вирусы,надо было удалять,а не запускать у себя на компьютере.И в этом плане(антивирус) к Комодо вопросов нет.А вопрос,на мой взгляд,стоит именно в потенциальной уязвимости песочницы.К ее возможным пробоям и обходам.
Буду рад услышать ваше мнение по всему вышесказанному.

[attachment deleted by admin]

Хотите знать как просто обмануть любой антивирус читайте _ “Евристика которую ми поимели”
http://berloga.net/view.php?id=137950

P.S.По поводу теста CLT(Comodo Leak Test).Согласитесь,было бы странно если бы Комодо заваливал свой собственный тест?! :slight_smile:
Кстати,у меня аналогичный результат-340/340

neon
Антивирус Comodo при скачивании ругался,объявляя все файлы вирусами-прописал их в исключения. 88)

Уважаемый neron ! Ваша ошибка похоже вот в этом:

По поводу скачанных файлов я уже писал,что при алертах антивируса Comodo [u][b]добавлял их в исключения[/b][/u]
- тем самым Вы разрешили тестовым вирусам впоследствии делать "своё чёрное дело" на вашем компьютере. Как антивирусу себя вести в случае, если вы вначале разрешаете данному определенному вирусу доступ к вашей машине, занося его в исключения(типа не трогай!), а затем блокируете его при запуске? Я вообще удивляюсь, как антивирусник Комода, после занесения данного имени вируса в исключение, опять выдавал алерт на это имя вируса, - здесь возможно сыграл свою роль облачный поведенческий анализ и HIPS. Это всё равно что одновременная команда: "Стой-не трогай,-кусай его!" Вот тут похоже и Песочница "сошла с ума" в недоумении, что же ей делать :D

Возможно,все так,как вы и говорите.Ведь CIS-это комплексное решение,где все компоненты взаимодействуют между собой.Логично,если исходить из определения,что песочница была создана для предотвращения заражения системы неизвестными вирусами.А я их записал в исключения.
Но меня смущает то,что именно с отключенной песочницей удалось блокировать все попытки заражения.Выходит,что песочница-это больше компонент антивирусной защиты,нежели проактивной?
На иностранном форуме Комодо я прочел,что все эти тесты на утечки(в том числе любимый вами CLT)нужно проводить с отключенной песочницей.Кстати,совсем недавно CLT.exe тоже считался вредоносным!Что не мешало ему при добавлении его в исключения антивируса успешно проходить тест!Так в чем здесь загвоздка не пойму.

Нашел справку по песочнице CIS 5:
https://forums.comodo.com/defense-sandbox-help-cis/introduction-to-the-5x-sandbox-t61169.0.html
Правда она на английском.Теперь все стало более менее ясно.Вот несколько цитат:

“Песочница СНГ помогает СНГ предоставить ‘достаточно хорошей безопасности’ минимальное неудобство. Это делает это, покупая время должно было сделать обоснованное суждение по безопасности непризнанного файла вместо того, чтобы требовать мгновенное решение от пользователей через тревоги. Время, ‘купленное’ таким образом, может использоваться Comodo, чтобы проанализировать файлы или пользователем, чтобы исследовать их.”

"Автоматический сэндбоксинг не делает виртуэлиз Файлов программного обеспечения, и регистрационные ключи, созданные программным обеспечением, НЕ сохранены в отдельном месте на Вашем жестком диске. (Вместо этого чтобы защитить системную целостность, сэндбоксед программе препятствуют писать защищенным папкам, существующим ранее файлам, и регистрационные ключи - видят связь выше для деталей).

“Песочница СНГ не перехватывает all действия сэндбоксед программным обеспечением. Таким образом, это не может успешно, песочница устанавливала программные файлы и так не может вытереть все следы установленного программного обеспечения от Вашей системы, если Вы решаете неустановить это. Однако это действительно обеспечивает хорошую защиту другими способами (см., как песочница работает), и эти средства постоянно улучшаются.”

"Это разработано, чтобы предоставить ‘достаточно хорошей’ безопасности минимум тревог, которые должны быть достаточными для большинства пользователей. Это не разработано, чтобы обеспечить максимально возможный уровень безопасности.

Непризнанное программное обеспечение автоматически сэндбоксед, использование частично ограниченной политики по умолчанию ограничено следующим образом. Это не может:
напишите (то есть заразите), существующие защищенные файлы или регистрационные ключи
файлы снижения в защищенных справочниках
возьмите некоторые админ привилегии (например, Отладка и водитель, загружающий)
ключевая регистрация или экран захватывают за наиболее известные методы
крюки окон набора
доступ защищал интерфейсы КОМ
доступ нон-сэндбоксед применения в памяти
получите доступ к Интернету без выяснения.
Вы можете увеличить эти ограничения и добавить ограничения доступа операционной системы (ограничения УЭК-типа Эг) , изменяя уровень ограничения по умолчанию в Параметрах настройки Выполнения Изображения под Защитой плюс параметры настройки."

Все-таки выходит,что песочница-это такой компромисс между удобством и безопасностью.Чтобы лишний раз не беспокоить пользователя пугающими сообщениями проактивной защиты:
-мол,Вась,тут какой-то EXE.EXE пытается получить доступ к защищенному интерфейсу СОМ.Че делать-то будем?
Вася в шоке…
-Откуда я знаю!Сама с ним разбирайся!

;D ;D ;D :-TU

Тестировались песоницы comodo и касперского и оба облажались:

Обясните пож в чем прокол писочници коль нетрудно на видео по первой ссилке.
Чувак ссилки юзает а все детектируется вроде как все ГУД ) ???

Там смысл в том,что он все нераспознанные объекты запускает в песочнице.Из них оказался один фэйк(ложный антивирус),который и установился в систему.Хотя полного заражения не происходит(я имею в виду критические области)
В том то и дело,что песочница при запуске в ней программ установки сразу выдает запрос:"приложение не распознано и требует неограниченный доступ к компьютеру!"При запуске установки программы в сандбоксе неизбежны следы в системе (см. мой пост выше)-что чувак и видит при сканировании компа утилитой MalwareBytes.
В целом Комодо справился на отлично!
P.S.Хотел бы я посмотреть на машину с Авира или НОД32 после таких “экспериментов”!(Там бы Виндоуз в безопасном режиме запустить - это уже счастье!)

Comodo 5
leak test из песочницы. вроде все ок.

http://img573.imageshack.us/img573/7103/16687785.png

Не обольщайтесь.Это тест.Тем более тест,разработанный Комодо.Они что будут пилить сук,на котором сидят?!
И потом,посмотрите,что песочница не блокирует запуск процессов(IE).Если ей и пользоваться,то менять обязательно настройки контроля исполнения неопознанных файлов-ограниченное,а лучше-недоверенное.

Так объясните мне:лучше с песочницей,или без нее(то есть,песочница не мешает обнаружению опасных объектов,если она включена)???