Вопрос касается самозащиты процессов Comodo, у меня установлен CIS, настройки как в теме по файерволу для новичков, система XP SP3.
Берем утилиту KillSwitch из пакета CCE. С помощью Terminator оказалось можно легко прибить процессы CIS: cfp.exe и cmdagent.exe выгружаются буквально с первых шагов терминатора. Что, в Comodo совсем нет самозащиты? :o Приходит “крутой” вирус, всех лишних прибивает и творит что хочет? ???
На “Кадетах” в теме ежедневного тестирования получаются противоречивые результаты: у кого-то выгружается, у другого – нет, настройки одинаковые. Предположительно, зависит от операционки: на XP прибивается, на Win7 – дает надежный отпор. Разработчики “забили” на XP?
У CIS нет самозащиты. Данный атавизм ему не нужен, поскольку он позволяет на любой процесс, включая свои, навесить любой необходимый уровень защиты. Если не подходят заводские настройки, их можно поменять, только и всего.
Это не атавизм, а реальная необходимость. Ибо простой пользователь надеется, что “из коробки” все правильно работает. Т.е. если специально не докручивать, то к сожалению выходит, что Comodo даже себя не защитит, не говоря уж о пользователе … >:(
Во-первых, всё реально работает из коробки. Можете, например, посмотреть тесты самозащиты на anti-malware.ru. Там CIS “не прошел” пару второстепенных тестов и я даже поцапался там по этому поводу потому, что в ходе теста тулзы “вынимались” из песочницы, т.е. принципы работы по умолчанию нарушались. А самозащита - это атавизм. Из тех времен когда антивирусы (обратите внимание, именно антивирусы) пытались таким образом обезопасить только себя. CIS может аналогичным образом обезопасить и себя, и любое другое приложение. И не надо вот этих вот “Ах, как он же он защитит”. Если есть реальные примеры, будьте добры, приводите. KillSwitch вообще не показатель, он валит процессы драйвером.
Прямо реальных примеров к меня нет. Есть на “Кадетах” примеры продуктов, с которыми KillSwitch ничего поделать не может. Есть примеры фейковых антивирусов, которые выгружают некоторые защитные продукты, после чего в системе творят что хотят (например, AVG в тесте у Rampant’а полностью вылетел после “голосов фконтакте”). Я просто “сложил два плюс два” и представил, что будет если фейк будет действовать как KillSwitch. Или Вы считаете, что вредоносы такие методы не применяют, а культурно спрашивают защиту о своих злонамерениях?
Чтобы “действовать как KillSwitch”, вредонос должен поставить драйвер. Чтобы поставить драйвер он должен оказаться доверенным приложением. Поэтому Ваша арифметика в таком виде не годится. Это что касается заводских настроек. Ничто не мешает настроить установку любых драйверов любыми приложениями через запрос. Дайте ссылку, что мы обсуждаем? Перекапывать кадетов абсолютно не хочется.
Вот это противоречие меня заинтересовало. Сошлись на том, что тесты проводились на разных ОС – XP и 7. Не нравится возможность такой легкой выгрузки, при том что другие продукты либо не позволяют вовсе, либо тут же перезапускают сервисы. По-моему это потенциальная дыра в Comodo …
Ну, хорошо, а если “зловред” будет действовать как IceSword? Тот валит вообще всех без разбору.
С подписью каспера не было, был с “приклеенной” и недействительной подписью каспера, доктора, авиры, ещё кого-то. Это неинтересно. Из реальных подписей “попали” только Realtek и JMicron, но это был Stuxnet, т.е. вообще мутная история. И, имхо, стоит определиться, что мы обсуждаем. Если несовершенство комодовского TVL, то я поддерживаю. Стоит вспомнить, что по этой теме доходит чуть не до драки во множестве тем в английской ветке. Если несовершенство цифровых подписей, то я поддерживаю. Опять же стоит вспомнить, что у Комодо хотя бы ограниченный, хотя и обширный список “доверенных” поставщиков, а есть продукты, которые, на настройках по умолчанию, готовы доверять цифровым подписям вообще. Если обсуждаем возможность запретить завершение процесса, то нужно помнить, что с появлением такой штуки, как Kernel Patch Protection, реальных способов предотвратить завершение процессов/потоков, доступ к чужой памяти или набору регистров со стороны программы, честно получившей законные системные права на это, практически не осталось.
С подписью каспера не было, был с "приклеенной" и недействительной подписью каспера, доктора, авиры, ещё кого-то. Это неинтересно. Из реальных подписей "попали" только Realtek и JMicron, но это был Stuxnet, т.е. вообще мутная история. И, имхо, стоит определиться, что мы обсуждаем. Если несовершенство комодовского TVL, то я поддерживаю. Стоит вспомнить, что по этой теме доходит чуть не до драки во множестве тем в английской ветке. Если несовершенство цифровых подписей, то я поддерживаю. Опять же стоит вспомнить, что у Комодо хотя бы ограниченный, хотя и обширный список "доверенных" поставщиков, а есть продукты, которые, на настройках по умолчанию, готовы доверять цифровым подписям вообще. Если обсуждаем возможность запретить завершение процесса, то нужно помнить, что с появлением такой штуки, как Kernel Patch Protection, реальных способов предотвратить завершение процессов/потоков, доступ к чужой памяти или набору регистров со стороны программы, честно получившей законные системные права на это, практически не осталось.
золотые слова ntoskrnl :-TU И каждое предложение в точку…
по вопросу “белых списков” Comodo:
да действительно стрёмное занятие, когда фаервол дает без вашего ведома права доверенного приложения программе, которая у тебя впервые появилась на компьютере , а ты не знеешь собсвенно, что это за продукт… Но нужно понять, что это сделано разработчиком(Comodo) для пользователей компьютера, которые не разбираются(и не хотят) в его настройках, но которые хотят быть более-менее защищенными от интернет угроз. Установил так сказать CIS с “заводскими” настройками и дальше думаешь только о том, что тебе нужно сделать на компьютере, а не разбираться с настройками антивируса, фаервола, проактивной защиты. К тому же некоторые пользователи впервые слышат эти слова…
Кто более щепетильно относится(и разбирается) к своей интернет-безопасности, разработчик специально сделал эту опцию отключающейся - меню Защита: Настройки проактивной защиты - Настройка Sandbox - Автоматически доверять файлам из доверенных программ установщиков.
Но в этом случае готовьтесь к массе алертов от проактивной защиты при установке различных приложений. И здесь знаний “рядового пользователя ПК” уже может не хватить…
по теме:
для alexo2003:
более точного ответа и нельзя придумать -
Чтобы "действовать как KillSwitch", вредонос должен поставить драйвер. Чтобы поставить драйвер он должен оказаться доверенным приложением. Поэтому Ваша арифметика в таком виде не годится. Это что касается заводских настроек. Ничто не мешает настроить установку любых драйверов любыми приложениями через запрос.
P.S. для себя лишний раз уже убедился, - где ответил ntoskrnl, там уже не нужно думать над ответом в теме
У меня по данному вопросу есть следующее мнение - это хорошо, когда комодо ставится на чистую систему и не даст установиться драйверу, а если система уже была заражена? Одним словом, есть вопросы и мое мнение - в плане самозащиты недоработка.
Как не может? Самый первый пост про Bitdefender, например. Killswitch загрузился, значит драйвер свой запустил, а сделать ничего не смог.
Вот приделали бы к Comodo (как в Ikarus/Emsisoft) простой вариант: выгрузили, ну бывает, срочно запускаем снова. И этого было бы более чем. И не надо переживать про “а вдруг из белого списка кто злонамеренный, а мы ему доверяли …” Тупо грузить сервис, если его нет в памяти.
Я не имел ввиду, что драйвер должен защищаться от драйвера, считаю, что процесс инсталяции для такой системы защиты, как комодо, мягко сказать упрощен. Мне, например, нравится идеологически как это происходит в online armore, когда пользователь имеет возможность при обучении сам решить, какой например,не известный армору драйвер сделать надежным, а какой нет,virustotal есть при этом, если есть вопросы. А комодо все драйвера и dll-библиотеки считает надежными. О какой самозащите тогда может идти речь при установке на не вновь установленную операционную систему?
Возможно, бит просто никому де даёт хэндлы своих процессов, не проверял. Возможно, что Комодо относится к своему же Killswitch как-то иначе. Чтобы однозначно на это ответить, мне нужно сравнить исходники процессхакера, который не может ничего сделать и киллсвитча. И смоделировать всё это самому. Пока у меня есть только подозрения на некоторые аномалии “в районе” NtOpenThread и NtSetContextThread. Мне их нужно проверить. Заранее говорю, если мне не удастся подтвердить результаты KillSwitch’а, находясь только в третьем кольце, буду считать вопрос исчерпанным.
ИМХО, лишенная смысла показуха. Ещё раз, если для остановки сервиса необходим дрйвер, то сервис уже можно не перепускать, пустая трата времени. К тому же следует учитывать, что у комодо иной, нежели у конкурентов, принцип работы. У него драйвер поддерживает политику безопасности, а не сервис и, при соответствующих настройках, убить сервис или ГУИ - значит полностью рубануть себе “кислород” по всем направлениям.
CIS при установке предлагает проверить систему на наличие малвари. А определить, какой драйвер нужен, а какой нет, можно и без него. Честное слово, не хочется, чтобы CIS превратился в какое-нибудь чудовище, вроде большинства нынешних продуктов, которые постоянно предлагают сделать что-то, о чём их не просят.
По порядку. Если говорить о CCE, то, если уже он запущен, то как минимум он в доверенных процессах комодо и нет ничего удивительного, что имеет возможность выгрузить комодо. Пропишите соответствующие правила и не будет выгружать. Теперь по поводу излишеств в других продуктах - я это рассматриваю с другой точки зрения и не склонен считать разработчиков online armora глупыми людьми. Лично я рассматриваю отсутствие функции ручного анализа неизвестных исполняемых файлов при инсталяции комодо как существенную брешь в самозащите. Согласен, что квалифицированный пользователь сначала вычистит свою систему, а обычный? Сделайте анализ драйверов при инсталяции, обнаружится ведь совсем не много не подписанных. Иначе действительно “драйвер от драйвера не защитит”.
artur777, я уже писал выше, что если для завершения комодовских процессов нужен драйвер, то наша дискуссия теряет смысл.
И я не считаю разработчиков OA глупыми людьми. Я уже написал выше, что и в CIS есть возможность проверить систему на предмет заражения. Кроме того никто и никогда не рекомендовал ставить подобные продукты на зараженные системы, наоборот, рекомендуется сначала обезвредить заразу, если она есть. И ещё, Вы считаете, что “обычному пользователю”, нужно дать возможность вырубать драйвера? В которых он, будучи обычным, ничего не смыслит?
Не совсем понял, кто должен сделать анализ драйверов. И давно Вы видели неподписанные драйверы? Это, практически, уже в прошлом. “Особенно” на x64.
Как я понял, и Process Hacker и Killswitch (в котором более старая версия PH) используют метод загрузки низкоуровневого драйвера. И поэтому от такой техники никакое защитное ПО ни ка какой системе устоять не может. То, что у некоторых (например, Bitdefender) тест вроде как проходит – означает только то, что драйверу KProcessHacker не дали загрузиться, там в окошке терминатора в таких случаях всегда присутствует запись “Not available”, что значит драйвера нет.
На зараженном компьютере я видел не подписанный драйвер совсем недавно.И Вы серьезно считаете, что не опытный пользователь перед установкой комодо может сам досконально вычистить систему? Согласен, на x64 дело обстоит совсем по другому, но еще очень много пользователей сидят на XP x32.В общем, не совсем Вы меня переубедили, каждый останется здесь при своем мнении, просто хочу отметить, что вопросы в топиках подобные “почему CCE выгружает комодо”(еще и проводят тесты) свидетельствуют о том, что даже не все опытные пользователи четко понимают принципы защиты комодо, что свидетельствует о не очень хорошем юзабилити. Это просто личное мнение.
У меня по данному вопросу есть следующее мнение - это хорошо, когда комодо ставится на чистую систему и не даст установиться драйверу, а если система уже была заражена? Одним словом, есть вопросы и мое мнение - в плане самозащиты недоработка.
кстати, по этому вопросу можете потестировать такую функцию
