Comodo блокирует системные процессы

cis666 · April 14, 2019, 6:23pm

Здравствуйте! Где-то месяца 2 назад, появились неприятные симптомы, о них чуть ниже, пришлось на какое-то время отказаться от Comodo. Думал, что проблема в 11-й версии, но вчера по подписке обновился до CIS Pro 12 и все повторилось, а именно : перезагрузка компьютера 3-4 мин [Comodo… Это приложение не позволяет вам перезагрузить компьютер…], приложения очень долго открывались, иногда с ошибками. Переустановил систему. Я достаточно консервативен в плане софта из новинок пожалуй только драйвера Nvidia с DCH. Использую Windows 10 LTSC 2019, вообще Comodo поддерживает эту OS?

Xeno · April 15, 2019, 1:27pm

Попробуй установить CIS 10.0.1.6294.

cis666 · April 15, 2019, 10:33pm

Проблему решил сменой Proactive Security на Internet Security
Система быстро перезагружается, приложения не зависают
CIS Pro 12.0.0.6810

Xeno · April 16, 2019, 12:38pm

В конфигурации Internet Security по умолчанию отключен HIPS.

cis666 · April 16, 2019, 5:06pm

Я знаю, что HIPS отключен, всё больше грешу на какое-то февральское обновление Windows для LTSC 2019

Xeno · April 16, 2019, 5:19pm

В Комоде, начиная с версии 10.0.2.6396, добавили проверку сертификатов. Работает эта примочка довольно криво, из-за нее и могут быть тормоза, зависания и т.п.
Поэтому и предложил проверить работу 10.0.1.6294, в к-рой проверки сертификатов нет.

igorb · April 17, 2019, 8:02am

В Комоде, начиная с версии 10.0.2.6396, добавили проверку сертификатов. Работает эта примочка довольно криво, из-за нее и могут быть тормоза, зависания и т.п.

Данный функционал не изобретение Комодо, это стандартное апи винды. Сама ОС проверяет сертификаты подписанных файлов точно таким же способом. Подтормаживания могут быть только в случае если запускаемый файл с unrecornized рейтингом + вендора этого файла нету в вендор листе + сертификата (которым подписан этот файл) нету в винде + нестабильное сетевое подключение. Если все эти факторы присутствуют то возможно подтормаживание при первом запуске программы.

Xeno · April 17, 2019, 12:42pm

igorb post:7:

Данный функционал не изобретение Комодо, это стандартное апи винды. Сама ОС проверяет сертификаты подписанных файлов точно таким же способом.
Подтормаживания могут быть только в случае если запускаемый файл с unrecornized рейтингом + вендора этого файла нету в вендор листе + сертификата (которым подписан этот файл) нету в винде + нестабильное сетевое подключение. Если все эти факторы присутствуют то возможно подтормаживание при первом запуске программы.

Хм, еще раз: проверка сертификатов в Комоде работает криво. Там, где ОС определяет сертификат, как действительный, у Комода он - неопознанный. И наоборот.

igorb · April 17, 2019, 12:49pm

Там, где ОС определяет сертификат, как действительный, у Комода он - неопознанный. И наоборот.

Не видел такого, если чесн. Есть ли багрепорт на форуме или, возможно, топик какой-то?

Xeno · April 17, 2019, 1:58pm

Вот, нашел пару скринов (см. аттач). О багах давно уже не пишу, энтузиазм закончился.

cis666 · April 17, 2019, 9:47pm

У меня только пара недоверенных сертификата: Blizzard и Adguard, всегда их добавлял в доверенные.
Переключился сегодня на проактивку и получил черный экран с курсором после перезагрузки, похожая тема:
https://forums.comodo.com/install-setup-configuration-help-cis/black-screen-when-windows-10-starts-t120778.0.html
Честно говоря, надоело уже переустанавливать систему, хоть это и достаточно быстрый процесс, наверно побуду месяц-другой на защитнике Windows, приятное впечатление он о себе оставил… хоть мне это и тяжело писать после почти десятилетия с Comodo ((

igorb · April 18, 2019, 6:26am

Переключился сегодня на проактивку и получил черный экран с курсором после перезагрузки, похожая тема:

это ХИПС не дает загрузиться. В нем нету разрешающих правил для процессов вашей системы. Чтоб такого избежать следует включить опцию "создавать правила для безопасных приложений" или некоторое время подержать ХИПС в режиме обучения

надоело уже переустанавливать систему

можно в безопасном режиме загрузиться и удалить CIS, после этого все загрузится

Xeno · April 19, 2019, 4:06am

HIPS не может препятствовать загрузке ОС, т.к.:

в настройках HIPS по умолчанию есть правило для системных процессов Windows;
HIPS не работает до загрузки GUI Комода.

В конфигурации “Proactive Security” режим HIPS по умолчанию - “безопасный”, правила в этом случае не нужны, избыточны и даже вредны, т.к. при наличии правила в HIPS Комод перестает проверять это приложение на целостность, предоставляя этим потенциальную возможность подмены.

igorb · April 19, 2019, 6:04am

В дефолтном сетапе есть, конечно, но эти рулы не покрывают все системные процессы, драйвера etc.

2. HIPS не работает до загрузки GUI Комода.

Работает

В конфигурации "Proactive Security" режим HIPS по умолчанию - "безопасный"

Безопасный, да, но в данном режиме "создавать правила для безопасных приложений" не активировано, а значит не известные CISу файлы могут быть блокированы хипсом

правила в этом случае не нужны, избыточны и даже вредны, т.к. при наличии правила в HIPS Комод перестает проверять это приложение на целостность, предоставляя этим потенциальную возможность подмены.

Целостность в данном случае что значит? Если файл изменится то отработает файл рейтинг/контеинмент/вирусскоуп/АВ наконец-то

cis666 · April 19, 2019, 10:48am

Ну вот, наконец-то все работает… но только на Windows 10 Pro x64 1809 ( 17763.437 ). К сожалению от LTSC 2019 пришлось отказаться ((

Xeno · April 19, 2019, 12:14pm

Живой пример:
Конфигурация: “Proactive Security”; безопасный режим; не показывать оповещения - блокировать запросы.
Самописная программа, для к-рой прописан автозапуск в HKCU\Run; в доверенные добавлена вручную.
Меняю программу на новую версию, перезагружаю ОС и… программа беспроблемно запускается. Когда прогружается GUI Комода, в процессах она обозначена, естественно, как неопознанная. Возникает закономерный вопрос: как могла запуститься неопознанная программа при работающем HIPS?
Ммм? :o

Безопасный, да, но в данном режиме "создавать правила для безопасных приложений" не активировано, а значит не известные CISу файлы могут быть блокированы хипсом

Какая связь между правилами для безопасных приложений и не известными Комоду файлами?

Целостность в данном случае что значит? Если файл изменится то отработает файл рейтинг/контеинмент/вирусскоуп/АВ наконец-то

Целостность означает именно целостность, т.е. неизменность. При наличии правила в HIPS рейтинг не влияет на запуск. Про автопесочницу/вирускоп ничего не скажу, отключены за ненужностью. АВ отработает только в случае детекта малвари, что далеко не 100%.

igorb · April 19, 2019, 1:00pm

Но она же добавлена в доверенные, чего бы ей не запуститься? Кроме того, ХИПС оперирует путями, а не хэшами файлов.
Если важна данная папка/файл - добавьте их в Protected Objects.

Возникает закономерный вопрос: как могла запуститься неопознанная программа при работающем HIPS?

Запуститься могла. Никто ей это не запрещал. Был бы включен контеинмент то она запустилась бы в нем. А вот могла ли она сделать что-то - надо разбираться ибо не просто ж так она определилась. Если есть данная программа то можете в личку скинуть. Вполне возможно что она запустилась, но "ножки-то ей пообрезали"

По поводу ГУЯ. ХИПС - драйвер. Он раньше гуя грузится.

Какая связь между правилами для безопасных приложений и не известными Комоду файлами?

Файл известный, он ранее добавлен пользователем в рулы ХИПСа

Целостность означает именно целостность, т.е. неизменность.

Целостность = неизменность хэша. Запустите приложение, закройте его, измените его и запустите снова. После этого вы найдете 2 приложения с одинаковым путем/именем в файл рейтинге. Хэши отслеживаются и если приложение неизвестное то мог бы отработать Containment, но в его выключили.

При наличии правила в HIPS рейтинг не влияет на запуск.

Вы не правы. Добавьте приложение в разрешенные в хипсе, а потом этому приложению сделайте статус "malisious" в Файл Рейтинге и запустите приложение.

cis666 · April 19, 2019, 1:25pm

Все, отработался. Открытые приложения можно свернуть/развернуть, просто запустить приложение невозможно, через 5 минут открылось белое окошко Dragon и черное Steam, на Comodo постоянно крутится кружок. Тема закрыта, жаль потраченного времени

Xeno · April 19, 2019, 1:51pm

Бред. В доверенных была предыдущая версия программы.

Кроме того, ХИПС оперирует путями, а не хэшами файлов.

Бред №2. Рекомендую изучить предмет.

Запуститься могла. [b]Никто ей это не запрещал[/b].

Бред №3. Запуск неопознанных запрещен настройками, было указано выше. ... Ну хорошо, на пальцах, в картинках: pic1 - файл в активных процессах, рейтинг - доверенный, билд 685; pic2 - замена текущего файла новым; pic3 - сообщение при запуске нового файла; pic4 - рейтинг нового файла в списке Комода; pic5 - запись в журнале о попытке запуска нового файла; перезапуск ОС; pic6 - новый файл в активных процессах, рейтинг - неизвестный, билд 688.

igorb · April 19, 2019, 2:22pm

А есть аргументы? Ибо написать “Бред” не сложно, но аргументировать уже сложнее. Возможно Вы заблуждаетесь.
Попробуйте провести маленький эксперимент из моего предыдущего поста. Это не сложно и не займет много времени. Если сложно с шагами воспроизведения - помогу.

Бред. В доверенных была предыдущая версия программы. Бред №3. Запуск неопознанных запрещен настройками, было указано выше.

Запрещено или разрешено?