Настройки.
Версия - Comdodo 6.2.
Конфигурация - Proactive Security.
HIPS - Безопасный режим.
Поведенческий анализ - выключен.
Все правила в HIPS по умолчанию. Т.е. для explorer.exe стоит разрешенное приложение.
Ситуация.
Создаем файл hosts на диске D и батник host.bat там же с командой
rename "D:\hosts" "hosts00"
Запускаем батник с помощью explorer.exe и получаем запросы от HIPS на все его действия. Что логично, т.к. батник недоверенный файл.
Запускаем батник с помощью cmd (D:\host.bat) не получаем вообще запросов от HIPS. Батник просто выполняется.
Почему нет запросов от HIPS при запуске батника с помощью cmd.exe?
Я понимаю, что cmd.exe доверенное приложение, но батник нет. При этом explorer.exe тоже доверенное приложение, но запросы HIPS есть.
При этом в параноидальном режиме запросы для cmd.exe есть.
Вторая ситуация.
Настройки те же.
Запускаем какое-нибудь недовершенное приложение. Получаем кучу запросов от HIPS. Про прямой допуск к диску, клавиатуре… все запрещаем. Но приложение тем не менее спокойно открывает файлы, играет музыку, показывает картинки, управляется с помощью клавиатуры… Ну и к чему эти запреты если они не работают?
Просто батник, по сути, не запускается.
cmd.exe (программа-интерпретатор) просто считывает информацию с bat файла (как с обычного текстового), а выполняет команды уже от себя. А т.к. считывания информации с файла не запрещается, то без запросов… как то так…
Если запустить какой-нибудь *.exe файлик, из cmd, тогда на подобное действие должен быть запрос, т.к. тут уже будет производиться именно запуск приложения от cmd.exe.
Прямой доступ к диску - это не значит, что запрещено чтения данных с диска.
Подобный доступ, обычно требуется, например, для дефрагментации и т.п. где необходим по секторный доступ к диску. Например, некоторые вирусы могут переписать загрузочный сектор (MBR) и на подобные действия требуется прямой доступ к диску…
Прямой доступ к клавиатуре – опять же, это не значит, что запрещено управление приложением с помощью клавы. Но, запрещается (для выбранного процесса) логирование/имитирование нажатий клавиш в сторонних приложениях (KeyLogging).
Просто батник, по сути, не запускается.
cmd.exe (программа-интерпретатор) просто считывает информацию с bat файла (как с обычного текстового), а выполняет команды уже от себя. А т.к. считывания информации с файла не запрещается, то без запросов... как то так...
Логично.
И так. В безопасном режиме запросы идут только от имени батника, т.к. он недоверенный файл.
От cmd.exe все выполняется без запросов, т.к. cmd.exe доверенное приложение. Так и должно быть!
В параноидальном режиме при запуске батника запросы идут от имени cmd.exe, на то он и параноидальный режим, чтобы отслеживать действия всех приложений.
С точки зрения безопасности наверно угрозы нет, так для такого сценария необходимо запустить cmd.exe, а сделав это через недоверенное приложение будет запрос.
Но вот момент. Я сделал правило для cmd.exe, где во всех пунктах стоит Спросить. Так вот по логике в безопасном режиме на все действия cmd.exe должны выдаваться запросы, но их нет. Попробовал с другим доверенным приложением - тоже самое. Т.е правила в HIPS (безопасный режим) работают только для недоверенных приложений.
Снял галки в Рейтинге файлов
Доверять приложениям, установленным с помощью доверенных инсталляторов.
Эффекта нет.
П.С.
Приоритет в CIS отдается не правилам, а списку доверенных файлов.
Убрать cmd.exe из этого списка удалось только отключив облачные технологии. С ними файл автоматом заносился в доверенные файлы.
Если убрать файл cmd.exe из доверенных будет действовать правило.
Разумеется, если приложение добавлено в локальную базу доверенных приложений (не путать с политикой безопасности), то прописанные правила в политике безопасности, для этого приложения, не учитываются (при безопасном режиме HIPS).
Список доверенных файлов составляется на основе, либо облачной проверки, либо из локального списка доверенных поставщиков (проверка ЭЦП), а также у comodo есть внутренний список поставщиков, который, к сожалению, недоступен для редактирования/просмотра.
В ‘безопасном режиме’ - да. В ‘параноидальном’ - наоборот.
Неверный вывод.
Исходные данные:
HIPS - безопасный режим (режим “без оповещений” с установкой “блокировать запросы”);
cmd.exe - тестовая площадка;
Random Password.exe - доверенное приложение;
fact.exe - неизвестное приложение.
Результаты проверки:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
f:>“Random Password.exe” (запуск доверенного приложения. Запущено)
f:>fact.exe
Отказано в доступе. (запуск неизвестного приложения. Запуск блокирован)
f:>“Random Password.exe”
Отказано в доступе. (установка запрета в правилах для cmd запускать Random Password.exe и попытка запуска. Запуск блокирован)
f:>
П.С.
Приоритет в CIS отдается не правилам, а списку доверенных файлов.
[quote="sashkovishe post:4, topic:292163"]
Разумеется, если приложение добавлено в локальную базу доверенных приложений (не путать с политикой безопасности), то прописанные правила в политике безопасности, для этого приложения, не учитываются (при безопасном режиме HIPS).
[/quote]
Если для приложения явно заданы разрешения/запреты, то степень его доверенности роли уже не играет.