Проясните пожаилуста как Комодо брандмауер определяет кому выходить в сеть , или я чего то непонимаю или что то не так делаю ?
Например : разришаю выход “Chromium” броусера в интернет , блокирую выход “Leaktest” от GRC , потом из папки “хромиум” удаляю разрешёный хроме.ехе и вместо него ставлю заблокированый леактест.ехе только переиминовав его в хроме.ехе , и заблокированый леактест выходет в сеть без единого вопроса со стороны Комодо … Как я понял из етого непроизводится никокой проверки исполняющего фаила со стороны Комодо , так зачем тогда нужен такой брандмауер ? Для полной ясности я заснял весь процес…
Надо было проактивку тоже установить, она бы выдала алерт на то что файл chrome.exe пытаются изменить.
Проясните пожаилуста как Комодо брандмауер определяет кому выходить в сетьCIS не хранит хэш сумму файла для которого создается правило, а это значит что при замене одноименным файлом фаервол посчитает что ничего не поменялось! Единственным препятствием на этом пути есть D+
Не совсем. 
Сейчас даже если занести файл в защищаемые D+, то при попытке его замены explorer’ом D+ действительно даст алерт, НО если заменить этот защищаемый файл из Total Commander, то D+ промолчит. (В правилах D+ для ТС стоит СПРАШИВАТЬ для защищенных файлов) - вот такие пироги. Проверил очередной раз на версии 4.0.138377.779
У меня выдает алерт, что я делаю не так?
Всё зависит от настроек, как настроил так и выдает.
DefZyx спасибо за ответ , то что я и хотел услышать , без дефенсе+ просто урезаный фиревалл и то трудно так назвать . И ещё одна проблемка , я вродебы тестил с включёным дефенсе+ , попробую ещё разок …
Может я что-то делаю не так, прилагаю скриншоты своих настроек и действий, сверте со своими пожалуйста.
Сейчас после скриншота 007 у меня алерта нет. (В безопасных файлах ТС - нет)
[attachment deleted by admin]
Да как и думал у меня ничего не отключено , кроме антивируса (ловит мой леактест как вредителя) и песочницы , дефенсе+ стоит на “сафе” режиме , по настроикам нелазил , потому что пробою дефаултную установку , а на ней одни дыры 
. Дефенсе при замене и переименований даже и непикнул .
Так я всегда любил етот фиреволл и тестил его с версий о.Х , но недумал что с появлениями новых версий он станет настолько слабее . Понимаю что ведётся борьба с окнами вопросов , но не такой ценой… Мне не сложно включить все настройки на “спрашывать” , но что делать неопытному “юзеру” ?
Все эти трансформации ядра связаны с песочницей COMODO. Если бы она работала по принципам sandbox, то произошло бы следующее: при активности неизвестного для CIS приложения он бы помещалось его в песочницу c полной виртуализацией среды, и все действия этого “зловреда” физически не повлияли на файлы вне виртуальной среды, и Firewall не должен при этом использовать правила которые созданы для файлов вне виртуальной среды. Сейчас же автоматическая песочница не дает изменять некоторые критичные участки системы, все остальное можно менять! :o ( не тестил песочницу CIS т.к. знаю что она пока мало пригодна к использованию и не совсем отвечает принципам sandbox.)
Вы не разобрались с логикой работы программы. Вы заменяли и переименовывали файл доверенной программой, с проверенной цифровой подписью. Поэтому защита “не пикнула”. Если зловред попытается переименовать или заменить файл, то пикнет, ещё как и не раз.
Вы ошибаетесь. Еще раз повторю:
- В моих доверенных файлах ТС нет;
- Цифровых подписях Моих доверенных поставщиках ТС нет;
- В политике безопасности компьютера использовать защищенные папки и файлы для TC стоит Спрашивать;
- В настройках Проактивной защиты галочка “Доверять приложениям, подписанными доверенными поставщиками” снята.
Я что-то упустил из внимания?
Отключил доверять “трустед вендорс” , убрал ехплорер с списка виндовских системных програм , а изменилось только что появилось пара новых предупреждений от Д+ , одно что експлорер хочет запустить програму , а второе что Д+ гевристика подозревает что “леактест” является чем то нехорошим , я позволил исполнение , и “леактест” опять безпрепятсвено вышел в сеть , хотя в правилах фиревола ему запрещена сетявая активность…
Невижу никакой логики .
henris
А попробуйте заменить хром леактестом сразу, настройки D+ по умолчанию что-то скажут?
т.е. не удатять хром, а потом копировать леактест а скопировать с заменой. у меня лично алерта нет если через TC, а у viktorsvv есть.
Никаких алертов ни при замене , ни при выходе в сеть…
Да, извеняюсь, невнемательно посмотрел. Действительно D+ нормально работает только в параноидальном режиме. Режим “Пользовательский” превратился даже не в “Безопасный” или “Чистый ПК”, а в режим “Обучкнея”. При включенной опции "создавть правила для безопасных приложений, правила создаются для всех подряд, при выключеннной не создаются, но приложения любые, получают полный доступ к системе. Галочка доверять/не доверять вообще для красоты. Более мение это всё работает при “Пароноидальном” режиме, но непонятно зачем остальные 4-ре режима.
Итак:
1. “Безопасный” или “Чистый ПК” или “Обучение” + галочка “создавать правила” = “Обучение”
2. “Безопасный” или “Чистый ПК” или “Обучение” - галочка “создавать правила” =“Неактивен”
3. Галочка доверять/не доверять для красоты.
Короче багом это язык не поворачивается называть, так недоразумение :-\
Если это не баг и не происки Песочницы, то DENjA прав – всему виной глобальный белый список Комодо (ТС, по всей видимости, в этом списке состоит), который отключается только переводом в Параноид режим.
Не согласен. Обучением является только для приложений из белых списков, но не для зловредов.
Действительно D+ нормально работает только в параноидальном режиме.
я подобную операцию и в параноидальном режиме провернул, алерты отключены внастройках “скрывать алерты при пароле” но файл подменился и запрещенная прога вылезла в сеть.
Если бы так, проводил эксперимент на Far, у него нет никаких цифровых подписей. В режиме “Пользовательский”, при галочке “создавать правила для доверенных” для него создаётся правило автоматом, хотя перед этим я удалил его из доверенных и вообще из правил защиты. Запускаю фар, переименовываю exe файл, захожу в правила и смотрю, на против всех галочек стоит спросить, а на против “Защищенные папки/файлы” *.exe прописанно в исключениях. Никаких вопросов небыло. Галочка доверять проверенным поставщикам снята. Если же убрать галочку “создавать правила для доверенных”, то всё происходит по тому же сценарию, файл переименовывается, без вопросов, лишь правило не создаётся.
Так “Пользовательский” – это режим фаервола, мы вроде говорили про правила Защиты…
Какая версия ФАра: например Far Manager v1.75 build 1263 состоит в глобальном белом списке (этот список не зависит от настроек доверия приложениям по цифровой подписи, не зависит от локального белого списка – мои безопасные файлы), Far Manager v2.0 build 1420 НЕ состоит в глобальном белом списке.
Значит, если Защита НЕ в режиме Параноид, то, например, для 1263 все происходит по описанному вами сценарию, а для 1420 задаются вопросы.
Версия 2.0 build 1420 x86 - вопросы задаются только в пароноидальном режиме.