Уязвимость режима "Чистый ПК"

Коротко: неопознанная программа становится доверенной после переименования каталога, в котором она находится.

Подробнее. На чистую Windows7x86SP1 (без других средств защиты) ставим CIS (проверялись 6.0 и 6.1) с параметрами по умолчанию (кроме GeekBuddy и Yahoo), устанавливаем режим “Чистый ПК”. Создаем на рабочем столе каталог и в нем – новую программу (распаковываем какую-нибудь неизвестную из архива или, например, пишем bat-файл с командой типа “explorer.exe” ). Запускаем эту программу, пытаемся через нее произвести изменения в других файлах – CIS их блокирует. Закрываем программу, меняем имя каталога, снова запускаем – и убеждаемся, что она работает как доверенная! Смотрим параметры CIS и видим, что эта программа попала в список неопознанных только по своему первому адресу.

Как видим, режим “Чистый ПК” сам по себе дыряв. Тогда хорошо бы реализовать его функционал в “Безопасном режиме”: разом занести все исполняемые файлы, находящиеся к данному моменту на системном диске, в “доверенные”. Проблема в том, что обычное добавление в “доверенные” целого каталога засоряет список посторонними файлами, помимо исполняемых.

Теперь вопрос: как занести в “доверенные” большой список исполняемых файлов?

Update: Разумеется, речь идет о “доверенных” в смысле раздела “рейтинг файлов”, а не в смысле “разрешенных приложений” фаервола или хипса

Есть возможность поместить “большой список исполняемых файлов” в 1 папку?

нет?

В смысле переместить их туда, добавить папку в “доверенные”, а потом вернуть файлы на место?
Хм, попробовал, вроде сработало… Хуже, если эти файлы задействованы в данный момент
Но пока вроде вариант, спасибо, поэкспериментирую

Английский язык(ну ладно переводчик гугл есть,проехали),и две странички в интернете Вот это
И вот это

Чуть не забыл-на русском…

Официальные англоязычные инструкции прочту, только поиск по англофоруму – увольте
И проблема слишком серьезная, чтобы обходить ее в русской ветви

две странички в интернете

Не обнаружил на них текста

Чуть не забыл-на русском...

Там что-то о фаерволе обсуждают, или? Пожалуйста, скажите конкретнее

Update: Просмотрел русское обсуждение по ссылке – вообще не по теме: ни слова о доверенных/неопознанных файлах

Update:

Хуже, если эти файлы задействованы в данный момент

Хотя да, в этом случае можно не перемещать, а скопировать и удалить потом копии. Хеш запомнится, и дело сделано Будем считать вопрос решенным, хоть и не самым естественным путем

Господи да эту темуТемы) тут до дыр затёрли.Не охота за вас искать.Тут как только её не извращали,эту тему(темы).Может применительно к 6ке-нет,но не думаю что это имеет какое то половое значение.Но это не значит что именно так тема называется.В принципе я гляну.Так вроде помнится где обсуждали в 2-3 местах.Но скажу сразу-велик вы не изобрели…Ох уж эти испытатели…Отпишусь

Отдельных топиков по теме не обнаруживаю
А если проблемы упоминались мимоходом 2-3 раза в сторонних обсуждениях – это никак не “до дыр”

Если укажете или еще как проясните, буду благодарен, а то пока я попросту не понимаю, о чем вы…

Тем, кстати, три:

1. уязвимость “Чистого ПК”
2. отсутствие фильтра по маске при добавлении каталога в доверенные
3. неосвещенность этих проблем в основных инструкциях и faq

Но скажу сразу-велик вы не изобрели....

И не пытался. Я лишь хочу настроить систему в режиме, подобном "Чистому ПК", но без его изъянов

Update: Прочесал топики в русской ветви, которые хоть сколько-нибудь могли коснуться этих проблем (по хипсу, песочнице и рейтингу файлов); мог, конечно, что-то пропустить. Все же не вижу ничего по моей теме. Разве что очень отдаленно — тут и тут.
Да уж, “затерли до дыр”…

Пока хоть вот это почитайте но еще 2-3 темы очень длинные были,та м старожилы красиво всё так описали,ищу.
1

2

3

4
Всё-устал.Читайте и строки и между строк.Там всё изложено.Что нужно предпринять для полной защиты,и ваш вопрос косвенно затрагивается.короче…

Спасибо, эту тему я читал, причем давно, и она о другом.
Во-первых, там речь о замене приложения другим известным, а я говорю о изменении местоположения неизвестного
Во-вторых, там предполагается, что некая вредоносная программа осуществляет подмену, а я имею в виду обычное переименование каталога пользователем: получил левый архив, распаковал, поменял имя (для своего удобства) — и привет…

А пока вы читаете…Настройки по умолчанию-это значит у вас хипс выключен.Стоит Чистый ПК? По умолчанию после установки стоит обычно стоит Безопасный режим.
Так вот перевел только что в Чистый ПК.Хипс включен.запустил патч(имеются на всяк пожарный-для таких случаев.)Результат патч был обнаружен даже после извращений над его внешностью.Комодо не дал ему запуститься.Сандбокс отключен.Вы спрашивали оптимальные настройки?Имхо при любом режиме нужно ставить галочку-включить хипс.

Сейчас проверил CIS 5.10 и 5.12 – в них проблема не проявилась, защита не изменилась от переименования каталога

Только что повторил на CIS 6.0
Параметры типа ваших:
[v] Использовать HIPS: Чистый ПК
[] Не показывать оповещения (т.е требую показывать)
[] Автоматически запускать в Sandbox
На рабочем столе создаю файл myFile, каталог dir и в нем файл test.bat содержимого “del c:\Users\myName\Desktop\myFile /q”
Запускаю
Выскакивают алерты – отвечаю блокировкой (без запоминания)
Переименовываю каталог в dir2, запускаю батник – файл myFile молча удаляется

…А, только что заметил апдейт вашего поста, сейчас посмотрю

За усилия спасибо

По 1-й ссылке я уже ответил

По 2-й… Между строк, может, чего упустил, но в целом не о том

3-я тоже не о том. Там обсуждали конфигурацию, которая бы заранее установила разрешения (в смысле хипса) для неизвестных файлов, которые еще появятся или будут меняться. Я же говорю о занесении имеющихся файлов в список доверенных (в смысле рейтинга)

4-ю ссылку я же вам и показывал. Ключевые объяснения в той теме, как я понимаю, тут и тут. Но надо сказать, они не согласуются с тем, что я наблюдаю в CIS6: приведенный мной батник (при указанной конфигурации) провоцировал алерты на доступ к диску и на удаление файла. Хотя, согласно объяснениям, алерт должен был возникнуть только на запуск cmd (чего как раз не было). При возможности еще раз проверю CIS5, но не сейчас…

В любом случае факт, что в CIS6 поведение защиты при “Чистом ПК” меняется от переименований, на что разумного основания быть не может. И если при этом все же использовать песочницу, то выясняется, что после переименования каталога неопознанное приложение в нее не попадает

Да, на CIS 5.12 всё отрабатывает корректно, что в “Безопасном” режиме, что в режиме “Чистый ПК”.
Песочница отключена.
Запросы от проактивки поступают в обоих режимах.
В режиме “Чистый ПК”, при переименовании папки “dir”, в “Доверенные” - ничего не заносится.
Файл “test.bat” так и остается неизвестным, и соответственно - недоверенным.

Не знаю вспоминая посты которые вам указал,пол ночи экспериментировал.Ничего не удаляется.Строго следовал вашей мысли.
Мои настройки таковы
Хипс включен чистый ПК
Сандбокс выключен.
Антивирус,ладно бог с ним напишу(он тут не при чем) включен производить реал тайм скан
Оптимизация выключена.
Аллерт один раз.До переименования.После перименования алерта не было но и действий никаких не произошло.

Почему так? Аллерт обязан быть.
Может, при прошлой блокировке, стояла галка “запомнить”?

Скорее всего.

На всякий случай повторю, что речь о CIS6 в Win7x86, переименовывается только каталог…

Сейчас я повторял эксперимент в WinXP – результат убил: при первом запуске (без переименований) получил алерт на доступ бат-файла к диску, нажал на блокировку действия (без запоминания), а файл все равно удалился…

Попозже повторю все это и в Win7, и в WinXP, покажу скриншоты

Update: результат в WinXP объясняется, видимо, тем, что рабочий стол для XP не относится к защищаемым в CIS. Хотя параметры защиты файлов я там не проверял, так что не уверен

В XP пока не повторял…

Поставил чистую неломанную Win7x86SP1, никакого лишнего софта, только драйверы на мать и видео, без интернета, UAC включен (все как по-умолчанию)

Описанная проблема одинаково проявлялась в CIS6.0 и 6.1, но почему-то (пока не искал причин) с 6.1 было невыносимо работать: появления главного окна и окна настройки приходилось ждать по 2-2,5 минуты.
Поэтому даю скрины по CIS6.0

Установка:

http://s020.radikal.ru/i722/1304/d9/753a8ab0adb1t.jpg

http://s48.radikal.ru/i120/1304/f0/c9b023577b50t.jpg

Перезагружаюсь

Настройка:

http://s017.radikal.ru/i419/1304/0c/f2ba4fde96e8t.jpg

http://s020.radikal.ru/i711/1304/f6/30c77ba0e4det.jpg

http://s56.radikal.ru/i152/1304/62/97c375d289eet.jpg

http://s001.radikal.ru/i195/1304/45/1749de3c0acdt.jpg

Убеждаюсь, что по дефолту рабочий стол защищается

http://s019.radikal.ru/i634/1304/1b/44e04ee5ab30t.jpg

Создаю текстовый файл, каталог и батник, удаляющий этот файл

http://s56.radikal.ru/i152/1304/22/bc20bb45159dt.jpg

http://s020.radikal.ru/i709/1304/cf/7c0a8f1d5df7t.jpg

Запускаю батник, получаю два алерта, на которые отвечаю блокировкой без запоминания

http://s019.radikal.ru/i625/1304/66/6b730adaf28bt.jpg

http://s44.radikal.ru/i104/1304/2d/6b84fba2b679t.jpg

Переименовываю каталог

http://s017.radikal.ru/i433/1304/07/9e2236fa9c8dt.jpg

Запускаю батник, и файл тут же исчезает

http://s42.radikal.ru/i095/1304/88/5f5fcf367201t.jpg

Напоследок смотрю рейтинг файлов и не нахожу батника ни в доверенных, ни в неопознанных

http://s019.radikal.ru/i612/1304/3c/f7f2551affb5t.jpg

http://s020.radikal.ru/i718/1304/02/bb41296c87d7t.jpg

Я писал выше, что батник попадал в список неопознанных по своему первому адресу, но это было при включенной песочнице

Что касается CIS 5.10, то я еще раз проверил – проблема не проявилась. Настраивал иначе чем CIS6: пришлось, в частности, внести рабочий стол в защищаемые, так как по дефолту его там не было. При запуске батника (что до переименования, что после) возникал такой алерт:

http://s16.radikal.ru/i191/1304/e5/4a08fc406cf9t.jpg

Вообщем так.
Всё делал как вы описывали.
Вариант первый-при появлении аллерта- обработать как изолированое .Последствия-Батник в не опознаных,запуск не дает,переименовать папку то же.Очищаем не опознаные ,отключаем интернет,делаем перезагрузку,все равно запуска нет.Переименовывание не дает результата,кратковременное консольное окно и ничего.
Вариант 2
То же,только с (только блокировать.
Все тот же результат.Как у вас всё это выходит не пойму.Либо вы гоните,либо одно из двух.Почему вы в последнем сообщении резко поменяли тему,на безопасный режим?Вроде речь шла о чистом ПК? Причем пробовал с разными именами файлов.Короче 2 дня извращаюсь.Я готов вам заплатить -раскройте секрет.
http://s12.rimg.info/c1c295184dfc6264a042505e0f87f88a.gif

http://s17.rimg.info/c24698b2e927680875feef7e10c40d1f.gif

Очищаем не опознаные ,отключаем интернет,делаем перезагрузку

Вот этого я не делал. По идее, незачем это: не будет же пользователь после каждого диалога перезагружаться и т.п.

.Почему вы в последнем сообщении резко поменяли тему,на безопасный режим?

Где? Вы про скрин с параметрами фаервола? Но хипс-то в режиме Чистый ПК

Не гоню)

Update:

Переименовывание не дает результата,кратковременное консольное окно и ничего.

Тупой вопрос, но что остается: а вы точно прописали имя удаляемого файла в батнике?

Update: Может, отличие в том, что вы сначала обрабатываете как изолированное, а потом повторяете эксперимент с теми же файлами? Попробуйте создать новые (с новыми именами и чуть другим содержимым) и сразу выбрать блокировку без запоминания…

Дело в том, что проблема, как мне кажется, в определении CIS-ом, какие файлы являются “старыми”: почему-то он начинает считать таковыми файлы в переименованном каталоге. В этом случае очистка списков доверенных и неопознанных сброса не произведет

Напомню, что изначально проблему я встретил в режиме Чистый ПК + Автоматическая полная виртуализация неопознанных. И после переименования каталога приложение запускалось невиртуализированным, как если бы оно присутствовало на компьютере до установки CIS

Update:

2 дня извращаюсь

И я несколько дней маниакально проверяю одно и то же и получаю один и тот же результат от своей машины, даже со свежей осью Остается мне поискать другой компьютер с семеркой, которую ставил не я, чтобы и на нем увидеть то же... Вообще-то через неделю возможность будет)

Update: Иисчо раз проверил на голой семерке, теперь даже драйверов не ставил, вообще ничего с локального диска. Зато с интернетом: после установки оси воткнулся, скачал CIS, установил, дождался обновления, перезагрузился… Разве что упомянутых задержек появления окон не стало, остальное повторилось.

Все это в системе Windows 7 Ultimate with Service Pack 1 (x86) (Russian)
В 64-битной не проверял