Hallo, werden in der Version 5 Anwendungen in den Denfense+Regeln hinterlegt, so gibt Comodo (bei abgeschalteter Sandbox) keine Meldung aus, falls der Programmcode einer Datei sich geändert hat!
Das gleiche gilt für die Version 6, wenn Anwendungen in den HIPS-Regeln hinterlegt wurden.
Ich habe es z.Z. wie folgt gelöst:
Ist der Sauberer PC-Modus aktiviert, trägt Comodo, wenn das Programm von einem vertrauenswürdiger Anbieter stammt, automatisch zu den vertrauenswürdigen Dateien. Ist der Anbieter unbekannt,werden die Dateien unter den unbekannten Dateien gelistet, wo sie dann bei Bedarf (nach einem Alarm) in aller Regel gelöscht werden können.
In der Version 5 können unter Umständen dann mehrere Dateien mit gleichem Pfad und Namen, bei den vertrauenswürdigen Dateien, aufgelistet sein. In Version 6 wurde dieser Bug beseitigt.
Allgemein:
Ich halte es für notwendig, dass auch bei ausgeschalteter Sandbox eine Meldung erscheint, wenn der Programmcode eines Programmes sich geändert hat.
Für mich ist völlig unverständlich, weshalb für ein Programm hinterlegte Regeln bei einer Codeänderung noch gelten (dann ist es doch nicht mehr das Programm, für welches ich diese Regel erteilt hatte)?!
Wie schon erwähnt, bei den vertrauenswürdigen Dateien wird der Hashwert sehr wohl überprüft und die veränderte Datei wird auch als unbekannte Datei gelistet, aber es kommt keine Meldung!?
Was mache ich falsch?!
Vielleicht gibt es noch einen elegantere Lösung, dann bitte ich darum, es mir mitzuteilen.
PS. Der beschriebene Sachverhalt gilt natürlich nur, bei ausgeschalteter Sandbox.
Ist diese eingeschaltet, ergeben sich für mich andere Probleme:
Die Meldungsbox wird nur 1 x angezeigt und verschwindet nach ca. 1 min. Ist die Sandbox auf “Teilweise Eingeschränkt” eingestellt wird das Programm ausgeführt, aber woran erkenne ich, dass es in der Sandbox ausgeführt wird? Der grüne Rahmen erscheint bei mir nur, wenn ich manuell ein Programm in der Sandbox starte?!?
Ist die Sandbox auf “Blocked” gestellt kommt überhaupt keine Meldung - Hier wäre eine Meldung (allerdings eine Meldung, die nicht sofort verschwindet und die bei wiederholter Aktion wieder erscheint) für mich wichtig!
Bei der Installation einiger Programme, hat man bei eingeschalteter Sandbox richtig Probleme, somit habe ich Angst, dass die mal ungewollt eine Datei blockt und das System abschmiert…?
Danke + mfG icke
Wenn eine Datei signiert ist, dann darf sich der Code ändern, ohne dass eine Meldung kommt. Das ist auch gut so. Wenn eine unsignierte Datei aber unter den vertrauenswürdigen Dateien eingetragen ist, dann sollte bei Veränderung der Anwendung eine Meldung kommen. Außer es wurde eine HIPS-Regel erstellt, die das miteinbezieht (zB als System Datei).
Dass die Meldung nur eine gewisse Zeit angezeigt wird, ist auch gut so. Ich glaube, dass Du diese Dauer unter den HIPS-Einstellungen ändern kannst: Hier ist eine Feld, in dem die die Dauer in Sekunden angeben kannst. Ob das auch für Sandbox-Meldungen gilt, weiß ich leider nicht.
Dass ein Programm in der Sandbox läuft, erkennt man entweder über die Meldung oder mit Killswitch oder mit der neuen Einstellungen für die Home-Ansicht. (siehe Screenshot 001)
Der grüne Rahmen wird nur bei manuell in der Sandbox gestarteten Anwendungen angezeigt, da diese vollkommen virtualisiert werden. Bei der Auto-Sandbox werden nur bestimmte Restriktionen vorgenommen – je nach Einstellung.
Das sollte meiner Meinung nicht passieren, eine Meldung sollte eigentlich erscheinen. Eventuell ist das ein Bug. Ich persönlich benutzte die Auto-Sandbox nicht, deshalb kann ich hier nicht mehr Auskunft geben.
Unbekannten Anwendungen, die durch die Auto-Sandbox eingeschränkt werden, werden meist nicht funktionieren, besonders Installationsprogramme können ihre Daten nicht in alle Teile des Dateisystems schreiben, da diese als kritisch gelten zB der Ordner „System32“.
Meine Empfehlung lautet immer:
HIPS einschalten
Auto-Sandbox deaktivieren
Ich will nämlich nicht, dass unbekannte Anwendungen auf meinem Computer laufen. Und mit der Defense+ Meldung kann ich das selber entscheiden.
Hallo Yoshua, danke für die Mühe, die Du Dir mit der Antwort gemacht hast.
Leider bestätigst Du mir in den meisten Fällen die Verhaltensweise von CIS, so dass ich mich darauf einstellen muß. Ich habe in der Zwischenzeit noch weitere Erkenntnisse gewonnen, so dass ich den Tipp von Dir (Sandbox aus) auch realisiere. Die Erstellung von HIPS-Regeln wird in Zukunft bei mir die absolute Ausnahme bleiben, werde überwiegend mit der Deklarierung als vertrauenswürdige Datei arbeiten.
Ja, das Problem wurde wohl nicht so gelöst, wie ich mir das vorgestellt hatte, aber damit kann ich leben.
Da ich keinen Wert darauf lege, eine besondere Einstellung über die HIPS-Regeln zu realisieren, werde ich in der Zukunft die Zugriffe über die vertrauenswürdigen Dateien realisieren.
Gibt es in dieser Form der Einstellung irgendwelche Nachteile, ich meine eventuell Geschwindigkeitseinbußen?
Leider arbeitet die Version 6 von Comodo auf meinem PC sowieso schon etwas zähflüssiger, als die 5er Version?
[at]Yoshua
Hallo, ich habe es nun unzählige Male getestet und immer wieder die selben Ergebnisse
Wenn eine unsignierte Datei aber unter den vertrauenswürdigen Dateien eingetragen ist, dann sollte bei Veränderung der Anwendung eine Meldung kommen. Außer es wurde eine HIPS-Regel erstellt, die das miteinbezieht (zB als System Datei).
Ich habe eine relativ einfache HIPS-Regel für eine Datei erstellt:
- Die Datei darf ein Programm ausführen
- Windows/WinEvent Hooks darf aufgerufen werden
Bei einer Codeänderung kommt keine Meldung ???
Dass die Meldung nur eine gewisse Zeit angezeigt wird, ist auch gut so...
Finde ich nicht, das sollte optional einstellbar sein : Dauer + Manuell
Der grüne Rahmen wird nur bei manuell in der Sandbox gestarteten Anwendungen angezeigt...
Ja, schade eigentlich, so wäre es leicht zu erkennen ;)
Ob das auch für Sandbox-Meldungen gilt, weiß ich leider nicht
Nein, dem ist leider nicht so >:(
Dass ein Programm in der Sandbox läuft, erkennt man entweder über die Meldung oder mit Killswitch oder mit der neuen Einstellungen für die Home-Ansicht. (siehe Screenshot 001)
- Meldung - ja, aber die ist mir zu kurz und kommt nur beim ersten Aufruf!
- Killwitch will nicht noch zusätzlich installieren
- mit den neuen Einstellungen für die Home-Ansicht: Hier weiß ich nicht, was Du meinst?
Also bleibt es dabei, dass ich alle HIPS-Regeln (mit Ausnahme der einen Standard-Regel) gelöscht habe und mit dem “Sauberen PC-Modus” arbeite.
Bei unsignierten neuen Dateien kommt eine Meldung, die ich ohne eine Regel zu erstellen erlaube und dann
bei den unbekannten Dateien lösche. Ist die Datei auf der Festplatte, ist das im “Sauberen PC-Modus” ausreichend, befindet sie sich auf einem USB-Medium muß sie zu den vertrauenswürdigen Dateien zugefügt werden.
Bist Du Dir sicher, dass Deine Datei unsigniert ist? Es kann auch sein, dass die von Dir verwendete Datei schon in der Cloud-Whitelist von Comodo eingetragen ist. Dann erhälst du auch bei Codeänderung keine Meldung mehr.
Siehe den angehängten Screenshot in meiner ersten Anwort. Reply #1 on: July 03, 2013, 08:02:02 PM
Falls Du die aktuellste Version (6.2) installiert hat, kannst Du eine neue “Erweiterte Ansicht” einstellen. Den zuständigen Knopf habe ich mit einem roten Pfeil markiert.
Bist Du Dir sicher, dass Deine Datei unsigniert ist?
Ja, da ich die selbst erstellt und verändert habe und sie auch als unbekannte Datei gelistet wird - aber ist eine HIPS-Regel vorhanden, egal welcher Art, kommt keine Meldung mehr!
Es kann auch sein, dass die von Dir verwendete Datei schon in der Cloud-Whitelist von Comodo eingetragen ist Dann erhälst du auch bei Codeänderung keine Meldung mehr.
Das wäre grob fahrlässig, da es sich nicht um diese Datei mehr handelt. Sie hat nur den gleichen Namen, die gleiche Größe und den gleichen Speicherort. Kann ich mir nicht vorstellen, sorry bist Du Dir da sicher?
Falls Du die aktuellste Version (6.2) installiert hat, kannst Du eine neue "Erweiterte Ansicht" einstellen. Den zuständigen Knopf habe ich mit einem roten Pfeil markiert.
Ja, das hatte ich schon verstanden und schon zuvor genutzt und eingestellt.
Aber im Zusammerhang, ob ein Programm in der Sandbox ausgeführt wird oder nicht, verstehe ich das nicht?!
Wenn ich auf den rot gekennzeichneten Button drücke kommt die "Compact -Ansicht", dort ist wohl ein Feld, in dem ich manuell Anwendungen in der Sandbox starten kann, aber wird die Anwendung automatisch über die Sandbox ausgeführt, sehe ich hier keinen Hinweis darauf ???
Zumal ich ja auch in diesem Fall nicht Comodo aufrufen möchte, um zu sehen wie Comodo mit der gestarteten Anwendung umgeht.
icke
In der Whitelist stehen nur Dateien, die zuvor von Comodo als sicher eingestuft worden sind. Ich wusste ja nicht, dass Du die Datei selbst erstellt hast.
In der mittleren Spalte der Erweiterten Ansicht ist ein Feld mit dem Namen “Sandboxed Apps”. Dahinter steht die Zahl der Anwendungen, die in der Sandbox laufen. Außerdem kann man das über das Widget einsehen. Dort ist auch ein Feld reserviert, in dem diese Zahl eingetragen ist.
Das sollte nicht so sein, das klingt nach einem Fehler im Programm.
In der mittleren Spalte der Erweiterten Ansicht ist ein Feld mit dem Namen "Sandboxed Apps". Dahinter steht die Zahl der Anwendungen, die in der Sandbox laufen. Außerdem kann man das über das Widget einsehen. Dort ist auch ein Feld reserviert, in dem diese Zahl eingetragen ist
hmm...peinlich, manchmal sieht man den Wald vor lauter Bäumen nicht.
Widget war eigentlich das erste, was ich immer deaktiviert hatte, da mein Bildschirm oben schon zugeflastert ist...aber jetzt wo es Sinn macht, habe ich dafür auch den Platz gefunden.
Danke Dir :D icke
Wenn eine Datei signiert ist, dann darf sich der Code ändern, ohne dass eine Meldung kommt.
Ja, das wäre korrekt, falls die neue Datei die selbe Signatur besitzt.
Leider kommt keine Meldung, selbst wenn eine signierte Datei gegen eine nicht signierte Datei mit total anderem Inhalt getauscht wird. ???
Gruß icke
Wenn ich deine Frage gut verstehe hast ist die Sandbox ausgeschaltet und eine D+/HIPS Regel gemacht für eine Anwendung.
In dieser Fall wird CIS der Regel folgen; und Regeln folgen das Pfad. Eine Hash Check findet nicht statt. Hash Checks werden gemacht wenn der Automatischen Sandbox/Behaviour Blocker ist eingeschaltet und wenn der Benutzer CIS automatisch Regeln für Firewall und D+ zuweisen lasst.
Also das Benehmen was du beobachtest ist wie es gemeint ist. Aber das heißt nicht das die ausführbare Dateien nicht geschützt sind. Die sind geschützt gegen Änderung von einer unbekannten Programm. Aber man wird nicht dafür gewarnt. Die Schuetzung passiert im Hintergrund. Das ist die alte Vorgangsweise von CIS wie es war mit v3.14 und bevor.
Ich hoffe das dies beitragt die Wirkung van CIS besser zu verstehen.
Ich entschuldige mich für eventuelle Grammatik und sonstige merkwuerdige Fehler mit meinem Gebrauch der Deutsche Sprache. Ich bin Niederländer und gebrauche Deutsch nicht sehr oft. Meistens wenn ich Tatort und andere Krimis (wie Wallander) gucke im Deutschen Fernsehen.
In dieser Fall wird CIS der Regel folgen; und Regeln folgen das Pfad. Eine Hash Check findet nicht statt
Halte ich nicht für richtig, da wie ich schon erwähnte, es sich dann nicht mehr um diese Datei handeln kann?!
Wenn ich mich darauf verlassen kann, dass als vertrauenswürdig eingestufte Dateien auch wirklich vertrauenswürdig sind, bräuchte ich ja keine Software-Firewall.
Die ist aus meiner Sicht genau dafür gedacht, dass ich ein Programm nutze, welches ich (und mein Virenprogramm) als vertrauenswürdig ansehen, aber es leider nicht vertrauenswürdig ist?!
Außerdem verstehe ich nicht, weshalb eine Überprüfung sinnvoll sein soll, wenn keine HIPS-Regel vorhanden ist, aber eine Warnmeldung ausbleibt, nur weil eine HIPS-Regel existiert, die ja dann augenscheinlich nicht für diese Datei bestimmt ist?!
Gruß icke
Hi,
sry, dass ich mich nicht mehr gemeldet habe, aber ich hab es bis jetzt nicht geschafft meine VM auf meinem neuen Rechner zu installieren. Aber ich habs ein wenig anders probiert:
Ich habe ein Batch File (.bat) erstellt. Die sieht ungefähr so aus:
[i]@echo off
start "" "%username%\test.exe"
del "%username%\Desktop\test.txt" /Q/S> nul[/i]
Ich erstelle dafür die HIPS-Regel “Allowed Application”. Dadurch kann ich diese Datei ohne Meldung ausführen. Sobald ich aber nur ein kleines Datei in der Datei ändere, bekomme ich eine Defense+ Meldung: “explorer.exe is trying to execute test.bat”.
In meinem Fall wird aber sicherlich ein Hash-Check gemacht, denn sonst bekäme ich ja keine HIPS-Meldung bei der veränderten Datei. BTW, ich hab den BB ausgeschaltet.
Hallo, habe es auch mal mit einem Batch getestet.
In meinem XP-System und mit meinen Einstellungen komme ich immer wieder zu dem gleichen Ergebnis:
Es kommt nach der Änderung einer Datei zu keiner Meldung, sobald in den HIPS eine Regel einer Datei mit gleichem Pfad + Namen vorhanden ist?!
Immer mehr schleicht sich das ungute Gefühl bei mir ein, dass sich Comodo mit seinem eigenen Konzept einfach übernommen hat, d.h. nutze ich CIS (Firewall) nur noch auf einem Zweit-PC.
Das ist in der Tat ein sehr komisches Verhalten, vielleicht ein Bug auf XP Systemen?
Eine komplette Deinstallation mit anschließender Neuinstallation wäre hier wahscheinlich empfehlenswert gewesen. Wenn ich meine VM wieder zum Laufen bringe, kann ich den Sachverhalt auf einen XP-System ausprobieren. Das kannaber noch dauern, hoffentlich kann das jemand anders machen.
Wie gesagt, funktioniert das bei meinen Win7 32bit System mit CIS 6.2 ohne Probleme. Egal ob ich eine HIPS-Regel erstelle, oder die Batch Datei zu den vertrauenswürdigen Dateien hinzufüge (oder auch beides), bekomme ich einen Defense+ Meldung, wenn ich etwas bei der Datei ändere.
Wichtig für mich ist, dass es aus welchem Grund auch immer bei Dir funktioniert.
Solange ich noch bei meinem XP bleiben kann, ist eine andere FW für mich nicht zwingend (Weder Comodo noch eine andere).
Hatte Comodo nur mal testen wollen, da es bei einem Systemwechsel dann leider notwendig sein wird.
Vielen Dank für Deine Mühe - Tut mir irgenwie leid, dass ich Dir definitiv kein besseres Feedback geben kann.
icke