Перейти к содержанию

Recommended Posts

Shell

Заметил интересную вещь. Пытаюсь добавить правило в файерволл на основе приложения. То есть

f47b473fd29bt.jpg

Обратите внимание на выделенные фрагменты.

Одинаковое приложение, по одному и тому же пути, одинакового размера, с одинаковым fingerprint. Но! путь отрисовывается по разному. Один раз - обычный, другой - like Dos. Если добавить один из вариантов - на части клиентов правило не будет работать.

Вопрос - почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
путь отрисовывается по разному

А как они добавляются что путь отображается по разному? А если ограничиться только названием, то есть использовать маску?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, добавляю через кнопку "Add from", выбираю в группе поиск по приложению, ввожу имя (в частности, vvsys.exe). От приложения (в частности, Polycomm или другое) - не зависит. Версия SEPM 11.0.5. Версии клиентов - 11.0.4202 и 11.0.5 (от версии клиента не зависит - проверено). Операционки - лицензиоки Win XP SP2.

Маску не использовал (пока еще не знаю как она будет работать при добавлении подобным способом).

Ну вот еще пример firefox

5e6d9c5d4f94t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell если я правильно понимаю, то с одних ПК путь приложений приходит правильно, а с других - в DOS формате, это так? Что насчет масок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Shell если я правильно понимаю, то с одних ПК путь приложений приходит правильно, а с других - в DOS формате, это так?

Да, Кирилл. Верно.

Что насчет масок?

Протестирую именно таких разных клиентов - дам ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×