COMODO Internet Security 3.9.74199.494 BETA

[ntoskrnl 155]

на какой именно?

(сейчас подходящей системы нет - отвечу чуть позже)

На оба. И изменение записи на запуск не блокируется от доверенных приложений, я могу спокойно тем же регедитом исправить то, что мне нужно в том же подключе "Run" (разумеется, исходя из того, что регедит - доверенный) и был бы совершенно не рад, если бы Комодо мне в этом мешал, и все объекты автозапуска являются охраняемыми ресурсами и без доверенного статуса там "ловить нечего"...

1.

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f

2.

reg import file.reg

Umnik, я ждал чего-то в это роде, но скажите, кто запустит "reg.exe"?

[Umnik 997]

ntoskrnl

1. Сплойт

2. Инсталлятор какой-нибудь программы

3. Подобное

Но если ты как бы не договариваешь "...у меня в системе", то не знаю. О себе-то я тоже могу такой вопрос задать, но вот о маме смогу точно ответить - она сама и запустит то, что ее попросят запустить.

[ntoskrnl 155]

ntoskrnl

1. Сплойт

2. Инсталлятор какой-нибудь программы

3. Подобное

Ну если инсталятор или подобное сможет запустить "полноценный" reg.exe, значит у него уже есть доверенный статус, тогда ему просто ни к чему эти лишние телодвижения, он может менять реестр сам. А если у него нет доверенного статуса, значит и последствия соответствующие - алерты, песочница и т.п. Со сплойтами сложнее, поскольку тут задача состоит в обозначении уязвимых мест системы, это уже задача не для обычного пользователя.

Но если ты как бы не договариваешь "...у меня в системе", то не знаю. О себе-то я тоже могу такой вопрос задать, но вот о маме смогу точно ответить - она сама и запустит то, что ее попросят запустить.

Я об этом и говорю, что если мы не уверены в пользователе, значит настраиваем всё соотв. образом, если пользователь сам в себе не уверен, значит он спрашивает, как настроить/читает доки, ну а если ему всё пофиг и море по колено, тут уже вопрос не технического свойства. В любом случае, я мог бы назвать "выносом" именно действие, произведённое вопреки настройкам/реакциям пользователя. Потому, что дальше начинаются вопросы настроек по умолчанию, удобства использования и т.п., которые сами по себе важны, но другая тема. Ничего сложного, например, нет в том, чтобы настроить в CIS "классическую" самозащиту, когда он никого вообще не подпустит ни к своим файлам, ни к своим разделам в реестре, это делается за минуту. Но практика показывает, что особого смысла в этом тоже нет...

[Umnik 997]

если пользователь сам в себе не уверен, значит он спрашивает, как настроить/читает доки

Твоими устами да мед пить

[ntoskrnl 155]

Твоими устами да мед пить

Нет, ну бывают такие. Исчезающий вид, конечно, но всё-таки встречаются Потом, я это использовал в качестве ветвления...

[strat 275]

На оба. И изменение записи на запуск не блокируется от доверенных приложений, я могу спокойно тем же регедитом исправить то, что мне нужно в том же подключе "Run" (разумеется, исходя из того, что регедит - доверенный) и был бы совершенно не рад, если бы Комодо мне в этом мешал, и все объекты автозапуска являются охраняемыми ресурсами и без доверенного статуса там "ловить нечего"...

но скажите, кто запустит "reg.exe"?

Если я правильно понял, то проблема в том, что комодо защищает свою ветку автозапуска в RUN ключе и спрашивает при попытках её изменить, а если грохнуть всю ветку RUN, то он даже не пикнет и соответственно комод исчезнет при след. перезагрузке. Если так, то бага, ИМХО. И без разницы, есть там кто будет запусктаь сплойты и инсталляторы или нет.

[Dmitriy K 603]

Если я правильно понял, то проблема в том, что комодо защищает свою ветку автозапуска в RUN ключе и спрашивает при попытках её изменить, а если грохнуть всю ветку RUN, то он даже не пикнет и соответственно комод исчезнет при след. перезагрузке. Если так, то бага, ИМХО. И без разницы, есть там кто будет запусктаь сплойты и инсталляторы или нет.

Как оказалось, любым доверенным приложениям разрешен доступ ко всем ключам реестра.

[Виталий Я. 859]

Как оказалось, любым доверенным приложениям разрешен доступ ко всем ключам реестра.

Ждем видеообзоров Comodo против "Ой".

[ntoskrnl 155]

Если я правильно понял, то проблема в том, что комодо защищает свою ветку автозапуска в RUN ключе и спрашивает при попытках её изменить, а если грохнуть всю ветку RUN, то он даже не пикнет и соответственно комод исчезнет при след. перезагрузке. Если так, то бага, ИМХО. И без разницы, есть там кто будет запусктаь сплойты и инсталляторы или нет.

Пардон, какая проблема? Комодо делит по умолчанию все программы на две группы, доверенные и недоверенные. Доверенным он жить не мешает, недоверенным запрещает модификацию охраняемых объектов. Ничто не мешает изменить списки объектов и правила так, как хочется, скажем, вообще всем запретить модификацию того же "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" и он будет в точности следовать "написанному". Нет никакого бага.

а если грохнуть всю ветку RUN, то он даже не пикнет и соответственно комод исчезнет при след. перезагрузке.

Если грохнуть ветку RUN, то исчезнет только ГУИ. Что никак не скажется на работе, это практически предусмотренный режим работы. При желании можно настроить его так, что он будет нормально работать даже без службы, хотя это изврат своего рода, чего другие продукты в принципе не могут.

[Dmitriy K 603]

Если грохнуть ветку RUN, то исчезнет только ГУИ. Что никак не скажется на работе, это практически предусмотренный режим работы.

Вопрос на засыпку: что будет, если грохнуть ветку:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdAgent]

и остальные cmd*

Должна же быть хоть какая-то защита от кривого софта / рук

[ntoskrnl 155]

Вопрос на засыпку: что будет, если грохнуть ветку:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdAgent]

Я уже написал выше. Он будет работать драйвером, у него именно драйвер принимает основные решения, а не служба. Можно подкрутить настройки так, что наличие службы вообще не будет играть роли. Я даже встречал любителей так его настраивать, хотя и не приветствую такой способ.

и остальные cmd*

Чтобы получить доступ к "остальным cmd" нужно получить доверенный статус. Снявши голову по волосам не плачут. И, повторяю, это всё касается только настроек по умолчанию.

[Umnik 997]

Он будет работать драйвером, у него именно драйвер принимает основные решения, а не служба

Ммм, а кто будет протягивать в драйвер все это?

[ntoskrnl 155]

Ммм, а кто будет протягивать в драйвер все это?

Что "всё это"?

[amid525 67]

ntoskrnl молоток, все разрулил

[Виталий Я. 859]

это всё касается только настроек по умолчанию

Еще одно доказательство, что как и обычный "another one security product", Comodo забывает пояснить, что настройки по умолчанию небезвредны.

[ntoskrnl 155]

Еще одно доказательство, что как и обычный "another one security product", Comodo забывает пояснить, что настройки по умолчанию небезвредны.

А у какого продукта они безвредны или какой вендор не забывает это пояснить? Кстати, я понимаю, конечно, Ваше ехидство, но назвать CIS 'обычный "another one security product"' - это определённое чувство юмора, всё-таки.

[Виталий Я. 859]

ntoskrnl

Мне очень нравится мнение Сергея Белоусова обо всем бизнесе Вашего работодателя (привет, Одесса!) Что в попытке (замечательной, я считаю) дать софт бесплатно, заработать только на платной техподдержке и сервисе-страховке от заражения Мелих несколько перестарался с масштабами раздачи.

Потому что спонсировать fake AV бесплатными и "левыми" сертификатами левой рукой, а правой - писать антивирусы... Chronopay какой-то выходит, не находите?

[Umnik 997]

Что "всё это"?

Драйвер, это, скажем так, слишком низко Для приложений, в смысле. Правила все эти нужно протянуть в драйвер. Управляется и мониторится практически все службой.

[ntoskrnl 155]

ntoskrnl

Мне очень нравится мнение Сергея Белоусова обо всем бизнесе Вашего работодателя (привет, Одесса!) Что в попытке (замечательной, я считаю) дать софт бесплатно, заработать только на платной техподдержке и сервисе-страховке от заражения Мелих несколько перестарался с масштабами раздачи.

Виталий, Comodo не мой работодатель, я сам себе работодатель, работоделатель и работонеделатель. Да и от Одессы я далековато, спросите, скажем, Umnik'а, он, как модератор, может подтвердить. И, честно говоря, я не вижу, где Мелих перестарался с масштабами раздачи. Кстати, я с Вами согласен, что бесплатная раздача софта и взимание платы за допуслуги - замечательная идея. Деньги должны образовываться тольков процессе создания добавленной стоимости, а не копированием файлов.

Потому что спонсировать fake AV бесплатными и "левыми" сертификатами левой рукой, а правой - писать антивирусы... Chronopay какой-то выходит, не находите?

Если я не ошибаюсь, то это уже давно устаревшая информация. К тому же Вы сами знаете, что несовершенен сам механизм предоставления подписей. Я, например, думаю, что "раздачей" подписей должны заниматься органы внутренних дел, хотя и тут большое поле для злоупотреблений.

------------------

Драйвер, это, скажем так, слишком низко Для приложений, в смысле. Правила все эти нужно протянуть в драйвер. Управляется и мониторится практически все службой.

Это в каспере и т.п. всё "управляется и мониторится" службой. С известными последствиями. И что есть "протянуть правила" в Вашем понимании? Я не вижу проблем для драйвера воспользоваться, например, RtlQueryRegistryValues ну и даже PsGetCurrentProcess

[Dmitriy K 603]

Можно еще вопрос?

Если я выгружу комод (ПКМ -- Выйти), то должна ли сохраняться защита ключей реестра и прочего от любых нежелательных модификаций любым посторонним ПО?

[ntoskrnl 155]

Можно еще вопрос?

Если я выгружу комод (ПКМ -- Выйти), то должна ли сохраняться защита ключей реестра и прочего от любых нежелательных модификаций любым посторонним ПО?

Да. Всё в соответсвии с заданной политикой.

[Dmitriy K 603]

Да. Всё в соответсвии с заданной политикой.

Ну я установил - все по дефолту (ничего не менял). Защита должна работать после выхода из программы (выгрузки) или нет?

[ntoskrnl 155]

Ну я установил - все по дефолту (ничего не менял). Защита должна работать после выхода из программы (выгрузки) или нет?

Да, всё то же самое. Грубо говоря, считается, что Вы даёте отрицательный ответ на алерты (если они появляются).

[Dmitriy K 603]

Да, всё то же самое. Грубо говоря, считается, что Вы даёте отрицательный ответ на алерты (если они появляются).

Спасибо. Это я и хотел узнать

Итог: комод в выгруженном состоянии ВЫНОСИТСЯ троянчегом.

Да-да, пользователь сам виноват, что выгрузил/отключил/.../песочница бы помогла/антивирус бы проверил/и о проактивке не забудь!!!11/.../у комода лучшая самозащита/и еще 100501 причина и т.д. и т.п.

Нытья по поводу представления тушки прошу не разводить - все равно не выложу.

[strat 275]

это который vkbase? который имитирует кучу антивирей после их сноса?