Перейти к содержанию

Recommended Posts

Yanish

столкнулся с проблемой:

при ограничении по "сравниванию интедификационному коду файла" на запуск файла hl.exe, размер 81920 интедификационный код файла - EB767E434413779F0C9260A9A2761B2A

все нормально ограничивалось .... прошло пару часов и юзер переименовал hl.exe в уууу.exe.exe и в "поиске приложений" вижу что

имя файла - уууу.exe.exe

размер файла -0

интедификационный код файла -00000000000000000000000000000000

прекрасно запускается и ИГРАЕТ :)

как запретить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish он его точно только переименовал? Почему у него размер стал нулевым тогда непонятно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

а вот в этом то и дело что

winxp показывает, что размер его 81920 - не изменился, вот поинт пишет что 0

что делать запрещать все исполняемые файлы с интенд-ром 0000000000000 ?

в каких ситуациях вообще так определяется - нулёвщина?

кстати интересный параметр в сведениях - ДАТА ПОСЛЕДНЕГО 1 Январь 1601 г. 3:00:00 MSK

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish очень интересная особенность, предлагаю обратиться в тех. поддержку, попробую также задать вопрос разработчикам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish
Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

заблокировав всем известный CS порт 27015 - не решение проблемы, сервак CS можно запустить хоть на 21 порту да и hl.exe как я уже писал "тупо" переименовывается в тырыпыры.exe и в итоге получаеться вот что

aff2e464ab673e1a9e74aef2f9dce17f.jpg

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Тогда попробуйте включить мониторинг

приложений на клиентах и "обучить" их блокировать

приложения, как описано здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

Тогда вопрос почему у некоторых исполняемых файлов появляеться в сведениях:

размер файла -0

интедификационный код файла (ИКФ) -00000000000000000000000000000000

дата последнего изменения 1 Январь 1601 г. 3:00:00 MSK

у меня многие НОРМАЛЬНЫЕ приложения\программы так определяются

ВОПРОС: может дело в моём сервере или у кого то тоже есть приложения с ИКФ 00000000000000000000000000000000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish а случайно эти файлы не имеют русских букв в названиях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

Да есть русские но и с англ. именами то же есть файлы , вот одна из страниц поиска приложений

c20d024e42a83c9b665b1fda109840d4.jpg

Пиплы, так есть у кого нибудь еще множество приложений с ИКФ =00000000000000000000000000000000

\\\ хоть новую тему открывай ИКФ =00000000000000000000000000000000

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Gamers Planet
      Здравствуйте. С 2015 года изучаю информационную безопасность, это тема очень интересная и актуальная на сегодняшнее время. Недавно решил создать игровой канал Gamers Planet посвященный компьютерным играм. Узнал, что в игровой сфере очень популярен голосовой чат Discord и который пользуется популярностью среди кибер преступников. С помощью сервиса происходит распространения троянов(RAT). Самый популярный из них NanoCore. Позже, на своем канале, планирую сделать об этом информационное видео. Так что будьте на чеку! 
    • demkd
      uVS транслирует то что сообщает система. Для встроенных ЭЦП. А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
        Это проблема FRST.
    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
×