Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Yanish

Symantec Endpoint Protection

Автор Yanish, в Вопросы по Symantec Endpoint Protection

Recommended Posts

Yanish    0

Yanish
Опубликовано

столкнулся с проблемой:

при ограничении по "сравниванию интедификационному коду файла" на запуск файла hl.exe, размер 81920 интедификационный код файла - EB767E434413779F0C9260A9A2761B2A

все нормально ограничивалось .... прошло пару часов и юзер переименовал hl.exe в уууу.exe.exe и в "поиске приложений" вижу что

имя файла - уууу.exe.exe

размер файла -0

интедификационный код файла -00000000000000000000000000000000

прекрасно запускается и ИГРАЕТ :)

как запретить ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

Yanish он его точно только переименовал? Почему у него размер стал нулевым тогда непонятно

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yanish    0

Yanish
Опубликовано (изменено)

а вот в этом то и дело что

winxp показывает, что размер его 81920 - не изменился, вот поинт пишет что 0

что делать запрещать все исполняемые файлы с интенд-ром 0000000000000 ?

в каких ситуациях вообще так определяется - нулёвщина?

кстати интересный параметр в сведениях - ДАТА ПОСЛЕДНЕГО 1 Январь 1601 г. 3:00:00 MSK

Отредактировал Yanish

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано

Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

Yanish очень интересная особенность, предлагаю обратиться в тех. поддержку, попробую также задать вопрос разработчикам

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yanish    0

Yanish
Опубликовано (изменено)
Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

заблокировав всем известный CS порт 27015 - не решение проблемы, сервак CS можно запустить хоть на 21 порту да и hl.exe как я уже писал "тупо" переименовывается в тырыпыры.exe и в итоге получаеться вот что

aff2e464ab673e1a9e74aef2f9dce17f.jpg

Отредактировал Yanish

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано

Тогда попробуйте включить мониторинг

приложений на клиентах и "обучить" их блокировать

приложения, как описано здесь

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yanish    0

Yanish
Опубликовано

Тогда вопрос почему у некоторых исполняемых файлов появляеться в сведениях:

размер файла -0

интедификационный код файла (ИКФ) -00000000000000000000000000000000

дата последнего изменения 1 Январь 1601 г. 3:00:00 MSK

у меня многие НОРМАЛЬНЫЕ приложения\программы так определяются

ВОПРОС: может дело в моём сервере или у кого то тоже есть приложения с ИКФ 00000000000000000000000000000000

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

Yanish а случайно эти файлы не имеют русских букв в названиях?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yanish    0

Yanish
Опубликовано (изменено)

Да есть русские но и с англ. именами то же есть файлы , вот одна из страниц поиска приложений

c20d024e42a83c9b665b1fda109840d4.jpg

Пиплы, так есть у кого нибудь еще множество приложений с ИКФ =00000000000000000000000000000000

\\\ хоть новую тему открывай ИКФ =00000000000000000000000000000000

Отредактировал Yanish

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
      Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
      Пример из лога:
      Выполнено за 1,423 сек.
      Указанный каталог не содержит полной и доступной для чтения копии реестра.
      ----
      Выполнено за 1,423 сек. Что выполнено ?
      Как-то совсем нехорошо звучит. Не нужно так пугать.  :)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.5
      ---------------------------------------------------------
       o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач.
         Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS.

       o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой.

       o В лог добавлен вывод состояния флагов защиты uVS.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
         
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Что там будет с историей процессов и задач при работе с активной системой, трудно сказать, это же надо на своей системе (или VM) включать отслеживание. С отслеживанием в основном работаем с образами. Тема так и называется  "создать образ автозапуска с отслеживанием процессов и задач".
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      https://disk.yandex.ru/i/JPJDtV0H4P6Hjg
×