Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Yanish

столкнулся с проблемой:

при ограничении по "сравниванию интедификационному коду файла" на запуск файла hl.exe, размер 81920 интедификационный код файла - EB767E434413779F0C9260A9A2761B2A

все нормально ограничивалось .... прошло пару часов и юзер переименовал hl.exe в уууу.exe.exe и в "поиске приложений" вижу что

имя файла - уууу.exe.exe

размер файла -0

интедификационный код файла -00000000000000000000000000000000

прекрасно запускается и ИГРАЕТ :)

как запретить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish он его точно только переименовал? Почему у него размер стал нулевым тогда непонятно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

а вот в этом то и дело что

winxp показывает, что размер его 81920 - не изменился, вот поинт пишет что 0

что делать запрещать все исполняемые файлы с интенд-ром 0000000000000 ?

в каких ситуациях вообще так определяется - нулёвщина?

кстати интересный параметр в сведениях - ДАТА ПОСЛЕДНЕГО 1 Январь 1601 г. 3:00:00 MSK

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish очень интересная особенность, предлагаю обратиться в тех. поддержку, попробую также задать вопрос разработчикам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish
Альтернативный способ - заблокировать приложение hl.exe

в настройках файерволла.

Тогда пользователь не сможет играть по сети :o

заблокировав всем известный CS порт 27015 - не решение проблемы, сервак CS можно запустить хоть на 21 порту да и hl.exe как я уже писал "тупо" переименовывается в тырыпыры.exe и в итоге получаеться вот что

aff2e464ab673e1a9e74aef2f9dce17f.jpg

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Тогда попробуйте включить мониторинг

приложений на клиентах и "обучить" их блокировать

приложения, как описано здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

Тогда вопрос почему у некоторых исполняемых файлов появляеться в сведениях:

размер файла -0

интедификационный код файла (ИКФ) -00000000000000000000000000000000

дата последнего изменения 1 Январь 1601 г. 3:00:00 MSK

у меня многие НОРМАЛЬНЫЕ приложения\программы так определяются

ВОПРОС: может дело в моём сервере или у кого то тоже есть приложения с ИКФ 00000000000000000000000000000000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Yanish а случайно эти файлы не имеют русских букв в названиях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yanish

Да есть русские но и с англ. именами то же есть файлы , вот одна из страниц поиска приложений

c20d024e42a83c9b665b1fda109840d4.jpg

Пиплы, так есть у кого нибудь еще множество приложений с ИКФ =00000000000000000000000000000000

\\\ хоть новую тему открывай ИКФ =00000000000000000000000000000000

Отредактировал Yanish

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
×