Старый 03.10.2010, 22:57   #1
⋆⋆⋆⋆⋆
 
Аватар для budda

 
Регистрация: 15.02.2009
Сообщений: 14 748

budda вне форума

Comodo - вопросы, проблемы, обсуждение


Здесь задаем вопросы и обсуждаем проблемы, связанные с использованием продуктов Comodo!



Правила темы:

1. Обсуждение в теме ведется в корректной и вежливой форме по существу возникающих у пользователей данных продуктов вопросов и проблем, связанных с использованием соответствующего антивирусного решения.

2. Бессмысленные посты, фанатизм, холивар при обсуждении продуктов запрещены, а лица их допустившие наказываются в соответствии с правилами форума. Не забывайте, что данный форум создан для общения и обсуждения интересующих пользователей проблем, а не для выяснения отношений.


Мануал по установке и настройке Comodo IS Pro 2012
Очистка системы от драйверов Comodo
База знаний Comodo на русском языке
Настройки Comodo Internet Security 6.2
  Ответить с цитированием
Re: Comodo - вопросы, проблемы, обсуждение
Старый 03.12.2019, 20:18   #321
Форумчанин
 
Аватар для Torrentino

 
Регистрация: 28.08.2019
Адрес: Darkland
Сообщений: 371

Torrentino вне форума
По умолчанию Re: Comodo - вопросы, проблемы, обсуждение

Цитата:
Сообщение от lookonthemoon Посмотреть сообщение
Если можешь внести изменения в описание - внеси ;) - а, мы почитаем
Ну, судя по последним событиям, там одна проблема возникла. Это когда на построении идет перекличка, и командир выкликает: "Рядовой Иванов!" - "Я!" - отвечает Петров. "Рядовой Петров!" - "Я!" - кричит Сидоров. "Рядовой Сидоров!" - "Я!" - басит Иванов.
В остальном вроде боевые задачи успешно выполняются.
__________________

Comodo Antivirus + Symantec EP Firewall
  Ответить с цитированием
3 пользователя(ей) сказали cпасибо:
Re: Comodo - вопросы, проблемы, обсуждение
Старый 29.12.2019, 23:10   #322
Форумчанин
 
Аватар для Torrentino

 
Регистрация: 28.08.2019
Адрес: Darkland
Сообщений: 371

Torrentino вне форума
По умолчанию Re: Comodo - вопросы, проблемы, обсуждение

Динамический тест Comodo Antivirus 12.0.0.6882

После проведения сегодняшнего "ежедневного" теста на сканирование набора в 210 сэмплов (http://anotherforum.ru/971262-post852.html) у меня осталось 22 неотдетекченные тушки. И захотелось мне провести с ними демонический динамический тест. Тем более что давно чесались руки устроить хорошую проверку комодовской песочнице. Но в теме "динамические тесты" тестируются свои наборы, плюс ко всему там жесткие правила оформления, а мне, честно говоря, лень было скринить запуск своих аж 22 экзешников. Поэтому опишу результаты теста в произвольной форме и дам свои комментарии здесь, тем более что тест получился не столько песочницы, сколько проактивной защиты Комодо.

1. Изоляция в песочнице.

Все 22 файла были отнесены антивирусом к неопознанным и должны были запуститься в песочнице по умолчанию. В настройках песочницы я поменял уровень ограничений на один пункт вверх: с "частично ограниченного" на "подозрительный", плюс задал время на выполнение в пределах 60 секунд.
Нажмите чтобы раскрыть спойлер


Все 22 файла запускались на реальной системе Win 10 LTSC 64 по очереди. Большая часть виртуализировалась без оповещения. Часть файлов при запуске запрашивала повышенные привилегии и была отправлена в песочницу вручную. Только один файл (1581) вообще не запустился в системе. В течение теста Comodo KillSwitch, под контролем которого проходил тест, показывал появление и выгрузку из памяти безопасных, неопознанных и вредоносных виртуализованных процессов.

2. Проактивная защита Комодо

В промежутке от запуска процесса до его изоляции в контейнере работал Вирускоп. Были определены как зловреды, запрошены на удаление и удалены в карантин файлы №№ 1355, 1564 и 2284:
Нажмите чтобы раскрыть спойлер



В самом контейнере работал уже сам антивирус. Были обнаружены еще 10 подозрительных и вредоносных процессов:
Нажмите чтобы раскрыть спойлер

Файл 2284 был обнаружен дважды: вначале в песочнице антивирусом, а через 5 сек. подоспел вердикт вирускопа, который и удалил файл из его реальной директории.

3. Результат

В конце теста не осталось висящих в памяти виртуализованных процессов. Контейнер Комодо также показывал их отсутствие. Ограничение времени на выполнение соблюдалось, хотя основная часть процессов выгружалась уже в первые секунды после запуска.
После перезагрузки новых процессов также не появилось. Сканеры подтвердили чистоту системы.
Нажмите чтобы раскрыть спойлер

__________________

Comodo Antivirus + Symantec EP Firewall
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Re: Comodo - вопросы, проблемы, обсуждение
Старый 02.01.2020, 20:58   #323
Форумчанин
 
Аватар для Torrentino

 
Регистрация: 28.08.2019
Адрес: Darkland
Сообщений: 371

Torrentino вне форума
По умолчанию Re: Comodo - вопросы, проблемы, обсуждение

Тест песочницы и HIPSa Комодо

В ряде тестов на comss и на этом форуме Comodo с настройками по умолчанию пропускал заражения от неопознанных файлов, запускавшихся в песочнице. Но до сегодняшнего дня не встречал достоверной информации по двум вопросам:
1. Действительно ли песочница Комодо "дырявая", и
2. Как поведет себя в этом случае HIPS Комодо, если будет установлена, например, конфигурация Proactive?
Последний вопрос интересен еще и потому, что в мануалах, посвященных работе Комодо, и блоге М.Бояренко не раз констатировалось, что HIPS не отслеживает приложения, запущенные в песочнице.
Сегодня, с помощью журналов Комодо, а также благодаря Jimimi и его набору по динамическому тестированию, содержащему файл him.exe, выложенному здесь: http://anotherforum.ru/971655-post194.html, ситуация начала несколько проясняться.


Тест был проведен на реальной машине, система Win 10 LTSC 64, с Comodo Antivirus 12.0.0.6882 в конфигурации Proactive, со следующими настройками HIPS и опциями запуска неопознанных исполняемых в Autocontainment:
Нажмите чтобы раскрыть спойлер



Тестовый файл him.exe на время теста отсутствует в базе Комодо и отнесен к неопознанным:
Нажмите чтобы раскрыть спойлер

Файл был запущен в 19.53 с секундами по системному времени.
Далее, по журналу Комодо, в 19.53.14 HIPS без уведомлений блокировал доступ к COM-интерфейсу процесса dllhost.exe из системной директории system32:
Нажмите чтобы раскрыть спойлер

И только через 24 секунды (!!!) после этого, в 19.53.38, процесс him.exe был запущен в песочнице, а еще через 5 секунд, в 19.53.43 - дочерний процесс dllhost.exe, запущенный him.exe.
Нажмите чтобы раскрыть спойлер

То есть между блокированием действия dllhost.exe HIPS-ом Комодо в реальной системе и его виртуализированием, судя по журналам Комодо, прошло 29 секунд.
Вот эти два процесса, висящие в контейнере в конце теста:
Нажмите чтобы раскрыть спойлер


Тест повторял дважды, отличия во времени - плюс-минус секунда.

Выводы:
1. Между запуском процесса юзером и его изоляцией в контейнере Комодо проходят десятки секунд, во время которых Комодо, очевидно, еще раз проверяет файл по базам онлайн, создает контейнер, соответствующие папки, размещает там копию запускаемого файла и т.д. Плюс, как мы знаем из предыдущего теста, в это время с файлом работает Virusscop. За это время процесс, загруженный в память, может успеть выполнить определенные вредоносные операции на реальной машине, в ч., запустить дочерние процессы.
2. Эти действия, происходящие вне песочницы, отслеживает HIPS Комодо и пресекает их без уведомлений, даже если настройки на выдачу уведомлений другие.
3. Поэтому дефолтных настроек для безопасного запуска неопознанных файлов недостаточно, HIPS Комодо должен быть включен вручную или в виде смены конфигурации.

PS Желающие повторить и проверить - велкам, только поторопитесь, а то файлы отправлены в облако Комодо и скоро будет детектироваться по базам.
__________________

Comodo Antivirus + Symantec EP Firewall
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.



Часовой пояс GMT +3, время: 22:32.




Яндекс.Метрика