Liczba postów: 43
Liczba wątków: 5
Dołączył: 14.03.2011
Reputacja:
4
rafikrafiki napisał(a):Po odwiedzeniu dużej liczby stronek z różnymi złośliwymi paskudztwami, oraz pobraniu kilkudziesięciu plików, z czego kilkanaście zostało uruchomionych. Mój wirtualny system wykazuje spowolnienie, a Comodo milczy, oczywiście jeszcze nie skanowałem systemu. Zastanawia mnie zachowanie zapory pojawiło się połączenie ping.exe które pokazuje do 100% i w większości takie jest, znalazłem z jakim IP się łączy jest to: 38.99.169.86 Trochę mnie to zastanawia?
naturalne że zauważasz spowolnienie - mimo że prawdopodobnie uruchomione pliki są w sandboxie nie znaczy że nie będą korzystały z procesora i pamięci, daj znać co znajdziesz po resecie komputera i skanowaniu
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
rafikrafiki napisał(a):Jest izolowany
Dodano: 05 sty 2012, 15:55
Po odwiedzeniu dużej liczby stronek z różnymi złośliwymi paskudztwami, oraz pobraniu kilkudziesięciu plików, z czego kilkanaście zostało uruchomionych. Mójwirtualny system wykazuje spowolnienie, a Comodo milczy, oczywiście jeszcze nie skanowałem systemu. Zastanawia mnie zachowanie zapory pojawiło się połączenie ping.exe które pokazuje do 100% i w większości takie jest, znalazłem z jakim IP się łączy jest to: 38.99.169.86 Trochę mnie to zastanawia?
ping.exe korzysta wyłącznie z protokołu ICMP, nie powinno go być w aktywnych połączeniach tym bardziej z jakimś adresem IP? Ekspertem nie jestem, ale coś może być na rzeczy...
O ICMP
[Aby zobaczyć linki, zarejestruj się tutaj]
Hej, mozna jakos wyslac do supportu program , ktory na bank jest czysty,a Comodo za wszelka cene wpuszcza go do piasku i mam mnostwo "prob ingerencji w system" notowanych w statystykach przez Defense+? . Nie zeby bylo to jakos szczegolnie uciazliwe, ale ten programa w zasadzie programy nowe nie sa, Comodo "otrzymal juz te pliki", a ciagle maja status "niezany".
Liczba postów: 1 828
Liczba wątków: 24
Dołączył: 08.05.2011
Reputacja:
41
Tu masz topic aby dodać program na białą listę.
Link: [Aby zobaczyć linki, zarejestruj się tutaj]
Ewentualnie musisz w defen..+ dodać wyjątek w odpowiednim miejscu. ( to zależy co jest źródłem a co celem)
Sandboxie + UAC Max/Spyshelter P + Webroot SA + OPEN DNS
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Kolejny i słusznie nazwany temat [Aby zobaczyć linki, zarejestruj się tutaj]
A to coś ode mnie, LT podmieniony pod operę, D+ traktuje jako zaufaną aplikację
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 2 777
Liczba wątków: 22
Dołączył: 22.11.2008
Reputacja:
67
No to poważna kicha ,czyżby D+ sprawdzał wiarygodność pliku po nazwie ?
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Mnie natomiast boryka inny problem, mianowicie firewall. Znalazłem taką stronkę z której można pobrać program do testowania zapory. I wynik Comodo to 50/340 to nie wiele i nie wiem co o tym myśleć. Później przetestuję jeszcze dodatkowe pliczki All Tests (.zip) oraz ponownie zrobię test i zobaczymy jak to będzie wyglądało. Programik można pobrać stąd: [Aby zobaczyć linki, zarejestruj się tutaj]
A co do powyższego zachowania D+ to też sprawdzę, czy przepuszcza pliki na zasadzie sprawdzania nazw. A może po prostu ikona aplikacji została zmieniona, a sama aplikacja jest ok.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
po podpisie cyfrowym jak i powinien też po hashu
co do testu firewalla comodo jak spyshelter przechodzą 340/340 test stary jak świat
Liczba postów: 1 828
Liczba wątków: 24
Dołączył: 08.05.2011
Reputacja:
41
pewnie włącza się w sanboxie...dlatego taki niski wynik.
Sandboxie + UAC Max/Spyshelter P + Webroot SA + OPEN DNS
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
rafikrafiki napisał(a):A może po prostu ikona aplikacji została zmieniona, a sama aplikacja jest ok.
Zmiana ikony = zmiana MD5.
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Podmieniłem cały plik opery plikiem leaktest.exe ze strony Gibson R. Wychodzi na to, że sprawdza po nazwie co jest nie do przyjęcia
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
hmm dlatego w 6 musi się to zmienić,jak i sprawdzanie hashu
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Ambient napisał(a):Kolejny i słusznie nazwany temat [Aby zobaczyć linki, zarejestruj się tutaj]
A to coś ode mnie, LT podmieniony pod operę, D+ traktuje jako zaufaną aplikację
[Aby zobaczyć linki, zarejestruj się tutaj]
Próbowałem podmieniać plik opera.exe, zmieniając nazwę tego do podmiany i nie tak łatwo oszukać Comodo. Wszystkie aplikacje które są znane programowi zostały uruchomione jako opera, lecz jeśli próbowałem uruchomić po podmianie nieznany plik, to comodo uruchamiał podmienione "opera" jako nieznany i izolowany.
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Miałem tak samo, wyłącz antywirusa i skanowanie w chmurze, plik znajduje się w bazie [Aby zobaczyć linki, zarejestruj się tutaj] rozpoznaje i uruchamia w autosandbox dla pełnego efektu zmień na tryb paranoidalny
A tutaj dla porównania zachowanie Outposta:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
facecik napisał(a):No to poważna kicha ,czyżby D+ sprawdzał wiarygodność pliku po nazwie ?
Będąc scislym to po lokalizacji a nie po nazwie.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Interesuje mnie ustawienie D+, a dokładnie kontrola uruchamiania/ Traktuj nierozpoznane pliki jako (częściowo limitowane). Uruchamiając malware na wirtualnym sys, większość plików jest uruchamiana jako nierozpoznane i częściowo limitowane. Zainstalowało mi się dużo badziewia i zastanawiam się w jaki sposób te pliki są dopuszczone do systemu z tym ustawieniem.
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Ograniczenie częsciowo limitowane nie pozwala do zagniezdzenia sie aktywnej infekcji, jednak umozliwia to na porzucanie jakis plikow w niewrazliwych lokalizacjach, jednak zmiana ustawien systemu czy dodanie sie do autostartu jest niemozliwa. Zawsze mozesz podwyzszyc poziom.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Przy podwyższeniu poziomu niektóre instalatory pokazują błędy. I jeszcze jedna sprawa na macierzystym sys win 7 64 bit w D+/ogólne mogę ustawić opcję - Włącz rozszerzony tryb ochrony, czy też jest to zbędne?
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Podwyzszony poziom ograniczen= mniej prawa dla aplikacji = mniej czynnosci, jakie moga wykonac, dlatego wala bledy.
Na x64 mozesz zaznaczyc, to opcja stricte przeznaczona dla tych systemow wspomagajaca ochrone.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Dzięki za podpowiedzi
|