Firewall + HIPS

[Night_Raven]

Мисля, че не липсва. При инсталация махнах отметката на стената и оставих само на антивирусната. След това Defense+ си работеше. Не просто беше там, но и си функционираше. Не е само до интерфейса.

[mihnev_sz]

Мисля, че не липсва. При инсталация махнах отметката на стената и оставих само на антивирусната. След това Defense+ си работеше. Не просто беше там, но и си функционираше. Не е само до интерфейса.

Добре де,нали само към стената е "закачено" Defense+,там ти предлагат по време на инсталацията дали да си със или без него!?

То в този случай се потвърждава тогава,програмата си е жива реклама!Инсталира се нещо,за което всъщност не знаеш,а разбираш в последствие!?!?

[Night_Raven]

Ами, явно не е закачено към нищо или по-скоро е закачено и към двете. Ако по време на инсталацията не се избере нищо (т.е. се махнат отметките на антивирусната и стената), бутонът Next става сив и инсталацията не може да продължи. Ако обаче се избере антивирусната или защитната стена (независимо кое от двете) след това Defense+ също е инсталиран.

[Гост tnn]

Comodo Antivirus исках да го пробвам с Mamutu 2.0 - но заради Defense+ се наложи да деинсталирам австрийската програма.Затова го счетох по-скоро за IDS-модул,може и да греша. Сега вероятно a-squared 4.5 Free отвреме-навреме пак ще започне да си намира по нещо. Ако това се случи - по целесъобразност мамутът ще бъде върнат. Но сега ми е интересно докъде е стигнал в развитието си един от най-младите антивируси.Вероятно ще са прилични справянията му заедно със своя Defense+. Стената им няма да я инсталирам - заради недоустановени съмнения в тяхна несвършваща шпиономания.Който желае нека да вярва на установените 100% от чешките тестващи http://www.matousec.com/projects/proactive-security-challenge/results.php Поздрави

[tanganika]

HIPS-а на COMODO се „издъни” допуснал е инфектиране на системата ми,но антивирусната ми програма a-squared free откри всичко няма мърдане

 

http://i34.tinypic.com/20z3d4o.jpg

 

Резултат за първия файл

http://www.virustotal.com/analisis/90d7d491975212fff598f4c262578e2a58e3050ea0a33664fad2e6b1887f992e-1250472216

 

http://i33.tinypic.com/2ahe3ir.jpg

 

 

Резултат за втория файл

http://www.virustotal.com/analisis/f26423abae763496b267438483827faa8cc04c68d36fe07d74375512c515b16b-1256255085

 

Лабораторията на Avira са на това мнение:

 

Thank you for your submission. Below you can see the current status of the uploaded files.

A listing of files alongside their results can be found below:File ID Filename Size (Byte) Result

25404944 ndisapi.dll 60 KB CLEAN

Please find a detailed report concerning each individual sample below: Filename Result

ndisapi.dll CLEAN

The file 'ndisapi.dll' has been determined to be 'CLEAN'. Our analysts did not discover any malicious content.

[Гост tnn]

!A2 ти открива следи със среден риск."Събитието" е преминало през защитата ти - не вярвам да вярваш в "100-те процента на чешките младежи". Добре е, че поне !IK мълчи -иначе не е изненада мълчанието и на целия Вирустотал.Ако Mamutu 2.0 е бил там това не би било случило се. Аз сега заради други програми не го ползвам - макар, че го имам безплатно за година от промоцията им през август. Поздрави

[Night_Raven]

С това за мълчанието на VirusTotal да не би да намекваш нещо?

[Гост tnn]

http://www.matousec.com/projects/proactive-security-challenge/results.php Съществуват неизвестно колко много за мен вредоносни творения, които никоя програма от Вирустотал все още не ги засича.Продължавам да попадам на подобни и за мен е нормално.Нужно им е още време за догонване. Поздрави

[tanganika]

Лоша работа дали този път HIPS-а на добрия стар Комодо не ме е изложил ?

 

http://i33.tinypic.com/o6cgtg.jpg

 

Пробвах да го фиксна но не помръдва,получавам това съобщение

 

http://i38.tinypic.com/2q9jp60.jpg

 

Рууткитче ли е що е ?

 

Ето резултата и от GMER

 

GMER 1.0.15.15163 - http://www.gmer.net

Rootkit quick scan 2009-10-26 16:35:06

Windows 5.1.2600 Service Pack 3

Running: comodo.exe; Driver: C:\DOCUME~1\Computer\LOCALS~1\Temp\kwtdrpob.sys

 

 

---- System - GMER 1.0.15 ----

 

Code 889E7B0C ZwRequestPort

Code 889E7B0B NtRequestPort

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Firewall Pro Helper Driver/COMODO)

AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Firewall Pro Helper Driver/COMODO)

AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Firewall Pro Helper Driver/COMODO)

AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Firewall Pro Helper Driver/COMODO)

 

---- EOF - GMER 1.0.15 ----

 

Преди месец тези чудесии ги нямаше в лога на GMER

 

ZwRequestPort

NtRequestPort

 

Да не би да е дошло времето да си сменям подписа ? :'(

[Pe6o]

Tanganika,

ти можеш ли да четеш?

Това е Hook функция, как ще я изтриеш?

Аналогично API функций:

ZwRequestPort: се командва от ntoskrnl.exe/HIPS'a на ОС/

NtRequestPort: същото, само че предполагам от HIPS'a на Comodo

 

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

[tanganika]

Tanganika,

ти можеш ли да четеш?

Това е Hook функция, как ще я изтриеш?

Аналогично API функций:

ZwRequestPort: се командва от ntoskrnl.exe/HIPS'a на ОС/

NtRequestPort: същото, само че предполагам от HIPS'a на Comodo

 

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

В случая ZwRequestPort се командва от Sandboxie 3.40

 

http://www.sandboxie.com/phpbb/viewtopic.php?t=6459&sid=7683bdf68574e60d7d2662099d8c1f88

 

Жалко че никой не се хвана на провокацията за инфектирана система

[draco_volans]

Жалко че никой не се хвана на провокацията за инфектирана система

 

Извинявай tanganika . Изглежда сме почнали да губим тонус към провокациите, с които толкова често ни даряваш.

[Pe6o]

Привет Tanganika,

Имам чувството, че се опитваш да замажеш конфузната ситуация. Не е нужно да даваш някакви препратки, не можеш ли сам да определиш кoй ползува това API?/условно казано/. Ако не знаеш кажи, ще ти дам една профeсионална програма и ще разбереш. Не знам дали схващаш, но твърдението ти е минус за Comodo.

Tks.

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

[tanganika]

Привет Tanganika,

Имам чувството, че се опитваш да замажеш конфузната ситуация. Не е нужно да даваш някакви препратки, не можеш ли сам да определиш кoй ползува това API?/условно казано/. Ако не знаеш кажи, ще ти дам една профeсионална програма и ще разбереш. Не знам дали схващаш, но твърдението ти е минус за Comodo.

Tks.

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

Какво и е конфузното на ситуацията ? Ти без помоща на програма ли определяш дадено API от коя програма/зловреден код се ползва ? Тъй като аз не мога да определя кое какво е ползвам Google,в крайна сметка за мен е важен крайния резултат.

Кое твърдение е минус за Комодо ? Поздрави

[Pe6o]

Re:

Привет Tanganika,

Формално погледнато въпросът и елементарен и отговора е "да". Преди време писах за SysProt, която може да ти служи за ориентация. За професионални нужди:"Sanity Check" http://www.resplendence.com/sanity

"Кое твърдение е минус за Комодо"?

Расъждаваме: Comodo контролира много API, но не и това, което показваш, следователно е минус.

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif