Небагато про зміни в COMODO Internet Security Beta - Блог Comodo

Головне – повністю перероблено базу даних. У ній більше немає місця вразливому 32-бітному хешу, і сам формат її змінився: замість SQLite тепер використовується внутрішнє рішення. Останнє, можливо, засмутить любителів поколупатися в базі своїми руками:) Для їх розради введена спеціальна вкладка «Comodo» у вікні властивостей файлів: там у JSON-форматі представлена ​​різна інформація про файл, включаючи і репутацію, і походження, і ще багато чого цікавого . Щоправда, цю вкладку можуть видалити у фінальному релізі, але сподіваємось, що доступ до неї таки залишать.

internet

Як напевно помітили уважні користувачі, у властивостях файлу представлені дані не тільки про видиму його частину, а й про альтернативні потоки NTFS. Справді, ще однією рисою нової версії став контроль репутації файлів, які запускаються із цих потоків. Насправді CIS контролював ці файли і раніше, але ніколи не довіряв їм, а зараз може і довіряти.

Вже в попередній публічній бета-версії CIS 10.0.0.5144 облік проходження був реалізований по-новому, що виявилося одним із головних та приємних її покращень. Але тоді він, як і у версіях CIS 8.x, грішив перепусткою файлів. У нинішній версії облік походження став помітно надійнішим.

Ще тему обліку файлів — усунуто «вразливість до заміни», тобто. CIS більше не довіряє непізнаним файлам, що посідають місце довірених.

Втім, з'явилися і баги, пов'язані з блокуванням довірених файлів: то HIPS у «Безпечному режимі» заблокує програму, додану довірені, то автопісочниця ізолює її після перейменування.

Псує враження та ведення журналів: у них перестали відзначатись зміни списку файлів і постачальників, що відбуваються безучасті користувача. Сподіватимемося, що проблему усунуть.

З іншого боку, покращилося ведення списку файлів. Принаймні, в моїх експериментах до цього списку потрапляли і довірені, і непізнані файли, незалежно від того, чи вдавалося їм запуститися або їх блокувала автопісочниця.

Дрібна неприємність - зі списку активних процесів зникла мітка про ознаку інсталятора. Але принаймні її можна побачити у вікні KillSwitch'а.

До речі, про установників — частина проблем із ними зникла в попередній публічній бета-версії, але розробники на цьому не зупинилися. У нинішній версії статусу установника нарешті втратили багато інших програм, наприклад, Emsisoft Emergency Kit.

Хоча ситуація з довіреними установниками стає дедалі кращою (тобто їх самих стає дедалі менше), повного рішення нам так і не дають. Як і раніше, HIPS ні в якому режимі не сповіщає про їхні дочірні процеси, як і раніше, це можна зловмисно експлуатувати.

Судячи з експериментів, установниками тепер вважаються програми, у яких в імені файлу, або в File Version Info (у полі FileDescription, ProductName, InternalName або OriginalFilename) міститься слово install, setup або update; а також msi-файли. Таким чином, прибрано такі ознаки, як запит прав адміністратора або великий розмір файлу.

До речі про великі файли. Здається, проблеми з ними вирішені радикально — зняття обмежень на розмір. Принаймні такий висновок роблю, награвшись з гігабайтними файлами.

Суттєво «ядернішою» стала автопісочниця: тепер вона здатна ізолювати програми, що запускаються від імені System.

Несподівано змінилися й сповіщення про ізоляцію програм автопісочницею: з них зникла кнопка "Більше не ізолювати". Якоюсь мірою це гарнановина, оскільки ця кнопка була досить шкідливою і безглуздою (вірніше, стала такою у версіях 8.x). Але, боюся, на численні прохання користувачів її повернуть;) Тим більше, що конгеніальна їй функція «Розблокування додатків» нікуди не поділася.

Ще одна віддалена "шкідлива" функція - формування кешу в режимі очікування. За нею напевно ніхто не сумуватиме, тим більше, що на неї траплялися скарги.

На цьому розробники знову ж таки не зупинилися і видалили цілий режим «Чистий ПК». Враховуючи його проблеми, шкодувати нема про що.

З'явилася і нова функція: аналіз командного рядка став налаштованим, і тепер логіка його роботи вийшла на поверхню. Інтерфейс виглядає так, ніби весь фокус «евристичного аналізу» в тому, щоб приймати програми з певними іменами за їхній аргумент командного рядка.

comodo

Насправді аналіз командного рядка влаштований трохи складніше. "Інтерпретаторами" вважаються не будь-які програми із заданими іменами, а лише довірені (інакше було у версії CIS 10.0.0.5144 - тепер виправили). "Скриптами" ж у багатьох випадках вважаються лише файли, що не виконуються. Крім того, для різних інтерпретаторів по-різному виконується розбір командного рядка.

Таким чином, інтерфейс не передає всі тонкощі аналізу командного рядка і не дозволяє їх налаштувати. Але певна корисна настройка можлива: інтерпретатори представлені як шаблони шляхів до них, і можна відключати їх окремо, додавати свої шаблони або редагувати наявні. Наприклад, шаблоном *\AutoIt3.exe можна додати контроль AutoIt-скриптів. (Зауваження/баг: для вказівки шляху до інтерпретатора не працюють змінні середовища.)

У тому, що інтерпретатори ідентифікуються за іменами або шляхами, є очевидний недолік: скрипт можнавиконати перейменованою копією інтерпретатора в обхід захисту. Для порівняння, цьому прийому здатний протистояти Kaspersky Internet Security, оскільки ідентифікує інтерпретатори File Version Info.

І мало не забув про головне нове і — раптово! - Безкоштовний компонент Безпечний шопінг. Зізнаюся, поки невиразно уявляю його використання: звичніше уникати зараження, а не грати в хованки з малварью, що господарює вдома:) Принаймні, «Безпечний шопінг» справді надає захист від зовнішнього середовища і справді придатний для відповідальних операцій.

У нинішній версії на панелі завдань "Шопінгу" з'явився ярлик Провідника, і через нього стало можливо запускати в захищеному середовищі різні програми. Наприклад, запущений у цьому середовищі менеджер паролів буде захищений від різних посягань ззовні, зокрема. від читання пам'яті.

зміни

Ризикну припустити, що продукт таки живий. Дякую розробникам.