Új hozzászólás Aktív témák

• #8370 micafighter nagyúr King Unique #8368

  Új Válasz 2013-09-30 00:13:51 #8370

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  micafighter

  nagyúr

  válasz King Unique #8368 üzenetére

  Szerk: Hosszú lett, úgyhogy a lényeget beletettem kódba, , de a többit is érdemes szerintem elolvasni, mert talán jobban megérted a CIS müködését.

  Kicsit magyarázok is mellé, hogy érthető legyen mi a gond, és miért csináljuk amit csinálunk.

  Mint már írtam, a probléma az, hogy MBAM és az Obli hozzá akarnak férni egy védett területhez. Hiába adtad hozzá kivételként a HIPSnél, nem a HIPSen akadnak meg, hanem a Comodo védi a védett területeket. Hogy valami probléma van, ezt a naplóbol látjuk, na meg esetleg abból, hogy nem müködik valami megfelelően.

  Azt kicsit sajnálom, hogy a naplóban nincs odaírva pontosan, hogy mi történt és miért. Az adatok ott vannak, de egy kevésbé gyakorlott felhasználó nem biztos, hogy össze tudja rakni.

  Ha oda lenne írva, hogy ,, Mbam hozzá akar férni a CIS memóriájához, ami egy védett terület, ezért a hozzáférés blokkolva lett" akkor könyebb lenne a megoldást is megtalálnia szerencsétlen usernek. De mivel ez így nincs odaírva, ezt magadnak kell összerakni, ezekből az adatokból:

  1) Miért készült a napló bejegyzés?

  defense+ alatt akkor készül naplózás egy eseményről, ha:
  > HIPS beállításokban változás történt
  > ha egy alkalmazás sandboxolva lett
  > az alkalmazás/folyamat védett helyhez próbál hozzáférni
  > ha olyan esemény történt ami ütközik a HIPS szabályaiddal

  2) Mi történt pontosan?

  Alkalmazás = Ami csinálni akar valamit
  Jelzők = Amit az "alkalmazás" csinálni akar
  Cél = Ahol csinálni akarja az "alkalmazás" a "jelzőt"

  Jelen esetben a sandbox lehetőséget ki lehet zárni, mert akkor a jelzőnél az lenne, hogy sandboxolva lett.
  A hips szabályba ütköző eseményt megint ki lehet zárni, hisz a kivételekhez lett adva az MBAM.
  Történt mostanába változás a HIPS beállításokban? Igen, mert hozzáadtam az MBAM-ot a kivételekhez, de az adott bejegyzésben szó sincs beállítások változásáról.

  Mi marad? Az alkalmazás/folyamat védett helyhez próbál hozzáférni. Ez lehetséges? Igen, mert a cél
  a CIS, és elképzelhető hogy van valami fajta önvédelme a Comodonak.

  Következő lépés, hogy meg kell nézni a védett alkalmazások listáját, valóban ez történt-e. Védett alkalmazások: [link]

  Meggyőződtünk, hogy igen, Comodonak van önvédelme. Akkor mi a teendő?

  Van erre megoldás, mégpedig hogy adott programok részére hozzáférési engedélyt adunk az adott védett területhez. Jelen esetben: MBAMnak engedélyt adunk a CIS-hez, Oblinak a Windows\System32 területhez.

  Ezt a következő képp tudjuk megtenni:

  Defense + ; HIPS szabályok ; keresd meg a "COMODO Internet Security" csoportot és katt rá 2x ; védelmi beállítások fül.
  
  a folyamatok közötti memória hozzáférésnél menj a módosítra.
  jobb gomb, hozzáad, futó folyamatok, és megkeresed azt a folyamatot, ami az adott napló bejegyzésnél az alkalmazás fül alatt volt. (jelen esetben C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe) elfogadod ok ok ok és meg is vagyunk :)
  restart és müködnie kell

  Oblinál is hasonlóan kell eljárni, a következő eltérésekkel:

  adatok a naplóbejegyzésből:

  > Más volt természetesen az "alkalmazás" fül, mert itt ugye nem mbam.exe-ről van szó, hanem az obli C:akármi.vbs -ről.

  > Más volt a "cél" , tehát most a védett alkalmazásoknál nem a Comodo-t kell keresni, hanem valami Windows dolgot. (valami olyasmi lesz szerintem, hogy Windows rendszeralkalmazások)

  > Más volt a "jelző", tehát az "alkalmazás" mást akart csinálni, ezért nem memória hozzáférést kell neki adni, hanem engedélyt folyamat létrehozásra.

  Na hát így röviden ennyi, bocsi hogy ilyen hosszú lett, bár nem volt egyszerü összerakni, mert most nincs fent egyik gépemen se comodo, de gondoltam hasznosabb, ha tanítok kicsit halászni, mint hogy egy halat dobok a kezedbe

  Majd írj, hogy sikerült-e!

Új hozzászólás Aktív témák