CIS 7: Рейтинг файлов. Группы файлов

Понятие рейтинга файлов, списки «доверенных» и «неопознанных» программ, приемы работы с ними. Управление группами файлов

Содержание

Рейтинг файлов
- Занесение в «доверенные» большого числа файлов
- Занесение в «доверенные» активной программы
- Статус приложения-инсталлятора
Группы файлов

Прежде чем переходить к рассмотрению непосредственно средств защиты, познакомимся с «Рейтингом файлов» — компонентом, на который опирается работа CIS, и с «Группами файлов» — удобным инструментом для настройки.

Рейтинг файлов

Компонент «Рейтинг файлов» делит все обнаруженные программы на «доверенные» и «неопознанные». От рейтинга программы будут зависеть ограничения, накладываемые на нее антивирусом, фаерволом, HIPS и Autosandbox.

Файл получает статус «доверенного» разными путями:

  • автоматически:
    • если он входит в список безопасных файлов, который обновляется вместе с антивирусной базой;
    • если файл имеет цифровую подпись, причем ее поставщик входит в список доверенных;
    • если файл признан безопасным по результатам облачной проверки;
    • если он был создан приложением, имеющим права «доверенного инсталлятора» (об этом в других статьях);
  • может быть занесен в список «доверенных» вручную:
    • через окно настройки CIS;
    • через список активных процессов, если этот файл выполняется;
    • через окно уведомления об изоляции этого файла в Autosandbox.

Через окно настройки CIS можно добавлять в «доверенные» не только файлы, но и все содержимое каталогов. Разумеется, добавлять файлы и каталоги в «доверенные» можно только при полной уверенности в их безопасности.

Добавление каталога в 'доверенные'

Важный момент: в список вносится контрольная сумма файла, а путь отображается лишь для удобства пользователя. Т.е. после внесения файла в список все идентичные ему будут «доверенными», даже если исходный файл удалить. Соответственно, если внести изменения в файл, он перестанет быть «доверенным» (но останется им, если изменения будут вызваны его заменой на новую версию, имеющую подпись).

Определение рейтинга файла (и назначение соответствующих ограничений) не всегда сопровождается автоматическим занесением его в какой-либо из списков. Обычно автоматическое занесение файла в список «доверенных» происходит в случае облачной проверки или работы «доверенного инсталлятора», а в список «неопознанных» — при изоляции в Autosandbox. Известен также баг: отсутствующие на диске файлы не удается удалить из списка «неопознанных».

Отметим, что в старых версиях Comodo Internet Security понятие «доверенного» приложения в разных контекстах имело разный смысл: были доверенные в смысле рейтинга файлов, в смысле HIPS и в смысле фаервола. Теперь понятие «доверенного» используется только в смысле рейтинга файлов, а для HIPS и фаервола его заменили на «разрешенное», опять же в разных смыслах. Вообще терминология CIS неудобна множеством омонимов, которые следует различать.

Занесение в «доверенные» большого числа файлов

Если CIS установлен на чистую от вредоносных программ систему, можно установить «доверенным» текущее содержимое компьютера. Для этого можно включить режим «Чистый ПК» или же добавить весь системный диск в «доверенные». Следует иметь в виду, что в последнем случае будут подсчитаны и записаны контрольные суммы абсолютно всех файлов. Чтобы ограничиться лишь исполняемыми, можно применить такой трюк (Thanks to Feliks1): через «Total Commander» копируем во временную папку системные каталоги с фильтром по исполняемым и библиотечным файлам, добавляем эту временную папку в «доверенные», а затем, когда контрольные суммы посчитаются (это может занять несколько минут), удаляем ее.

Занесение файлов в «доверенные» с фильтром по маске

Этот метод можно применять для занесения в «доверенные» любого каталога с большим числом файлов. Его недостаток: записи удалятся, если обновить список для очистки от недействительных файлов.

Занесение в «доверенные» активной программы

Добавление программы в «доверенные» через окно настройки CIS имеет некоторые неудобства: например, при изменении параметров могут разрываться интернет-соединения. Но, если программа запущена, ее можно занести в «доверенные», не открывая окно настройки.

Во-первых, если используется Autosandbox, то при первом запуске неопознанной программы будет показано уведомление о том, что ее активность изолирована. Нажатие кнопки «Больше не изолировать» приведет к занесению программы в «доверенные».

Добавление изолированной программы в «доверенные»

Во-вторых, вне зависимости от работы Autosandbox можно воспользоваться списком активных процессов. Для этого в главном окне CIS нажимаем на индикатор «Изолировано в Sandbox»; в появившемся окне вызываем контекстное меню и снимаем галку «Показать только приложения в Sandbox»; находим нужное приложение (с рейтингом «неизвестное») и добавляем в «доверенные» через контекстное меню.

Добавление активной программы в «доверенные»

Аналогичное можно проделать через менеджер задач KillSwitch, который устанавливается посредством CIS и интегрируется с ним. Удобство KillSwitch в том, что можно сразу выделить «неопознанные» программы, отсортировав список процессов по столбцу «Оценка»; однако KillSwitch, в отличие от окна CIS, не покажет в этом списке выполняющиеся скрипты.

Дополнительно можно реализовать способ занесения файлов в «доверенные» через контекстное меню проводника. Он требует пояснений, поэтому о нем будет рассказано в статье об использовании проактивной защиты.

Статус приложения-инсталлятора

Приложения с определенными признаками квалифицируются в CIS как «установщики» («инсталляторы»). Такие приложения получают особые привилегии, о которых будет рассказано в других статьях.

Тот факт, что приложение считается «инсталлятором», никак не отражается окне настройки рейтинга файлов. Лишь после запуска приложения можно будет увидеть в окне активных процессов соответствующую отметку в столбце «Рейтинг». Отметим, что в окне KillSwitch аналогичная отметка может отсутствовать.

Опытным путем установлено, что CIS считает «инсталляторами» следующие приложения:

  • программы, которые при запуске запрашивают права администратора,
  • любые файлы размером больше 40 МБ,
  • некоторые другие программы: например, установщики и стартеры PortableApps.

Далее, когда не оговорено иное, под «инсталлятором» будем подразумевать любую программу, предназначенную для установки других, необязательно имеющую данный статус в CIS.

Группы файлов

В противоположность рейтингу, «группы файлов» не имеют никакого отношения к контрольным суммам и идентичности файлов: это просто наборы путей и масок. Создав группу файлов, мы сможем впоследствии ограничивать активность этих файлов, защищать их от изменения, исключать из антивирусного сканирования и т.д. А само по себе создание группы еще не вносит никаких изменений в работу защиты.

Для создания группы файлов откроем вкладку «Защита+» > «HIPS» > «защищенные объекты» > «Защищенные файлы» и в контекстном меню выберем пункт «Группы». Затем через контекстное меню добавим новую группу и добавим в нее любой файл; станет возможным раскрыть группу и вручную изменить путь к файлу. Можно будет использовать таким образом маски или не существующие на данный момент пути.

Использование масок в группах файлов для правил фаервола и HIPS

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?