Пошаговая инструкция для полной настройки и использования CIS 8

Итог предыдущих статей: примерный вариант настройки и использования Comodo Internet Security 8

Внимание! Статья адресована пользователям, которые имеют опыт применения комплекса Comodo Internet Security и прочитали предыдущие статьи о нем. «Новичкам» же рекомендуется предварительно изучить этот продукт. Для ознакомления и относительно эффективного использования предлагается следующий порядок настройки:

  1. отключить компьютер от интернета и/или локальной сети;
  2. установить CIS;
  3. открыть «Главное окно» > «Задачи» > «Расширенные задачи» > «Расширенная настройка»;
  4. на вкладке «Общая настройка» > «Конфигурация» сделать двойной клик по строке «Proactive Security»;
  5. на вкладке «Защита+» > «Sandbox» > «Auto-Sandbox» отключить опцию «Использовать Auto-Sandbox»;
  6. на вкладке «HIPS» > «Защищенные объекты» > «Защищенные файлы» через контекстное меню добавить любой файл;
  7. через контекстное меню заменить добавленную строку на ?:\*
  8. нажать «Ok» для закрытия окна настройки;
  9. открыть «Главное окно» > «Задачи» > «Задачи фаервола» > «Скрыть порты»;
  10. выбрать вариант «Блокировать входящие соединения»;
  11. выполнить перезагрузку;
  12. подключить компьютер к сети.

Предварительные замечания

Данный порядок настройки приводится сокращенном виде. Цель статьи — дать читателям ориентир в многообразии возможностей конфигурирования Comodo Internet Security. Предполагается, что читатели знакомы с предыдущими статьями и понимают причины тех или иных рекомендаций. Здесь даются только самые общие детали настройки. О дополнительных мерах, например, против обхода фаервола (через межпроцессный доступ к памяти, DNS-запросы и BITS), по защите от шифровальщиков или от клавиатурных шпионов рассказано в статье об использовании проактивной защиты; о доступе к локальной сети — в статье о фаерволе и т.д.

Подчеркну, что данная конфигурация является не «максимальной», а более-менее сбалансированной в отношении защиты и удобства использования. Неопознанные программы в ней автоматически виртуализируются без оповещений. Оповещения HIPS возможны, но возникать они будут весьма редко.

Предлагаемый вариант предназначен для личного применения опытным пользователем, но не составляет труда адаптировать его для «новичков» или пользователей с ограниченными правами. Можно, например, отключить все оповещения, или заменить автоматическую виртуализацию неопознанных программ их блокировкой, или перевести фаервол в «Безопасный режим» и т.д.

Если следование данной инструкции приведет к каким-либо проблемам, прошу читателей сообщить в комментариях. Приветствуются сообщения, подкрепленные файлами экспорта конфигурации, списка файлов и каждого журнала CIS за весь период, а также видеозаписью и/или предоставлением удаленного доступа для диагностики.

Установка и настройка

Установка

Желательно устанавливать CIS на систему, гарантированно не содержащую вредоносных программ. Напомню, что необходимо выполнить обновление системы и сделать ее резервную копию. Имеет смысл предварительно отключить «Брандмауэр Windows» через «Панель управления».

При установке CIS рекомендую выбрать только компоненты «Comodo Firewall» и/или «Comodo Antivirus», на остальные предложения ответить отказом.

Если система чиста от вредоносных программ, желательно «ознакомить» CIS с файлами на ней. Чтобы избежать конфликтов, можно на это время отключить компоненты защиты: антивирус, Auto-Sandbox, HIPS, фаервол и Viruscope. Сначала выполним «Репутационное сканирование» («Главное окно» > «Задачи» > «Общие задачи» > «Сканирование») и после его проведения сделаем все найденные файлы доверенными. Затем произведем запуск различных установленных программ и их компонентов. Выполним перезагрузку. В окне расширенной настройки на вкладке «Репутация файлов» > «Список файлов» отметим все файлы и через контекстое меню зададим им рейтинг доверенных.

Основная настройка

После установки откроем вкладку «Общая настройка» > «Конфигурация» в окне расширенной настройки и включим конфигурацию «Proactive Security». На предложение перезагрузки ответим «Отложить».

Если ранее производилась настройка CIS, импортируем из каталога программы исходную конфигурацию «Proactive Security» под другим именем и активируем ее.

Если появится оповещение о выборе статуса сети — выберем вариант «Общественное место.

Переключим интерфейс в режим подробной сводки и снова откроем окно расширенной настройки.

На вкладке «Интерфейс» отключим все опции, кроме «Показывать информационные сообщения» (помним об опасности кнопки «Больше не изолировать»!).

На вкладке «Антивирусный мониторинг» включим опцию «Не показывать оповещения: Блокировать угрозы».

На вкладке «Виды сканирования» откроем профиль «Полного сканирования» и в секции «График» выберем вариант «Не вносить эту задачу в расписание».

Заведем специальный каталог, например, C:\Exclusions, и добавим его в список на вкладке «Антивирус» > «Исключения» > «Исключенные пути». Этот каталог будет использоваться для хранения и запуска программ, которые ошибочно блокируются антивирусом.

На вкладке «Репутация файлов» > «Настройка репутации файлов» отключим опции «Использовать облачную проверку», «Не показывать оповещения», «Доверять приложениям, установленным с помощью доверенных инсталляторов» и «Выявлять потенциально нежелательные приложения». Оставим включеной только опцию «Доверять приложениям, подписанным доверенными поставщиками».

На вкладке «Репутация файлов» > «Группы файлов» создадим группы «AllowedProgs», «WriteProtected» и «FirstQueries». Группу «AllowedProgs» оставим пустой. В группу «FirstQueries» добавим любые два файла и изменим пути на следующие:

  • \Device\KsecDD
  • \Device\MountPointManager

В группу «WriteProtected» добавим любые два файла и изменим пути на следующие:

  • *WriteProtected
  • *WriteProtected\*

На вкладке «HIPS» > «Настройка HIPS» оставим использование этого компонента в «Безопасном режиме» с оповещениями. При этом включим опцию «В оповещениях предоставлять подробные пояснения» и увеличим время показа оповещений до максимума: 999 секунд.

Отключим опцию «Адаптировать режим работы при низких ресурсах системы», если нет проблемы с критическим недостатком оперативной памяти. В случае 32-битной Windows отключим опцию «Включить режим усиленной защиты» (на вопрос о перезагрузке ответим отказом).

В опции «Обнаруживать внедрение shell-кода» зададим исключения: каталоги программ VMware, Alcohol (если они установлены).

На вкладке «Правила HIPS» изменим правила для группы «Все приложения»: в каждом пункте нажмем «Изменить» и в открывшемся окне удалим все записи с вкладки «Разрешенные». В пунке «Защищенные файлы и папки» нажмем «Изменить» и в открывшемся окне на вкладку «Заблокированные» добавим группы «Файлы и папки COMODO» и «WriteProtected». В пункте «Защищенные ключи реестра» нажмем «Изменить» и в открывшемся окне на вкладку «Заблокированные» добавим группу «Ключи реестра COMODO».

Добавим на вкладке «Правила HIPS» новое правило, назначающее группе «AllowedProgs» политику «Системное приложение». Расположим это правило в самом низу списка (ниже правила для группы «Все приложения»). Добавим новое правило HIPS:

  • в поле «Имя» впишем единственный символ *
  • выберем вариант «Использовать собственный набор правил»;
  • в пункте «Запуск приложения» нажмем «Изменить» и в открывшемся окне на вкладке «Разрешенные файлы» добавим группу «Все приложения»;
  • нажмем «Ok» и поместим это правило внизу, между правилами для групп «Все приложения» и «AllowedProgs».

На вкладке «HIPS» > «Наборы правил» изменим набор «Изолированное приложение»: в пункте «Защищенные файлы и папки» нажмем «Изменить» и в открывшемся окне на вкладку «Разрешенные» добавим группу «FirstQueries». Аналогичное изменение сделаем в наборе «Ограниченное приложение».

На вкладке «HIPS» > «Защищенные объекты» добавим в список «Защищенные файлы» группы «WriteProtected» и «FirstQueries».

На вкладке «HIPS» > «Группы HIPS» > «Группы реестра» развернем все группы и отредактируем записи, заменив сокращенные названия разделов реестра полными:

  • заменим HKLM на HKEY_LOCAL_MACHINE
  • заменим HKCU на HKEY_CURRENT_USER
  • заменим HKUS на HKEY_USERS

На вкладке «Настройка Sandbox» отключим опции «Включить автозапуск сервисов, установленных в Sandbox» и «Обнаруживать программы, требующие повышенных привилегий».

На вкладке «Auto-Sandbox» отключим опцию «Проверять происхождение файлов». Через контекстное меню назначим набор правил по умолчанию. Откроем правило для приложений с репутацией «Вредоносное» и на вкладке «Опции» отключим пункт «Переместить программу в карантин». В правиле для приложений с репутацией «Неопознанное» зададим на вкладке «Опции» размер памяти, например, 512 МБ. Вверху списка правил Auto-Sandbox, добавим новое:

  • выберем действие «Игнорировать»,
  • выберем цель: группа «AllowedProgs»,
  • рейтинг оставим не заданным,
  • включим опцию «Не применять выбранное действие к дочерним процессам».

На вкладке «Viruscope» отключим использование этого компонента.

Настройка фаервола

В главном окне CIS нажмем кнопку «Задачи» > «Задачи фаервола» > «Скрыть порты» и выберем вариант «Блокировать входящие соединения» и откроем расширенную настройку.

На вкладке «Настройка фаервола» включим его использование в режиме «Пользовательский набор правил» с опцией «Не показывать оповещения: Блокировать запросы». Отключим опции «Показывать оповещения Trustconnect» и «Создавать правила для безопасных приложений». Остальные опции на этой вкладке включим. На случай работы в режиме показа оповещений выставим «Уровень частоты оповещений» в «Очень высокий», «Время показа оповещений» в 999 секунд.

На вкладке «Сетевые зоны» отключим опцию «Автоматически обнаруживать частные сети».

На вкладке «Правила для приложений» зададим правила (для простоты — политику «Только исходящие») таким программам как браузеры, менеджеры загрузок, почтовые клиенты, мессенджеры и т.п.

Также понадобятся разрешения для автоматического обновления компонентов Flash и Java. Для этого удобнее предварительно создать группы на вкладке «Рейтинг файлов» > «Группы файлов», а затем назначить этим группам политику фаервола «Веб-браузер».

Группы файлов Flash и Java, которым разрешается доступ в интернет для работы и автообновления

Автоматическое обновление Java имеет определенную особенность: требуется доступ в интернет временно создаваемому загрузчику. Этот загрузчик создается в каталоге временных файлов и получает имя по шаблону jre-*-windows-*.exe. Теоретически какая-либо другая программа (выполняющаяся в реальной среде) может создать файл с подобным именем и использовать его для доступа в интернет. Чтобы предотвратить это, запретим запускать такие файлы всем программам, кроме компонентов Java. Полная настройка правил для Java будет следующей:

  • на вкладке «Рейтинг файлов» > «Группы файлов» создадим группу «Java» и занесем в нее следующие строки:
    • %PROGRAMFILES%\Java\*.exe
    • %COMMONPROGRAMFILES%\Java\*.exe
    • %PROGRAMFILES(x86)%\Java\*.exe
    • %COMMONPROGRAMFILES(x86)%\Java\*.exe
    • %TEMP%\jre-*-windows-*.exe
  • создадим группу файлов «Java-temp» и занесем в нее строку %TEMP%\jre-*-windows-*.exe
  • на вкладке «Правила HIPS» изменим правила группы «Все приложения»:
    • в пункте «Запуск приложения» нажмем «Изменить»,
    • в открывшемся окне на вкладке «Заблокированные файлы» добавим группу «Java-temp»;
  • на вкладке «Правила HIPS» добавим правила для группы «Java»:
    • выберем вариант «Использовать собственный набор правил»,
    • в пункте «Запуск приложения» нажмем «Изменить»,
    • в открывшемся окне на вкладке «Разрешенные файлы» добавим группу «Java-temp»;
  • на вкладке «Фаервол» > «Правила для приложений» назначим группе «Java» политику «Веб-браузер».

Для работы и обновления Flash-плеера рекомендую следующую настройку:

  • на вкладке «Рейтинг файлов» > «Группы файлов» создать группу «Flash» и занести в нее следующие строки:
    • %WINDIR%\System32\Macromed\Flash\Flash*.exe
    • %WINDIR%\System32\FlashPlayerInstaller.exe
    • %WINDIR%\SysWOW64\Macromed\Flash\Flash*.exe
    • %WINDIR%\SysWOW64\FlashPlayerInstaller.exe
  • на вкладке «Фаервол» > «Правила для приложений» назначить группе «Flash» политику «Веб-браузер».

Если используются торрент-клиенты или другие приложения, принимающие входящие соединения, понадобится создать глобальное правило, разрешающее входящие на прослушиваемые ими порты. Эти порты желательно занести на вкладке «Наборы портов» в одну группу, например, «OpenPorts», а затем создать правило на вкладке «Глобальные правила»:

  • действие: «Разрешить»,
  • протокол: «TCP или UDP»,
  • направление: «Входящие»,
  • порт назначения: набор «OpenPorts»;
  • расположить это правило вверху списка.

Также, конечно, понадобится создать аналогичные разрешающие правила для самих этих приложений на вкладке «Правила для приложений». Для простоты можно назначить им политику «Разрешенное приложение».

На вкладке «Контент-фильтр» > «Категории» добавим категории «MVPS Hosts list» и «Symantec WebSecurity» и импортируем в них соответствующие списки с сайтов winhelp2002.mvps.org и www.malwarepatrol.net.

На вкладке «Контент-фильтр» > «Правила» убедимся, что правило «Заблокированные сайты» расположено внизу, и изменим его: добавим категории «MVPS Hosts list» и «Symantec WebSecurity» и зададим вид ограничений не «Блокировать», а «Спросить».

Расширения контекстного меню

Чтобы копировать блокируемые антивирусом файлы, добавим соответствующий пункт контекстного меню. Все необходимые для этого материалы с инструкцией даны в архиве CopyMalware.7z.

В архиве InstallContextMenu.7z даны материалы и инструкции по добавлению в контекстное меню проводника пунктов для временного запуска программ без ограничений проактивной защиты. Добавим и это расширение контекстного меню.

Подчеркну, что пункты «Запустить без ограничений Auto-Sandbox», «Запустить как установщик», «Запустить как установщик без повышения прав» и «Скопировать зараженный файл...» не засоряют контекстное меню при обычном его вызове. Они видны только при удержании клавиши Shift. Кроме того, любой из этих пунктов легко удалить запуском соответствующего reg-файла.

Чтобы отправлять файлы на антивирусную онлайн-проверку через контекстное меню проводника, установим программу VirusTotal Uploader (Для установки понадобится пункт меню «Запустить как установщик»). В окне настройки CIS добавим эту программу в список на вкладке «Антивирус» > «Исключения» > «Исключенные приложения», чтобы она имела доступ к файлам, которые блокирует антивирус. На вкладке «Фаервол» > «Правила для приложений» назначим этой программе политику «Только исходящие».

Защита от ярлыков

Чтобы защититься от ярлыков, запускающих вредоносные программы в обход контроля Comodo, применим политики ограниченного использования программ (если они имеются в системе). Порядок настройки:

  • нажать Win+R, набрать secpol.msc и запустить;
  • вызвать контекстное меню на пункте «Политики ограниченного использования программ» и выбрать «Создать политику ограниченного использования программ»;
  • открыть раздел «Дополнительные правила»;
  • через контекстное меню создать «правило для пути»:
    • путь: *.lnk
    • уровень безопасности: «Запрещено»;
  • аналогично создать запрещающие правила для следующих путей:
    • %USERPROFILE%\Desktop\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*\*\*\*\*.lnk
    • %USERPROFILE%\Desktop\*\*\*\*\*\*\*\*\*.lnk
  • для следующих путей создать правила с уровнем безопасности «Неограниченный»:
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*.lnk
    • %HOMEDRIVE%\*\*.lnk

В данной конфигурации разрешается запуск только ярлыков, расположенных на диске с профилем пользователя, все остальные ярлыки блокируются. Также блокируются ярлыки, расположенные в подкаталогах пользовательского рабочего стола.

Варианты изменения конфигурации

При необходимости предлагаемую конфигурацию легко изменить в сторону ужесточения, смягчения, большей интерактивности или, наоборот, «тишины» работы CIS.

Например, может вызывать сомнение эффективность виртуализации Comodo. Кроме того, виртуализация бывает неприемлема при недостатке ресурсов. Тогда можно заменить в Auto-Sandbox виртуализацию блокировкой и дополнительно ужесточить правила HIPS:

  • на вкладке «Sandbox» > «Auto-Sandbox» изменить правило для программ с репутацией «Неопознанные»: выбрать действие «Блокировать»;
  • на вкладке «HIPS» > «Правила HIPS» изменить правило для шаблона *: в пункте «Запуск приложения» нажать «Изменить»,
  • в открывшемся окне на вкладке «Разрешенные» удалить группу «Все приложения» и добавить вместо нее группу «AllowedProgs».

Для защиты в условиях высокой нагрузки рекомендую включить опцию «Адаптировать режим работы при низких ресурсах системы» на вкладке «Настройка HIPS».

Если пользователь не желает задавать в фаерволе правила для каждого приложения, можно переключить этот компонент в «Безопасный режим» с опцией «Не показывать оповещения: Блокировать запросы». В этом случае всем доверенным программам, выполняющимся в реальной среде, будут разрешены исходящие соединения.

Для полного отсутствия оповещений можно отключить опцию «Показывать информационные сообщения» на вкладке «Интерфейс» и включить опцию «Не показывать оповещения: Блокировать запросы» на вкладке «Настройка HIPS». Однако при такой «тихой» конфигурации некоторые программы будет невозможно установить. На время установки приложений понадобится вернуть показ оповещений. Как вариант, можно установить в HIPS режим «Не показывать оповещения: Разрешать запросы», но это несколько снизит защиту.

Прочие возможности настройки описаны в статье об использовании проактивной защиты и других.

Настройка интерфейса

Предложу способ организовать интерфейс CIS так, чтобы одновременно иметь быстрый доступ к нужным функциям этого продукта, но избежать навязчивости его присутствия и загромождения рабочего пространства.

Как уже говорилось, в главном окне CIS включим режим подробной сводки (слева вверху). В окне расширенной настройки на вкладке «Интерфейс» отключим все опции, кроме «Показывать информационные сообщения».

Из нижней части главного окна, называемой «Панель задач», изымем через контекстное меню все кнопки. Затем перейдем на окно «Задачи» и через контекстное меню добавим на панель задач кнопки в примерно такой последовательности:

  • «Общие задачи» > «Обновление»,
  • «Общие задачи» > «Сканирование»,
  • «Общие задачи» > «Карантин»,
  • «Общие задачи» > «Активные соединения»,
  • «Задачи фаервола» > «Разрешить соединение»,
  • «Задачи фаервола» > «Блокировать соединение»,
  • «Задачи фаервола» > «Скрыть порты»,
  • «Задачи фаервола» > «Управление сетями»,
  • «Расширенные задачи» > «Отправить файлы на проверку»,
  • «Расширенные задачи» > «Просмотреть активность»,
  • «Задачи Sandbox» > «Активные процессы»,
  • «Задачи Sandbox» > «Очистка Sandbox»,
  • «Общие задачи» > «Журнал событий»,
  • «Расширенные задачи» > «Диспетчер задач»,
  • «Расширенные задачи» > «Расширенная настройка».

Последними должны быть пять самых востребованных кнопок: они станут доступными в виджете и непосредственно в главном окне.

Если меню «Пуск» выполнено в стиле «Windows 7», откроем папку, в которой установлен CIS, и через контекстное меню закрепим в меню «Пуск» программу cis.exe. Теперь для быстрого доступа к выбранным задачам CIS можно будет просто нажать «Пуск» и перейти в подменю «COMODO Internet Security».

На случай, если понадобится виджет, включим его показ через контекстное меню значка CIS в трее. В контекстном меню виджета выберем пункты «Текущий трафик», «Краткая сводка» и «Панель задач» и отключим пункты «Браузеры» и «Facebook и Twitter».

Чтобы не загромождать рабочий стол, удалим с него ярлык CIS, а также отключим показ виджета.

Опытные пользователи могут также организовать быстрый доступ к различным задачам CIS через горячие клавиши, ярлыки и т.п. В этом поможет знание параметров командной строки CIS.

Использование

При обнаружении неопознанной программы не делаем никаких послаблений в защите, не убедившись в ее безопасности. Проще всего проверить программу на VirusTotal через контекстное меню. Отмечу, что отсутствие срабатываний антивирусов абсолютной гарантией безопасности не является. Но можно более-менее уверенно судить о безопасности файла, если он известен давно и ведущие антивирусы не признают его вредоносным.

В качестве дополнительной проверки можно запустить неизвестную программу в виртуальной среде, а затем отправить на VirusTotal содержимое каталога VTRoot. Можно и самостоятельно исследовать поведение программы в виртуальной среде, включив Viruscope с опцией «Применять действие Viruscope только к приложениям в Sandbox» и открыв отчет об активности. Также Viruscope иногда автоматически квалифицирует поведение программ как вредоносное.

Для установки новой безопасной программы вызываем, удерживая нажатой клавишу Shift, на ее инсталляторе контекстное меню и выбираем пункт «Запустить как установщик». Если в ходе установки возникнет оповещение HIPS, отключим в нем опцию «Запомнить выбор» и выберем политику «Установка или обновление». После установки программы производим первый ее пробный запуск через пункт контекстного меню «Запустить как установщик без повышения прав» и закрываем программу. Затем на вкладке «Репутация файлов» > «Список файлов» переводим неопознанные файлы этой программы в доверенные. Также в доверенные добавляем каталог с новой программой.

Для обновления установленной программы запускаем ее пунктом контекстного меню «Запустить как установщик», производим процедуру обновления и аналогично переводим новые файлы из неопознанных в доверенные.

Возможна ситуация, когда программа запускается изолированно даже после занесения в доверенные. Как правило, это происходит, когда размер программы превышает 40 МБ. Решение — добавить путь к такой программе в группу «AllowedProgs».

Если какую-либо программу необходимо временно запустить без ограничений, вызываем на ней, удерживая Shift, контекстное меню и выбираем пункт «Запустить как установщик без повышения прав». Важно помнить, что такая программа и ее дочерние процессы смогут беспрепятственно запустить любой неопознанный файл.

Когда какой-либо неопознанный файл впервые изолируется посредством Auto-Sandbox, появляется всплывающее уведомление. Напоминаю, что опасно нажимать в нем кнопку «Больше не изолировать».

Если какие-либо данные следует тщательно защитить от повреждения, например, вирусами-шифровальщиками, — добавим в конце имени содержащего их каталога слово «WriteProtected». Содержимое каталогов наподобие «C:\Docs\Мои проекты - WriteProtected» будет запрещено менять любым программам, кроме проводника. Когда понадобится изменить данные — либо временно переименуем каталог, либо переместим данные в другой каталог, а по окончании работы вернем под защиту.

Следует время от времени смотреть журнал событий, особенно фаервола и проактивной защиты («Защиты+»). Там может обнаружиться, что некой программе требуются дополнительные разрешения, например, для проведения обновления. Тогда понадобится соответствующим образом корректировать конфигурацию.

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню. В случае полной уверенности в безопасности добавляем эту программу в доверенные. Если, несмотря на сомнения, программу необходимо использовать, копируем ее в каталог исключений. Для этого вызываем на ней, удерживая Shift, контекстное меню, выбираем пункт «Скопировать зараженный файл...» и сохраняем в каталог C:\Exclusions. Из этого каталога программа будет запускаться как обычная неопознанная, в виртуальной среде.

В случае опасений, что запускаемая программа заблокирует интерфейс ОС и не позволит очистить песочницу, можно ограничить время ее выполнения. Удобный способ это сделать — пункт контекстного меню «Запустить в песочнице Comodo как ограниченное», предложенный в статье о виртуальной среде.

Если необходимо выполнить сомнительную программу в реальной среде, делаем это через пункт расширенного контекстного меню «Запустить без ограничений Auto-Sandbox». Активность программы контролируем посредством оповещений HIPS. Чтобы избежать большого их количества, можно сразу выбрать в оповещении политику «Ограниченное приложение» или «Изолированное» (включив опцию «Запомнить выбор»). Внимание! Вредоносная программа может запустить доверенную, и HIPS уже не будет контролировать активность дочернего процесса, что может нанести ущерб. В качестве смягчающей меры можно временно включить Viruscope, чтобы более детально наблюдать активность не только сомнительной программы, но и ее дочерних процессов, а при необходимости произвести и откат изменений.

Обычно оповещения HIPS в данной конфигурации будут возникать лишь при использовании пункта меню «Запустить без ограничений Auto-Sandbox» или, реже, пунктов «Запустить как установщик» и «Запустить как установщик без повышения прав». Однако если HIPS оповестит об активности неопознанной программы в других случаях — это тревожный сигнал. Он может означать, что неопознанная программа запустилась раньше CIS или получила привилегии SYSTEM. Рекомендую в таком оповещении выбрать вариант «Заблокировать и завершить выполнение» (отключив в нем опцию «Запомнить выбор»), а затем проверить систему на предмет уязвимостей.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества