Такое ощущение, что после последних обновлений (Управляющего сервиса?) отвалился контроль записи в hosts. У меня компьютер был настроен на запрос при записи в хостс, его нет, записать я туда данные при этом спокойно могу. Буквально пару дней назад это работало. На всех остальных компьютерах просто стоит запрет на запись и при этом запись вполне работает из какой-угодно программы. Общий баг или какая-то особенность конфигурации у нас? Может кто-то у себя проверить?
Не работает запрет доступа к Hosts
Автор
N1ke
, авг 10 2017 11:45
17 ответов в этой теме
#2
maxic
-
- Moderators
- 12 854 Сообщений:
Keep yourself alive
Отправлено 10 Август 2017 - 12:13
Встречал такое и до обновления сервиса. Сейчас проверил - так и есть.
#3
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 10 Август 2017 - 12:37
превентивная защита защищает от вирусов а не юзеров. если действия не опасны они разрешаются вне зависимости от настроек.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#4
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 10 Август 2017 - 20:40
превентивная защита защищает от вирусов а не юзеров. если действия не опасны они разрешаются вне зависимости от настроек.
Непонятно, зачем тогда этот пункт в превенте нужен? Если юзер выставил "запрет", или "аск", должны быть "запрет" или "аск". По моему так.
#5
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 10 Август 2017 - 22:31
Все же скорее всего тут что то ES специфичное
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#6
N1ke
-
- Posters
- 374 Сообщений:
Member
Отправлено 11 Август 2017 - 11:13
Так баг или не баг? Куда-то ещё написать про это?
#7
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 11 Август 2017 - 11:32
Нужен dwservice.log, когда передаёте настройку на станцию и пытаетесь модифицировать HOSTS, потому что:
Прикрепленные файлы:
-
ask.png 234,72К
0 Скачано раз
Сообщение было изменено Kirill Polubelov: 11 Август 2017 - 11:32
(exit 0)
#8
N1ke
-
- Posters
- 374 Сообщений:
Member
Отправлено 11 Август 2017 - 12:04
Как ни странно, на моей машине перестало воспроизводиться, стал появляться запрос. На соседней этого добиться не получилось. Попробовал на машине изменить настройку на "спрашивать" и потом обратно на запрещать, это ни на что не повлияло. Логи и скрин настроек машины в аттаче.
#9
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 11 Август 2017 - 12:44
Ну да:
id: 39596, timestamp: 11:38:53.973, type: FileCreate (5), flags: 1 (wait: 1), cid: 7924/6804:\Device\HarddiskVolume2\Program Files\Notepad++\notepad++.exe
source context: start addr: 0x13fb3bec0, image: 0x13fa20000:\Device\HarddiskVolume2\Program Files\Notepad++\notepad++.exe
hips: type: 1, action: deny [5]
type: 0, new: 0, cmd: "C:\Program Files\Notepad++\notepad++.exe" "C:\Windows\System32\drivers\etc\hosts"
fileinfo: size: 2972336, easize: 0, attr: 0x20, buildtime: 19.06.2017 00:44:38.000, ctime: 19.06.2017 00:44:48.000, atime: 06.07.2017 09:12:36.380, mtime: 19.06.2017 00:44:48.000, descr: Notepad++ : a free (GNU) source code editor, ver: 7.42, company: Don HO don.h@free.fr, oname: Notepad++.exe
signer: C=FR|ST=Ile-de-France|L=Saint Cloud|O=Notepad++|CN=Notepad++, timestamp: 19.06.2017 00:44:49.000, thumbprint: 9659849a76342c3db71735f4c49449b29d453ca4
hash: 31a5cbe06533946eaf8082154096e4b49bcf8e53 status: db_cert_white_list, signed, pe64 / signed / unknown
file: \Device\HarddiskVolume2\Windows\System32\drivers\etc\hosts
access: 0x120196, create options: 0x60, disposition: 0x5
id: 39596 ==> allowed [2], time: 0.344295 ms
id: 40047, timestamp: 11:40:06.247, type: FileCreate (5), flags: 1 (wait: 1), cid: 7844/7248:\Device\HarddiskVolume2\Program Files\Notepad++\notepad++.exe
source context: start addr: 0x13ff1bec0, image: 0x13fe00000:\Device\HarddiskVolume2\Program Files\Notepad++\notepad++.exe
hips: type: 1, action: ask [0]
type: 0, new: 0, cmd: "C:\Program Files\Notepad++\notepad++.exe" -multiInst
fileinfo: size: 2972336, easize: 0, attr: 0x20, buildtime: 19.06.2017 00:44:38.000, ctime: 19.06.2017 00:44:48.000, atime: 06.07.2017 09:12:36.380, mtime: 19.06.2017 00:44:48.000, descr: Notepad++ : a free (GNU) source code editor, ver
: 7.42, company: Don HO don.h@free.fr, oname: Notepad++.exe
signer: C=FR|ST=Ile-de-France|L=Saint Cloud|O=Notepad++|CN=Notepad++, timestamp: 19.06.2017 00:44:49.000, thumbprint: 9659849a76342c3db71735f4c49449b29d453ca4
hash: 31a5cbe06533946eaf8082154096e4b49bcf8e53 status: db_cert_white_list, signed, pe64 / signed / unknown
file: \Device\HarddiskVolume2\Windows\System32\drivers\etc\hosts
access: 0x120196, create options: 0x60, disposition: 0x5
id: 40047 ==> allowed [2], time: 0.308209 ms
Этот hosts дергается подписанным приложением из db_cert_white_list, насколько я понимаю. Поэтому ему зеленый свет.
А старенькому ФАР-у дрвеб не доверяет =) поэтому спрашивает юзера:
d: 198838, timestamp: 11:21:35.079, type: FileCreate (5), flags: 1 (wait: 1), cid: 3116/3128:\Device\HarddiskVolume2\Program Files\Far2\Far.exe
source context: start addr: 0x7ff7ced249b4, image: 0x7ff7cebf0000:\Device\HarddiskVolume2\Program Files\Far2\Far.exe
hips: type: 1, action: ask [0]
type: 0, new: 0, cmd: "C:\Program Files\Far2\Far.exe"
fileinfo: size: 1716224, easize: 0, attr: 0x20, buildtime: 03.02.2011 01:01:50.000, ctime: 02.02.2011 22:01:50.000, atime: 30.11.2015 17:17:25.027, mtime: 02.02.2011 22:01:50.000, descr: File and archive manager, ver: v2.0 (build 1807)
x64, company: Eugene Roshal & FAR Group, oname: Far.exe
hash: 505ce2ad10d7f9d7219016545e06d0e075ce8f78 status: unsigned, pe64 / unsigned / unknown
file: \Device\HarddiskVolume2\Windows\System32\drivers\etc\hosts
access: 0x120196, create options: 0x24, disposition: 0x1
send user alert and wait action...
user selected action: allow [2]
id: 198838 ==> allowed [2], time: 103000.854967 ms
Ничего ES-специфичного.
Сообщение было изменено Kirill Polubelov: 11 Август 2017 - 12:45
(exit 0)
#10
Nenya Amo
-
- Posters
- 734 Сообщений:
Advanced Member
Отправлено 11 Август 2017 - 15:03
Прочитал и обнаружил аналогичную проблему что и топикастера, не блочится файл hosts через ES-агент, хотя на сервере для станции в превентивке стоит запрет. Открываю блокнот от имени админа и меняю файл, сохраняю, удаляю записи - ноль эмоций, хотя в логе есть:
hips: type: 1, action: deny [5]
2017-Aug-11 14:50:23.554039 [1080] [INF] [964] [arkdll]
id: 58320, timestamp: 14:50:23.538, type: FileCreate (5), flags: 1 (wait: 1), cid: 3096/1148:\Device\HarddiskVolume2\Windows\System32\notepad.exe
source context: start addr: 0xffc83570, image: 0xffc80000:\Device\HarddiskVolume2\Windows\System32\notepad.exe
hips: type: 1, action: deny [5]
type: 0, new: 0, cmd: "C:\Windows\system32\notepad.exe"
fileinfo: size: 193536, easize: 0, attr: 0x20, buildtime: 0, ctime: 14.07.2009 02:56:36.838, atime: 14.07.2009 02:56:36.838, mtime: 14.07.2009 04:39:25.490, descr: Notepad, ver: 6.1.7600.16385 (win7_rtm.090713-1255), company: Microsoft Corporation, oname: NOTEPAD.EXE
status: signed_microsoft, spc / signed_microsoft / clean
file: \Device\HarddiskVolume2\Windows\System32\drivers\etc\hosts
access: 0x12019f, create options: 0x60, disposition: 0x3
id: 58320 ==> allowed [2], time: 0.253300 ms
2017-Aug-11 14:50:24.694664 [1080] [INF] [964] [arkdll]
id: 58321, timestamp: 14:50:24.694, type: PsCreate (16), flags: 1 (wait: 1), cid: 684/3492:\Device\HarddiskVolume2\Windows\System32\svchost.exe
source context: start addr: 0x7738fbc0, image: 0x77370000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
created process: \Device\HarddiskVolume2\Windows\System32\svchost.exe:684 --> \Device\HarddiskVolume2\Windows\System32\dllhost.exe:3656
bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Windows\system32\, cmd: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
status: signed_microsoft, system_file_host, spc / signed_microsoft / clean
id: 58321 ==>
Похоже:
превентивная защита защищает от вирусов а не юзеров. если действия не опасны они разрешаются вне зависимости от настроек.
Сообщение было изменено Nenya Amo: 11 Август 2017 - 15:06
мой девиз - служение злу, как у котика..
#11
N1ke
-
- Posters
- 374 Сообщений:
Member
Отправлено 11 Август 2017 - 15:29
В целом всё логично, причина такого поведения понятна и понятно, что это не баг.
#12
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 11 Август 2017 - 15:52
Прочитал и обнаружил аналогичную проблему
У вас, блокнотик, с автографом самого майкрософта, вот превентивка и робеет за него спрашивать =)
Странно, выходит, что если вредоносное программное обеспечение, через подписанную тулзу отредактирует hosts, то всё в порядке.
Сообщение было изменено Kirill Polubelov: 11 Август 2017 - 15:52
(exit 0)
#13
Nenya Amo
-
- Posters
- 734 Сообщений:
Advanced Member
Отправлено 11 Август 2017 - 15:54
Странно, выходит, что если вредоносное программное обеспечение, через подписанную тулзу отредактирует hosts, то всё в порядке.
Удивительное рядом =)
мой девиз - служение злу, как у котика..
#14
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 11 Август 2017 - 18:48
У вас, блокнотик, с автографом самого майкрософта, вот превентивка и робеет за него спрашивать =)
Странно, выходит, что если вредоносное программное обеспечение, через подписанную тулзу отредактирует hosts, то всё в порядке.
Фигня какая то. Так через подписанные тулзы можно много чего интересного сделать.
#15
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 11 Август 2017 - 19:28
Подождём, что скажет "Смотрящий", если скажет.
(exit 0)
#16
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 11 Август 2017 - 20:47
А что тут можно сказать?
#17
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 14 Август 2017 - 11:16
А что тут можно сказать?
Ну, например, что я неправильно интерпретировал логи, и имеет место быть, просто баг, или какая-то ещё особенность.
(exit 0)
#18
riaman
-
- Posters
- 206 Сообщений:
Member
Отправлено 14 Август 2017 - 21:48
Подождём, что скажет "Смотрящий", если скажет.
"Что, ещё, скажут джунгли?!"
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
