Перейти к содержимому


Фото
- - - - -

Файл hosts

hosts

  • Please log in to reply
33 ответов в этой теме

#21 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 12 Январь 2022 - 22:50

 

Это или какая то особенность Total Commander (32 bit, v.9.51), или какой то баг.

Но у меня в Total Commander 10  и в экплорер без проблем

 

Это же не значит, что у всех должно быть так же?



#22 shlimazl

shlimazl

    Member

  • Posters
  • 107 Сообщений:

Отправлено 13 Январь 2022 - 13:18

Подводя итоги: видимо, Total Commander (и в версии 9.51, и в версии 10 - все 32 бит, непатченный, разумеется :) ) входит в список блатных программ, которым разрешено копировать файл HOSTS (и в режиме "спрашивать" - тоже вопроса не задается).

Меня это вполне устраивает, хотя, конечно, хотелось бы большей прозрачности и гибкости.

Для любителей логов фрагменты dwservice.log (в которых я мало что понимаю, особенно как из строчки status следует deinied или allowed, и они почему-то повторяются по несколько раз):

 

2022-Jan-12 11:39:18.608794 [ 9808] [INF] [arkdll] [6240] 
 
id: 2880772, timestamp: 11:39:18.607, type: FileCreate (5), flags: 1 (wait: 1)
sid: S-1-5-21-1865192818-19285865-313640193-1035, cid: 14532/13488:\Device\HarddiskVolume3\Windows\System32\dllhost.exe
context: start addr: 0x7ff928a3add0, image: 0x7ff928970000:\Device\HarddiskVolume3\Windows\System32\combase.dll
behaviour: change_hosts
  hips: type: 1, action: deny [5]
  type: 0, new: 0, suspicious: 1, cmd: C:\WINDOWS\system32\DllHost.exe /Processid:{3AD05575-8857-4850-9277-11B85BDB8E09}
  fileinfo: size: 21312, easize: 288, attr: 0x20, buildtime: 26.09.1962 22:16:00.000, ctime: 14.10.2020 08:25:55.277, atime: 10.01.2022 22:35:38.947, mtime: 14.10.2020 08:25:55.278, descr: COM Surrogate, ver: 10.0.19041.546 (WinBuild.160101.0800), company: Microsoft Corporation, oname: dllhost.exe
  signer: C=US|ST=Washington|L=Redmond|O=Microsoft Corporation|CN=Microsoft Windows, timestamp: 26.09.2020 09:05:10.000, thumbprint: e168609353f30ff2373157b4eb8cd519d07a2bff
  catfile: {f750e6c3-38ee-11d1-85e5-00c04fc295ee}\microsoft-windows-client-desktop-required-package0516~31bf3856ad364e35~amd64~~10.0.19041.1348.cat
  file sha1: 2ce12a317bebf8293f3544433a55d972a5967996
  file sha256: e7fc40b41aa8b83841a0b96d169eaf0800aa784733e636935374d56536253f10
  status: db_cert_white_list, signed_catroot, sfc, system_file_host, pe64, spc / signed_catroot / unknown / dllhost / white
  file: \Device\HarddiskVolume3\Windows\System32\drivers\etc\hosts
  access: 0x120196, create options: 0x44, disposition: 0x5
send user blocked alert
id: 2880772 ==> denied [5], time: 0.153300 ms
 
...
 
2022-Jan-13 13:00:32.375143 [ 8940] [INF] [arkdll] [6196] 
 
id: 231426, timestamp: 13:00:32.370, type: FileCreate (5), flags: 1 (wait: 1)
sid: S-1-5-21-1865192818-19285865-313640193-1035, cid: 11236/7188:\Device\HarddiskVolume3\progs\totalcmd\TCMADMIN.EXE
context: start addr: 0x401a2d, image: 0x400000:\Device\HarddiskVolume3\progs\totalcmd\TCMADMIN.EXE
behaviour: change_hosts
  hips: type: 1, action: ask [0]
  type: 0, new: 0, suspicious: 0, cmd: "C:\progs\totalcmd\tcmadmin.exe" 9916 Domain\user
  fileinfo: size: 87072, easize: 0, attr: 0x20, buildtime: 24.06.2019 11:49:57.000, ctime: 14.11.2018 11:54:40.824, atime: 13.01.2022 13:00:29.459, mtime: 25.03.2020 09:51:00.000, descr: Total Commander Administrator Tool, ver: 1, 0, 0, 8, company: Ghisler Software GmbH, oname: Totalcmd-Admin.exe
  signer: C=CH|ST=Bern|L=Bolligen|O=Ghisler Software GmbH|CN=Ghisler Software GmbH, timestamp: 08.10.2019 12:43:36.000, thumbprint: 928246cd6a0ee66095a43ae06a696b4c63c6ac24
  file sha1: 4d3086c63813c7cbef740ab5fad57395ec148e09
  file sha256: 8cbd1b441922196560ce51ef49fb53e5f6de3e941a7ac1adef4191c8afa4124f
  status: db_cert_white_list, signed, pe32 / signed / unknown / unknown / white
  file: \Device\HarddiskVolume3\Windows\System32\drivers\etc\hosts
  access: 0x17019f, create options: 0x64, disposition: 0x3
id: 231426 ==> allowed [2], time: 0.146700 ms

Сообщение было изменено shlimazl: 13 Январь 2022 - 13:21


#23 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 13 Январь 2022 - 19:26

Подводя итоги: видимо, Total Commander (и в версии 9.51, и в версии 10 - все 32 бит, непатченный, разумеется :) ) входит в список блатных программ, которым разрешено копировать файл HOSTS (и в режиме "спрашивать" - тоже вопроса не задается).

Когда Вы пишите "копировать" не всем понятно что именно копируется. Пишите лучше позволяет "заменить Hosts файл". :)

Никаких блатных или доверенных в превентивке не предусмотрено. В ней юзер может только создать индивидуальные разрешения/запреты для каждого нужного ему приложения.



#24 shlimazl

shlimazl

    Member

  • Posters
  • 107 Сообщений:

Отправлено 14 Январь 2022 - 00:51

 

Подводя итоги: видимо, Total Commander (и в версии 9.51, и в версии 10 - все 32 бит, непатченный, разумеется :) ) входит в список блатных программ, которым разрешено копировать файл HOSTS (и в режиме "спрашивать" - тоже вопроса не задается).

Когда Вы пишите "копировать" не всем понятно что именно копируется. Пишите лучше позволяет "заменить Hosts файл". :)

Никаких блатных или доверенных в превентивке не предусмотрено. В ней юзер может только создать индивидуальные разрешения/запреты для каждого нужного ему приложения.

 

 

Да, так точнее: разрешено заменить HOSTS файл в его папке ("etc").

Никаких блатных не предусмотрено - значит, не предусмотрено...

 

Картинки настроек Dr.Web 12, к сожалению, у меня не получилось вставить - не положено. Морочиться с их загрузкой куда-то сейчас не буду. 

Так что только на слово верить: ни в какие списки исключений Total Commander у меня не входит. 

(В Server 2003 Explorer.exe тоже без проблем может заменить HOSTS, а вот Notepad.exe блокируется). 

 

Вообще я несколько удивлен количеством комментов, заполняющих уже вторую страницу. Я думал, что получу короткий ответ от инсайдеров: "так задумано" или "это ошибка (или полуошибка - когда-то вставили несколько доверенных программ, потом забыли убрать)". 


Сообщение было изменено shlimazl: 14 Январь 2022 - 00:52


#25 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Январь 2022 - 11:38

>Я думал, что получу короткий ответ от инсайдеров: "так задумано"

 

так задумано


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#26 shlimazl

shlimazl

    Member

  • Posters
  • 107 Сообщений:

Отправлено 14 Январь 2022 - 11:43

>Я думал, что получу короткий ответ от инсайдеров: "так задумано"

 

так задумано

Спасибо)



#27 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 14 Январь 2022 - 15:16

>Я думал, что получу короткий ответ от инсайдеров: "так задумано"

 

так задумано

:huh: Что задумано? Что на Total Commander (и в версии 9.51, и в версии 10) превентивная защита не работает? А почему? А для защищенных папок он тоже "свой" и может что угодно удалять и заменять?



#28 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 14 Январь 2022 - 15:23

>Я думал, что получу короткий ответ от инсайдеров: "так задумано"
 
так задумано

:huh: Что задумано? Что на Total Commander (и в версии 9.51, и в версии 10) превентивная защита не работает? А почему? А для защищенных папок он тоже "свой" и может что угодно удалять и заменять?

https://products.drweb.com/services/data_protection/

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#29 shlimazl

shlimazl

    Member

  • Posters
  • 107 Сообщений:

Отправлено 14 Январь 2022 - 16:28

 

 

>Я думал, что получу короткий ответ от инсайдеров: "так задумано"
 
так задумано

:huh: Что задумано? Что на Total Commander (и в версии 9.51, и в версии 10) превентивная защита не работает? А почему? А для защищенных папок он тоже "свой" и может что угодно удалять и заменять?

 

https://products.drweb.com/services/data_protection/

 

 

Папку etc так не заблокируешь, появляется сообщение, что для системных папок и корневого каталога блокировка запрещена, но зато по той ссылке есть список доверенных приложений. 

Total Commander в списке есть, а FAR - нет (тем более, что он, говорят, не подписан). 

 

Спасибо!



#30 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Январь 2022 - 16:33

модификация hosts отслеживается в контексте вредоносного поведения а не тупо лочит всех. штатный notepad я добил специально под контроль, чтоб юзеры не удивлялись когда проверяли фичу :)


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#31 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 14 Январь 2022 - 18:45

модификация hosts отслеживается в контексте вредоносного поведения а не тупо лочит всех. штатный notepad я добил специально под контроль, чтоб юзеры не удивлялись когда проверяли фичу :)

Речь не о модификации, а о подмене файла. Для Total Commander превентивка молча разрешает подмену, для других менеджеров, включая explorer, запрещает. Чем Total Commander лучше остальных, что персонально для него "так задумано"?


Сообщение было изменено SergSG: 14 Январь 2022 - 18:47


#32 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 14 Январь 2022 - 20:59

Речь не о модификации, а о подмене файла.

Можно подумать, есть какая-то принципиальная разница.

#33 Dr.Web Ransom Hunter.

Dr.Web Ransom Hunter.

    Advanced Member

  • Posters
  • 920 Сообщений:

Отправлено 14 Январь 2022 - 23:04

Если левый или поддельный ПО встроенный адварь или плагин под Total Commander или FAR , то они могут изменять hosts путём вредоносный код , может удаленно взломать систему через hosts и пинг ваш айпи (в течении система будет взломана ). Dr.Web защищает от подделки , по этому не любит изменять hosts , а лечит и возвращает hosts по умолчанию .

P.S это возможно .

Сообщение было изменено Alexander007: 14 Январь 2022 - 23:05

Global Malware Hunting.


#34 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 14 Январь 2022 - 23:45

Alexander007, Вам 3-е предупреждение за офтопик.
Модератор.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid




Also tagged with one or more of these keywords: hosts

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых