18 ответов в этой теме

[Raider]

Здравствуйте. Настраиваю контроль приложений. Пытаюсь запретить несанкционированный запуск администраторами/пользователями утилиты drw_remover.exe. На Windows10 запрет работает, а в Windows7 нет. На Windows7 в событиях контроля приложений пишет что запретил, но по факту пропускает процесс, из временной папки запускается файл drw*.tmp.exe и процесс удаления продолжается.

 

Прикладываю события контроля приложений при запуске drw_remover.exe.

 

Что я делаю не так?

 

 

Прикрепленные файлы:

•  111.PNG   45,94К   0 Скачано раз
•  22222.PNG   46,54К   0 Скачано раз
•  333333.PNG   39,01К   0 Скачано раз

[Konstantin Yudin]

покажите само правило

[Konstantin Yudin]

для файлов имеющих подпись (для ремувера это жизненно важно) самое надежное лочить по хешу подписи и оригинальному имени из ресурсов. это не обойти, любой патч файла сделает ремувер бесполезным.

[Raider]

покажите само правило

Прикрепленные файлы:

•  4444.PNG   34,6К   4 Скачано раз

[Raider]

для файлов имеющих подпись (для ремувера это жизненно важно) самое надежное лочить по хешу подписи и оригинальному имени из ресурсов. это не обойти, любой патч файла сделает ремувер бесполезным.

На win7 не получилось по хешу подписи(SHA-1).

[Konstantin Yudin]

имена: dwremlib, dwremover

хеши сертификатов: 

    e97068b814c5f83411fa5013b173751f4c1e12e1
    e27aa5ffdca62a60e435292a243d0c6d43dcc513
    fffa650f2cb2abc0d80527b524dd3f9fc172c138
    b3661da1fe373e6f8829bc6b64a98466780082d8
    49a8991828c1745a4c137f5e3be27d403b28798a
    4e393aa1586c93e0bc9e7febcf7bfb62066dc22a
    4420c99742df11dd0795bc15b7b0abf090dc84df

для файлов имеющих подпись (для ремувера это жизненно важно) самое надежное лочить по хешу подписи и оригинальному имени из ресурсов. это не обойти, любой патч файла сделает ремувер бесполезным.

На win7 не получилось по хешу подписи(SHA-1).

чего?
итого, вам надо 14 правил чтоб залочить все возможные ремуверы с 2008 года.

[Konstantin Yudin]

хотя конкретно для ремувера сертификат можно опустить. хватит и двух правил.

 

оставьте описание файла, исходное имя. продукт уберите.

исходное имя: dwremlib, для второго: dwremover

[Raider]

хотя конкретно для ремувера сертификат можно опустить. хватит и двух правил.

 

оставьте описание файла, исходное имя. продукт уберите.

исходное имя: dwremlib, для второго: dwremover

 

Создал все 14, не помогло. На Win10 работает, Win7 нет.

Прикрепленные файлы:

•  555.PNG   39,4К   1 Скачано раз

[Konstantin Yudin]

после запуска и не срабатываний нужен отчет с этой станции чтоб разобраться.

[Raider]

после запуска и не срабатываний нужен отчет с этой станции чтоб разобраться.

 

Это не единственная станция с такой проблемой. Какой отчет вам нужен? Логи с станции?

Сообщение было изменено Raider: 13 Октябрь 2020 - 16:27

[Konstantin Yudin]

отчет для тех. поддержки, логов не достаточно.

[Raider]

отчет для тех. поддержки, логов не достаточно.

 

Сформировал с помощью dwsysinfo. 

1-ый архив.(до_) Запустил ремувер, он выдал капчу, нажал отмена. (контроль приложений не сработал)

2-ой архив.(после_) После того как ремувер сделал свое дело, но до перезагрузки.

Прикрепленные файлы:

•  до_TESTSTATION_Администратор_131020_175304.zip   2,08Мб   1 Скачано раз
•  после_TESTSTATION_Администратор_131020_175919.zip   1,1Мб   1 Скачано раз

Сообщение было изменено Raider: 13 Октябрь 2020 - 17:13

[Konstantin Yudin]

нашел. для своих процессов при их запуске выходили без проверки в КП. в 10 работает т.к. там приходит еще событие LoadImage для самого образа процесса и там уже блокировка работает. фикс сделал, выйдет в сборке 12.6 dwarkapi.

[Raider]

нашел. для своих процессов при их запуске выходили без проверки в КП. в 10 работает т.к. там приходит еще событие LoadImage для самого образа процесса и там уже блокировка работает. фикс сделал, выйдет в сборке 12.6 dwarkapi.

 

Спасибо за фикс. Когда ожидать сборку? И как посмотреть получили мы данную сборку или нет?

[Konstantin Yudin]

изначально не особо задумывался над блокировкой своих же процессов на запуске (выстрел в ногу дополнительный), поэтому и нет такого. но идея с ремувером выглядит логично, поэтому добавлено. когда выйдет в ES, вопрос пока открытый. версия 12.6 активно готовится к релизу в бете сейчас. за сроки не скажу, не ведаю.

[Aleksandra]

когда выйдет в ES, вопрос пока открытый. версия 12.6 активно готовится к релизу в бете сейчас.

В бете ES версии 12.6 пока что нету.

[Konstantin Yudin]

давно пора там быть. 12.6 пойдет и в ES12, странно не тестировать ее бесплатно на ES предварительно.

Сообщение было изменено Konstantin Yudin: 14 Октябрь 2020 - 13:48

[Aleksandra]

давно пора там быть. 12.6 пойдет и в ES12, странно не тестировать ее бесплатно на ES предварительно.

Вы газанете ответственных?

[SergSG]

 

давно пора там быть. 12.6 пойдет и в ES12, странно не тестировать ее бесплатно на ES предварительно.

Вы газанете ответственных?

 

Ответственных газовать нет необходимости, на то они и ответственные.  Но они все ушли. И это печально.