18 ответов в этой теме

[Alador]

Выберите оповещение для просмотра дополнительной информации

 

Добрый день!

 

Заметил такую особенность, что DrWEB блокирует ассоциацию файлов во время установки через политики, из-за чего установка вываливает ошибки, и продолжается только их пропуске. Вот к примеру установка 7-Zip:

 

 

Время появления события на станции: 2023-08-16 13:10:56 (UTC )
Процесс с подозрительной активностью: C:\Windows\System32\msiexec.exe (PID: 9452), запущенный от имени: NT AUTHORITY\СИСТЕМА.
Путь к защищаемому объекту, к которому была осуществлена попытка доступа: \REGISTRY\USER\S-1-5-21-2547543714-2192255995-3314900625-1607\Software\Classes\Folder\shellex\ContextMenuHandlers\7-Zip
Тип защищаемого объекта: Ассоциации исполняемых файлов.
Действие, произведенное над подозрительным процессом: запрещен.
Инициатор действия над подозрительным процессом: автоматическая реакция Превентивной защиты (количество запретов: 1).

 

Можно ли как-то настроить агенты DrWEB, чтобы подружить с msiexec?

[VVS]

Временно отключить поведенческий анализ в превентивной защите на время установки или временно разрешить менять ассоциации файлов.

[Alador]

Ну это немного "костыльно". Нет возможности сделать некий белый список путей реестра или устанавливаемого по, который бы можно было сформировать на некой эталонной системе, и использовать для всех?

[VVS]

Вы предлагаете для C:\Windows\System32\msiexec.exe разрешить менять ассоциации файлов?

Насчёт "костыля" не знаю, а вот дыру размером с футбольные ворота Вы таким образом создадите.

[Konstantin Yudin]

Игорь так и не разжился сертификатом, подписал бы свои msi и попал бы в доверенные, заканчивается 2023, времена когда кругом угрозы и без опозновательных знаков доверия, будешь постоянно попадать. а так, неизвестное нечто пытается что то модифицировать в системе.

[Alador]

Вы предлагаете для C:\Windows\System32\msiexec.exe разрешить менять ассоциации файлов?

Насчёт "костыля" не знаю, а вот дыру размером с футбольные ворота Вы таким образом создадите.

Если бы я хотел разрешить msiexec менять ассоциации для всего, я бы не создавал эту тему. Именно потому, что не хочется создавать дыр, я и ищу наиболее оптимальное решение. Я имел ввиду о создании разрешения для доверенного ПО, т.е. то что изначально из GPO устанавливается, и под него сделанные белые списки разрешений, а не для всего подряд.

 

 

========

 

Игорь так и не разжился сертификатом, подписал бы свои msi и попал бы в доверенные, заканчивается 2023, времена когда кругом угрозы и без опозновательных знаков доверия, будешь постоянно попадать. а так, неизвестное нечто пытается что то модифицировать в системе.

 

Ну 7-Zip был как пример, а так ругань была и на LibreOffice на Adobe Reader, предварительно подготовленные через административную установку, и вероятно это актуально для вообще любого ПО после административной установки. 

[Dolmatov]

У вас задача в том, что устанавливается MSI, а он сам по себе не исполняемый. Это как архив, который имеет сценарий и открывается системным (локальным) средством. Реакция именно на эту программу. 

Dr.Web не поддерживает исключение по параметру для исполняемого файла, т.е. не анализирует переданный "ключ" исполняемому файлу, чтобы сделать исключение для определённых MSI файлов. 

Если некоторые установщики можно заменить на другой тип (с msi на exe в тихом режиме), то другие нельзя. 

 

"Костыль". 

Создайте сценарий копирования msiexec.exe в другую папку и добавьте его адрес в исключение.

Перед установкой копируется msiexec (например в системный temp), затем вызывается этот процесс с параметрами к MSI-файлу. 

После выполнения настройки удаляете файл msiexec, чтобы другие программы (вирусы) не могли использовать этот файл.

Ограничение в EXE-установщиках, которые внутри используют msi. Проблема с распаковкой некоторых exe, проблема с удобством, сложность с msp и/или множественными файлами, а также некоторые установщики могут комбинировать msi и свои методы установки.

Потенциально, сделать в реестре подмену системному на msiexec в вашей папке. Здесь учитывается не только ассоциации с файлами, но и подмена процесса (regedit *\Windows\CurrentVersion\App Paths). Ограничение, что при отсутствии файла нарушается правильная работа системы в этом направлении, необходимость изменять систему и отслеживать, чтобы обновления и другие системные операции не исправили ваши изменения.

Не тестировалось в полноценном формате, поэтому нужно прорабатывать и тестировать применимость "костыля".

[Konstantin Yudin]

что это за костыль из головы? с msi доверие проверяется не у процесса который тут просто исполнитель, а у самого msi пакета который он ставит. 

[Kirill Polubelov]

Неприятный костыль. Если он работает, то это не костыль, а дыра )

[Dolmatov]

с msi доверие проверяется не у процесса который тут просто исполнитель, а у самого msi пакета который он ставит.

Странно. 

Вы предлагаете для C:\Windows\System32\msiexec.exe разрешить менять ассоциации файлов?

Если настраивать исключения, то нужно указывать msiexec или msi-файл? 

Как-то не раскрыт алгоритм проверки в сообщениях выше, а только дано предложение изменять настройки защиты (выключить полностью или выключать защиту ассоциаций).

 

что это за костыль из головы?

На то и названо костылём, что это не является задокументированным и/или правильным методом решения задачи.

Одно из определений:

Костыль — в программировании, быстрое «уродливое» решение проблемы, иначе требующей долгосрочного и ресурсоемкого исправления.

[Konstantin Yudin]

msiexec это клиент-сервер, а всю работу вообще делает другой инстанс, а не тот кто запустил пакет. ну и за не санкционированное использование системных модулей не по их месту, можно и получить детект.

[Alador]

Хотел попробовать подписать msi инсталяторы, внутренней ЭП, валидной в рамках локальной сети. Результат тот же. Как я понимаю, DrWEB использует свои корневые сертификаты УЦ, по которым проверяет валидность подписи? Или же в данной ситуации подпись инсталятора в принципе не имеет значения?

[VVS]

ЕМНИП нужна не просто подпись, а подпись, которой доверяет доктор.

[Alador]

Ясно. В общем для себя оптимального решения не вижу, и видимо придется просто смириться и оставить все как есть.

[Konstantin Yudin]

Если проблема есть и она реальна для клиента,то стоит подумать над возможными вариантами решения и улучшениями. Нюанс с исключением объекта а не процесса уже всплывал в некоторых кейсах. Возможно пришло время тут улучшить юзабилити.
Пока слабо понятно как это сделать в интерфейсе.

Сообщение было изменено Konstantin Yudin: 23 Август 2023 - 18:02

[VVS]

Если проблема есть и она реальна для клиента,то стоит подумать над возможными вариантами решения и улучшениями. Нюанс с исключением объекта а не процесса уже всплывал в некоторых кейсах. Возможно пришло время тут улучшить юзабилити.
Пока слабо понятно как это сделать в интерфейсе.

Да не сделаешь ты это в общем случае в превентивке.

К качестве примера:

Есть софт, в котором разработчик IMHO поленился сам писать в реестр, а использует для этого reg.exe

Ну и чего в этом случае делать?

[Konstantin Yudin]

С msi все конкретней, сам процесс чисто оболочка, и вся суть в самом пакете. Нам важна подпись пакета а не msiexec.
Где то тут логично добавить и исключения для пакетов

[VVS]

Но ведь у 7z подписи нет..

[autoprogress]

Можно так:

Прикрепленные файлы:

•  Безымянный.png   58,93К   1 Скачано раз

Сообщение было изменено autoprogress: 19 Январь 2024 - 10:41