Sign in to follow this  
andrewek

Почему поведенческий блокиратор ЕАМ не фиксирует правило?

Recommended Posts

Доброго всем времени суток!

Версия ЕАМ - 9.0.0.4668

 

Дело вот в чем:

ЕАМ (его поведенческий блокиратор) обнаруживает программу автодозвона в cmmon32.exe.

Я разрешаю это действие, создаю соответствующее правило - но при следующем подключении к сети - ЕАМ каждый раз(!) вновь сообщает о подозрительном поведении!

 

Но почему?! :blink:

Ведь правило уже ранее создано и находится в "Правилах приложений"! :huh:

 

p.s. пожалуй, правильнее сказать - не "не фиксирует правило" (как раз правило имеется!), а не смотря на имеющееся правило-вновь выдает алерт и проверяет cmmon32.exe.

 

Не понимаю :wacko:

post-15967-0-59110400-1417458992_thumb.jpg
Download Image

post-15967-0-05570500-1417459003_thumb.jpg
Download Image

post-15967-0-97351300-1417459010_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Сам файл?

Но для чего?

Сам файл меня как раз и не смущает.

Этот монитор диспетчера подключений похож на dialer (такое поведение - мне известно уже почти три года, ЕАМ (еще с 6 версии) сразу его определял, но после создания правила - больше не сообщал) - что вполне объяснимо- это способ подключения к Билайн-Итернету.

К тому же - вот https://www.virustotal.com/ru/file/296bc4ae04280d275ca6b5bec8695a4d8796311540333243cc1277695e78400c/analysis/1417533035/

 

И вот http://www.isthisfilesafe.com/md5/5FA4925901078786FA718A4E449F3833_details.aspx

 

Как видите- в базе данных OASIS присутствует подозрительное поведение в виде dialer ^_^

Но ЕАМ в последней, 9 (!) версии - несмотря на имеющееся правило - всякий раз сообщает о подозрительном поведении.

Вот что непонятно!

p.s. как конкретно это происходит-подключение к Билайну-без проблем, и ЕАМ молчит.

Но когда иногда (это происходит нечасто, может-раз в 2-3 дня) происходит при работе в сети обрыв подключения к Интернету и требуется повторно подключиться - вот именно тогда ЕАМ и обнаруживает dialer в cmmon32.exe.

Share this post


Link to post
Share on other sites

Доброго времени суток!

Я понял, почему ЕАМ каждый раз снова проверяет файл cmmon32.exe :)

Behavior blocker предлагает создать (и я создаю!) правило для *\SysNative\cmmon32.exe, но файл находится в директории с другим названием пути - *\System32\cmmon32.exe <_< (что, конечно, одно и то же-но, видимо, ЕАМ определяет это как разные пути к файлу :unsure: )

т.е. у меня просто НЕТ такого пути-следовательно, создаваемое мной правило для  *\Sysnative\* просто не сохраняется, и после перезагрузки ПК - остается только правило для пути *\System32\*

 

И как тут поступить?

post-15967-0-92701100-1417623636_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Здравствуйте!

неужели нет никаких решений?

Сегодня опять ЕАМ отреагировал на этот файл-правило я создал, оно сохранилось (скрин), но после рестарта ПК-исчезнет (для SysNative, останется только для System32) и вновь все повторится через неск. дней <_<

 

Почему это беспокоит?

Потому что происходит это при работе в сети, при открытом браузере,

а ЕАМ неск. секунд определяется перед выдачей уведомления :unsure:

Или мне правильнее обратиться к англоязычным разработчикам?

post-15967-0-62771600-1417872594_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Добрый день,

Создать исключение в Защита - Файловая защита - Редактор исключений и отметка на Анализ поведения пробовали?

  • Upvote 1

Share this post


Link to post
Share on other sites

Нет, не пробовал..

К тому же-это непросто-ведь такого пути у меня просто не существует в реальности.(скрин)

А других вариантов-нет?

 

Правда, непонятно, почему ЕАМ определяет System32 как SysNative :unsure:

И главное-можно ли это корректировать.

 

p.s. По большому счету- эта ситуация отнюдь некритична! :)

Некоторые неудобства-да, есть <_<

Но хочется разобраться и понять :)

post-15967-0-64476700-1417964528_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Да, Владимир, Вы правы! мне подтвердил (и пояснил) C.Peters-что нужно создать исключающее контроль поведения для процесса CMMON32 по пути *\System32\* и это будет работать так же и для пути *\SysNative\* :)

 

Оказалось все достаточно просто ;)

Сделал и пронаблюдаю!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.