Обнаружив уязвимость к подбору 32-битного хеша, я удалил из статей инструкцию по добавлению всех файлов в доверенные. Вообще-то опасность случайной коллизии я преувеличил: если занести в доверенные десять тысяч файлов, а потом попытаться запустить десять тысяч вирусов, то поражение состоится лишь с вероятностью в пару процентов. С другой стороны, отказ от добавления всех файлов в доверенные никак не помешает целенаправленной эксплуатации этой уязвимости. Поэтому, по просьбам трудящихся, публикую удаленный подпункт.
Занесение в доверенные большого числа файлов
Если CIS установлен на чистую от вредоносных программ систему, можно установить доверенным текущее содержимое системного диска. Есть разные способы это сделать.
Для компьютера, полностью чистого от вредоносных программ (на всех дисках), предназначен режим «Чистый ПК». Однако этот режим имеет свои уязвимости: в частности, новые неопознанные файлы получают права доверенных при переименовании содержащего их каталога. Поэтому не рекомендую включать этот режим.
Считается, что в решении поставленной задачи помогает так называемое «рейтинговое сканирование»: «Главное окно» > «Задачи» > «Общие задачи» > «Сканирование» > «Рейтинговое сканирование». Результатом этой процедуры будет список файлов, которые можно затем полностью или выборочно сделать доверенными.
Однако в действительности пользы от рейтингового сканирования не много. Недостаток его в том, что невозможно повлиять на выбор сканируемых объектов. Обычно сканируются файлы, которые запущены или прописаны в автозагрузке. Полного рейтингового сканирования системы не производится.
Радикальный способ — добавить в список доверенных файлов весь системный диск. Но в этом случае будут подсчитаны и записаны контрольные суммы абсолютно всех его файлов, а не только исполняемых. Такая процедура займет время, а величина списка, возможно, скажется на производительности.
Наконец, в качестве компромиссного варианта предлагаю следующий трюк:
- скопировать с системного диска во временный каталог все исполняемые файлы,
- добавить этот каталог в список доверенных файлов,
- нажать Ok и выждать несколько минут до закрытия окна настройки CIS,
- удалить временный каталог.
В результате все исполняемые файлы на системном диске получат права доверенных (за исключением файлов большого размера).
Недостаток данного метода: эти права исчезнут, если обновить список файлов для очистки от недействительных записей. Как вариант, можно не заниматься обновлением и очисткой данного списка файлов, но это может сказаться на производительности.
В версии CIS 8.2 появилось, казалось бы, решение проблемы: экспортировать список в XML-файл, заменить в нем пути к копиям файлов путями к оригиналам и обратно импортировать список в CIS. Однако в этой версии удалили функцию очистки списка файлов от недействительных записей. Остается ждать возвращения этой функции в следующих версиях...
Чтобы скопировать исполняемые файлы во временный каталог, можно запустить от администратора какой-либо файловый менеджер наподобие «Total Commander» и выполнить копирование со следующим фильтром:
Вместо файлового менеджера можно воспользоваться обычным bat-файлом. Для этого понадобится создать в Блокноте файл «exeFilter.bat» со следующим содержимым:
Если поместить этот bat-файл в корень системного диска и запустить от имени администратора, то появится каталог «~exe», содержащий копии всех исполняемых файлов. Этот bat-файл пригоден не только для фильтрования целого диска. Если поместить его в какой-либо каталог и запустить, то скопируются исполняемые файлы из подкаталогов. Следовательно, описанным способом можно заносить в доверенные любые каталоги с большим числом файлов. Разумеется сам файл «exeFilter.bat» понадобится добавить в доверенные, прежде чем запускать.
