» KAV / AVP / Антивирус Касперского (Часть 8)

coldment
Это отдельные приложения. Качать с сайта.

Быть может кому-то пригодиться:

"Руководство партнера по работе с прайс-листом Лаборатории Касперского" от 01 февраля 2012 года - http://ifolder.ru/28914437

"Форма для заказа корпоративных продуктов Лаборатории Касперского" от 01 февраля 2012 года - http://ifolder.ru/28914568

по непонятным причинам KAV 2012 усматривает в запуске каждой второй программы подозрительное поведение, к примеру

Цитата:

C:\...\ICONPOSITIONS\ICONPOSITIONS.EXE (PID: 1940): Поведение, похожее на PDM.Invader. Обнаружено.
C:\...\UNINSTALL TOOL\UTOOL.EXE (PID: 3132): Поведение, похожее на PDM.Suspicious registry value. Обнаружено.
C:\Program Files\AIMP3\AIMP3.EXE (PID: 3152): Поведение, похожее на PDM.Invader (loader). Обнаружено.
C:\...\DOWNLOAD MASTER\DMASTER.EXE (PID: 2480): Поведение, похожее на PDM.DNS Query. Обнаружено.

и т.д.

как забороть эту навящевую паранойю KAV (на KIS такого не было) ? а то безостановочными всплывашками достал, а отключать их полностью из-за этого не хочется )

Цитата:

Функции самозащиты я думаю полностью стырены у троянов.

У троянов нет СЗ. Максимум она есть у руткитов. Да и волна руткитов пошла относительно недавно, а СЗ у Каспера уже была на тот момент.

Цитата:

Запись лицензии в скрытый NTFS-поток папки "Data" начали использовать после того, как трояны начали использовать скрытые потоки

1. Какая, блин, Дата? Я вижу ключ в реестре, если его удалю - у меня отваливатся моя лицензия. И вижу, как он остается, если я удаляю КИС с галкой "Сохранить информацию об активации".
2. НТФС-потоки начали использовать тогда, когда об этом рассказали на msdn. И не использует их только ленивый.

Recursion
Ваши объяснения имеют право на существование, так же как и мои, я останусь при своём мнении.

Про NTFS-поток - большинство триал-резетов удаляют ключ реестра и скрытый NTFS-поток папки Data, загляните в любой батник для сброса триала KAV/KIS. И Каспер начал использовать скрытые потоки через несколько лет после того как это начали использовать трояны/руткиты, а именно с последних билдов седьмой версии, первые сборки седьмого Каспера это не использовали.

Цитата:

Про NTFS-поток - большинство триал-резетов удаляют ключ реестра и скрытый NTFS-поток папки Data, загляните в любой батник для сброса триала KAV/KIS

Ну так один дурак сделал, остальные подхватили. Все давно знают, какой ключ _в реестре_ надо удалить, чтобы сбросить триал.

Цитата:

И Каспер начал использовать скрытые потоки через несколько лет после того как это начали использовать трояны/руткиты, а именно с последних билдов седьмой версии, первые сборки седьмого Каспера это не использовали.

Ложь. Не знаю как 4-ка (т.к. не сидел на этом ужасе), а 5-ка вовсю использовала нтфс-потоки. Как для себя (iStream), так и в детекте вредоносов.

Baltazar500

Цитата:

как забороть эту навящевую паранойю KAV (на KIS такого не было) ?

Вырубить проактивную защиту.

Recursion

Цитата:

Все давно знают, какой ключ _в реестре_ надо удалить, чтобы сбросить триал.

Какой же?

Цитата:

Не знаю как 4-ка (т.к. не сидел на этом ужасе), а 5-ка вовсю использовала нтфс-потоки. Как для себя (iStream), так и в детекте вредоносов.

ЛК использовала потоки не для скрытия информации о лицензии, а для, как ты правильно сказал, работы ихней технологии iStream - реализация хранения её данных в альтернативных файловых потоках это IMHO одно из самых кривых творений ЛК!

Baltazar500
Только имхасто имхо
КАВ отсутствие ХИПСа компенсирует более злобным PDM, по сравнению с КИС

И скорее всего вы его еще озлобили еще сильнее (ручками более крутые настройки выставили)

Цитата:

Какой же?

Посмотри в батниках %) Их там не много

Цитата:

ЛК использовала потоки не для скрытия информации о лицензии, а для, как ты правильно сказал, работы ихней технологии iStream - реализация хранения её данных в альтернативных файловых потоках это IMHO одно из самых кривых творений ЛК!

Согласен только в том, что это самое большое говно. Но они от него отказались. Но обрати внимание сам - чуть выше ты писал, что ЛК про потоки ничего и не знала до 7-ой версии, пока, якобы, не подсмотрела это в троянцах. Я же тебе говорю, что уже 5-ка отлично работала с потоками: видела заразу в стримах чистых файлов и корректно это обрабатывала. _Возможно_ так было и с 4-ой, но за нее, как уже писал, я не знаю.

Добавлено:
А, на ники не посмотрел, прошу прощения.

Цитата:

Вырубить проактивную защиту.

не вариант :-D

Цитата:

Baltazar500
Только имхасто имхо
КАВ отсутствие ХИПСа компенсирует более злобным PDM, по сравнению с КИС

хм, а можно поподробнее ? всмысле ХИПСа ?)

Цитата:

И скорее всего вы его еще озлобили еще сильнее (ручками более крутые настройки выставили)

да в том то и дело что настройки стоят дефолтные :\ и невесть отчего он к ним цепляется ((

Recursion
Мы говорим о разных вещах. То что Каспер знал про NTFS потоки и искал там руткитов - это они и взяли с msdn, и так должно было быть.

А вот то что они сами стали прятать информацию о лицензии в NTFS-поток - это они слизали методы руткитов, и произошло это только в 2007 году. Пару месяцев все были в недоумении и просто удаляли эту папку Data, а позднее научились удалять поток прямо из батника.

WildGoblin меня правильно понял и как я понимаю разделяет моё мнение.

Цитата:

хм, а можно поподробнее ? всмысле ХИПСа ?)

ХИПС = Активность/Контроль программ


Цитата:

и невесть отчего он к ним цепляется

ХЗ

Есть ли соображения как перенести папку "c:\ProgramData\Kaspersky Lab\AVP11\Bases\Cache\" в другой каталог?

Recursion

Цитата:

Все давно знают, какой ключ _в реестре_ надо удалить, чтобы сбросить триал.

Цитата:

Посмотри в батниках %) Их там не много

Триал не для всех версий можно сбросить удалив лишь один ключ.
Misha1989

Цитата:

А вот то что они сами стали прятать информацию о лицензии в NTFS-поток - это они слизали методы руткитов, и произошло это только в 2007 году.

Прятать что-то в ADS очень глупо...

Цитата:

Пару месяцев все были в недоумении и просто удаляли эту папку Data, а позднее научились удалять поток прямо из батника.

Не говори за всех.

Цитата:

WildGoblin меня правильно понял и как я понимаю разделяет моё мнение.

Нет.

Krimatorij
#

Misha1989
Стесняюсь спросить, а зачем руткитам стримы?
И опять же. Я у себя вот сегодня удалил 1 ключ реестра и вернул 30 дней триала на виртуалке. Никаких потоков не удалял.

MEYSON
Спасибо, все получилось. Тоже об этом думал. Хотел в реестре в переменных средах каспера указать путь. Но получалось перенести только всю папку "Bases" с подкаталогами, а не отдельно "Cache".

Интереснаяй ситуация была смоделирована в Варезнике
http://forum.ru-board.com/topic.cgi?forum=35&topic=47318&start=1100#8
Цитата:

KAV 11. Лицензия 1 сроком действия +n дней от текущей даты заблокирована, лицензия 2 - 30-дневный журнальный ключ вступает в действие через n дней.
1. Чем отличается функционал KAV эти n дней от версии с корректно установленной лицензией (лицензиями)?

Понятно, что продукт не будет обновляться с заблокированной лицензией. А вот разве через n дней вторая лицензия сама вступит в силу? Ведь (в классике), чтобы установить новый ключ, нужно сначала удалить заблокированный.

http://habrahabr.ru/blogs/virus/138525/
очень даже хорошие результаты по скорости работы
а по детекту зловредов - так самый лучший ))

Люди, а в KAV нет такой функции как блокировать сьемные устройства?

Люди, привет!
Кто-нибудь проверял: работает ли алгоритм 18 пункта FAQ из шапки на версии 2012?
Спасибо.

kubrak1985
Есть такая функция, но только в корпоративном продукте KAV 6 WS

km

Здравствуйте прошу помощи знающих.
Имею KIS 2011 11.0.1.400 (a,b,c,d)
Решил замерить скорость интернет соединения на соответствие своему тарифу.
Тариф 8 мбит/сек. Проверял на разных сайтах, в том числе и не знаменитом speedtest.net.
На всяческих FTP скорость разная плавает от 2 до 7.
При включенном Касперском, все сайты как один говорят о 2-4 мбит/сек. Выключил Касперский- стали отображать 7,5-8. Выяснил что Сетевой экран ситуацию не меняет. А вот Веб-антивирус очень даже. Настроить не получилось. Выключаю полностью - всё в норме,
включаю, опять какая то ерунда.
Прошу протестировать скорость на http://www.speedtest.net/
при включенном и выключенном Веб-Антивирусе и выложить результаты.
Или подсказать готовое решение вопроса.
Спасибо.

Это нормально? KAV 2010. Раньше на Tor никак не реагировал.

Ну да, сейчас адвокаты набегут - типа Кошмар же не говорит, что Tor вирус...

Добавлено:
Дык он вообще не должен ничего говорить!

kpdozer
Возможно на быстрых компьютерах трафик обрабатывается быстрее, на медленных медленнее. Измерив скорость, неплохо бы указать частоту процессора и их кол-во.

WatsonRus
KSN - вот "потенциально опасный сервис для юзера"

Они не заинтересованы в конфиденциальности и приватности информации юзера, вот и делают все возможное чтобы пользователей их лишить - знают ведь на блондинок подействует, а из не мало.

kpdozer
Не наблюдал такого, скорость в норме, дело может быть не в веб-антивирусе, у bitdefender его нет, а скорость снижает очень сильно.

Блондинки про Tor в жизни не слыхивали.