» Kaspersky Internet Security - KIS (часть 7)

dimonchiki

Цитата:

как обновить 11.01.400 до сборки 11.0.2.556 RC

Удаляешь 400-ую сборку, а потом устанавливаешь 556 RC.

oabox

Цитата:

устанавливается полюбэ полный пакет, т.е. KIS

Непохоже. Мой инсталятор KAV, да и по размеру он отличается от аналогичной версии KIS. Просто не хочется теперь заново качать продукт на 100 мб, когда наверняка есть ключ типа MSI /kis.
Мне нужно, чтобы после установки KIS просто запросил ключ, без дополнительной проверки на совместимость ПО, которая имеет место быть, когда переходишь с KAV на KIS.

Stalker61

Цитата:

Удаляешь 400-ую сборку, а потом устанавливаешь 556 RC.

А через саму прогу нельзя обновиться до новой версии?

smashmac, oabox прав - это один и тот же продукт. Отличаются они несущественно (возможно по умолчанию отрезаны базы РК и АС в КАВ, я ХЗ), если померить в процентном соотношении. А то, что название KAV и KIS, так это просто зависит от того, какой триальник там зашит. Скачивая КАВ триал активируется КАВа, а не КИСа. И наоборот. Но если триал не активируешь, а сразу даешь нормальный код, то никаких перестроений он не делает, АФАИК. Он сразу разворачивает из себя КИС.
dimonchiki Поставь поверх, если хочешь. Но я бы не советовал. Вообще защитное ПО поверх лучше не ставить.

dimonchiki

Цитата:

А через саму прогу нельзя обновиться до новой версии?

Нет. Такая возможность в продуктах ЛК пока отсутствует.

В бетах была 100%, сам видел эти алерты, которые предлагали скачать другую бету %) Значит механизм есть. Другое дело, что его могут не использовать по какой-то причине.

Recursion

Цитата:

Значит механизм есть. Другое дело, что его могут не использовать по какой-то причине.

Они никак толком не научатся хотя бы делать полный инсталл новой версии поверх старой, вечно косяки досаднейшие вылазят, куда уж им еще и динамический апдейт версий. Это была бы совсем фантастика. Уронят не винду, а весь комп со стола при таком апдейте...

Ты знаешь хоть одно защитное ПО, которое это умеет? Это фантастика. Все они делают одинаково: экспорт настроек, анисталл, установка, импорт настроек. Просто скрыто для юзера.

Recursion

Цитата:

Ты знаешь хоть одно защитное ПО, которое это умеет?

Comodo Internet Security

На АМ говорят, он дырка еще та. Так что не удивлюсь

Recursion
На АМ много чего говорят. Там поговорить да потроллить - хлебом не корми А вы поставьте и сами попробуйте, а не слушайте чужие басни.

Сейчас речь о компонентах хипс+файер, а также про подхват старых настроек, про слабость антивируса в CIS давно известно и никто спорить не станет.

Recursion

Цитата:

На АМ говорят, он дырка еще та.

А на matousec говорят что непрошибаемый бункер, причем лучший из всех протестированных ими.

Recursion
Вон - не хотел, но речь таки зашла о Касперском. Раз уж вы такой любитель дырок в безопасности - считайте!

Цитата:

Если уж речь зашла о касперском, то почему бы и не рассказать о некоторых его уязвимостях.
В эмуляторе существует масса уязвимостей для его обхода, одну из них я публиковал недавно здесь. Она заключалась в баге при проверке апи. Очень смешным оказывается то, что эмулятор таже не может нормально обрабатывать виндовые месаджи, что дает нам плюс один к дыркам. А вот еще забавная фишка на тему многострадального эмула — простым циклом можно запаузить выполнение малвара секунд на 10-15, что ему никак не повредит, но вот эмул просто сделает терминейт по таймауту. О целостности системных структур в нем я вообще молчу. С хипсом тоже много веселого. Достаточно посмотреть в сторону rpc хендлера — его вообще нет, что дает полный произвол хотябы в том же AddPrintProvidor(), не требующем привилегий. Что уж тут говорить о приватных дырках, если публичные до сих пор не пофиксены.

Кстати, есть вопрос.
А как серьезно перерабатывалось ядро KLAVA c времен KIS2009? Если оно, конечно, перерабатывалось вообще...

Изменения в RC:
106249 GUI. Lic. CSLN. Trial expired. Redundant information (alert & messagebox)
106803 installer:EULA appears-repair from start menu after installation in normal mode
106967 SB.SD: MS Word 2010 is not working in Sandbox (SafeDesktop)
108498 installer:Sanbox shared shorcut in Libraries\Documents is not deleted-uninstall
108500 PDM removed trusted application
108530 GUI. Subscription update (key is missing). Message is not localized
108558 installer:Customized SB shortcut is not deleted -migration from KIS11 to KAV11
108742 GUI.FR, SysW: На алерте нет краткого описания угрзы
108812 OEM: silent mode with activation code (there is no baloon about EULA)
108826 News Agent: Filter LicDaysLeft =0 doesn't work
108830 Lic. Protection state (-80)
108833 OEM: decline EULA and then accept it
108509 Malware still active after disinfection of Backdoor.Win32.Sinowal.ce
108686 Disinfection sometimes failed when it's infected with Email-Worm.Win32.Scano.bd
108830 Lic. Protection state (-80)
108845 Installer; Buttons "turn on" in SC, not work before EULA accepting
108899 DUMP: hips!shared_shared_count_434757A3
108929 DUMP: procmon!revert_8927116E
108863 OS hang
108948 GUI: FR loc: not localized Web Alert
108738 message from uac about random msi file during installation
109033 OEM: there is no baloon about EULA
109042 No EULA and KSN text in EULA accept dialog after silent mode in regional builds
109055 GUI: it-IT: absent link to help
109056 installer: it-IT: need reinstall application

gjf
От добра добра? У меня лицуха на KIS и его HIPS меня полностью устраивает. На АМ же проблема его HIPS была подтверждена несколькими разными людьми.
MrThief
У них тесты интересные, но синтетические. То есть некоторые даже затачивались специально для прохождения тестов, а не для улучшения защиты. Короче, жульничают эти аверы.

Цитата:

Вон - не хотел, но речь таки зашла о Касперском. Раз уж вы такой любитель дырок в безопасности - считайте!

Я не их любитель, я их как раз наоборот. Ну, это все круто, только я не думаю, что кто-то считает, будто эмуль есть сама защита. %) Обойти эмуль - стандартная первая задача любого вирмейкера. Эмулем шушеру ловят. Впрочем, с учетом всей биомассы, этой шушеры процентов 80, не меньше.

Recursion
Насколько мне известно, эмулятор - основная защита от неизвестных пакеров. При современной тяге перепаковывать заразу, а не переписывать её, эмулятор ловит отнюдь не шушеру.

Могу подогнать десять версий TDSS и ZBot, по сути являющиеся одной и той же версией - но репаками

gjf
Так я о том и говорю Шушера - это как раз перепакованное. Потому как ловится упакованное/криптованное эмулем в разы лучше, чем до А почему? Потому что всякие скрипт кидди используют чужое из паблика, которое как раз и ловится еще до того, как попадет к ним в руки.
По заявлению ЛК (на АМ, могу поискать), 80% эмуляторов используются до сих пор еще с 6.0. Что как бы намекает нам на то, из какого примитива состоит бОльшая часть заразы до сих пор. Плюс на АМ еще одни из вирлаба сказал, что большая часть Сатили (или как там его) ловится "еще до того, как он появится". Как-то так.

Добавлено:
О, кстати.

Цитата:

07.10.2010 20:33:16    Download Master    Обнаружено: HEUR:Trojan-Downloader.Win32.Generic        F:\Downloads\Программы\installer.exe/ASPack/data0000.res/ASPack        

А вообще он был пойман еще Веб-АВ:

Цитата:

07.10.2010 20:32:54    Download Master    Обнаружено: HEUR:Trojan-Downloader.Win32.Generic        http://protector.onfind.net/installer.exe//ASPack//data0000.res//ASPack        
07.10.2010 20:32:57    Download Master    Обнаружено: HEUR:Trojan-Downloader.Win32.Generic        http://protector.onfind.net/installer.exe//ASPack        

Recursion

Цитата:

Потому как ловится упакованное/криптованное эмулем в разы лучше, чем до А почему? Потому что всякие скрипт кидди используют чужое из паблика, которое как раз и ловится еще до того, как попадет к ним в руки.

Прочитал и взорвал мозг. Если ловится до репака хорошо (а это правда - ловится по сигнатурам) - то почему эмулем репак ловится в разы лучше?

Выше вам сообщили про вариант обхода эмулятора - теперь представляем ситуацию: я нахожу или покупаю самопальный неизвестный паковщик, беру известный зловред по дешёвке, пакую его и обхожу эмулятор. Сколько времени и сколько машин я заражу, пока образец доползёт до лаборатории и ему дадут какой-нибудь жалкий Packed (в комплексе с сотней-другой фалсов)?


Цитата:

Что как бы намекает нам на то, из какого примитива состоит бОльшая часть заразы до сих пор. Плюс на АМ еще одни из вирлаба сказал, что большая часть Сатили (или как там его) ловится "еще до того, как он появится". Как-то так.

Как-то не так. "Сатили" (правильно - Sality, он же Sector) на данный момент один из самых технически продвинутых и серьёзных вирусных инфекторов. Это, к сожалению, не "шушера" и у ж точно не "примитив". И его не перепаковывают, потому как это ин-фек-тор!

Уж и не знаю, с кем из вирлаба вы общаетесь... Судя по постам, вы - опытный пользователь антивируса и хорошо соображаете в механизме, но с точки зрения вирусологии - без обид, но мягко скажем - не очень

Цитата:

Прочитал и взорвал мозг. Если ловится до репака хорошо (а это правда - ловится по сигнатурам) - то почему эмулем репак ловится в разы лучше?

Недопонимание между нами Допустим, есть троян, который еще не палится. После криптора палится уже начнет. Если же он палится сигнатурно, то добавится поверх еще и эвристик. Лично наблюдал такую картину, когда у меня вредонос палился и тем, и другим.

Цитата:

Выше вам сообщили про вариант обхода эмулятора - теперь представляем ситуацию: я нахожу или покупаю самопальный неизвестный паковщик, беру известный зловред по дешёвке, пакую его и обхожу эмулятор. Сколько времени и сколько машин я заражу, пока образец доползёт до лаборатории и ему дадут какой-нибудь жалкий Packed (в комплексе с сотней-другой фалсов)?

Понятия не имею. Но ты делаешь с правильным (если тут уместно так говорить) подходом - следишь, чтобы обойти защиту и заразить. Скрипт кидди этого не делают.

Цитата:

Как-то не так. "Сатили" (правильно - Sality, он же Sector) на данный момент один из самых технически продвинутых и серьёзных вирусных инфекторов. Это, к сожалению, не "шушера" и у ж точно не "примитив". И его не перепаковывают, потому как это ин-фек-тор!

Опять неясность. Это файловый вирус, да. Я не о лечении, а о детекте семпла.

Цитата:

Уж и не знаю, с кем из вирлаба вы общаетесь... Судя по постам, вы - опытный пользователь антивируса и хорошо соображаете в механизме, но с точки зрения вирусологии - без обид, но мягко скажем - не очень

Я вообще ни с кем не общался. Говорю же - передал слова с АМ. Могу найти эти посты, но уже завтра.

Recursion

Цитата:

После криптора палится уже начнет.

Если пакер неизвестный - нет, палится не будет.
Если эмулятор не сработает - то и на контент палева не будет.

Ладно, проехали -

Цитата:

Если пакер неизвестный - нет, палится не будет.
Если эмулятор не сработает - то и на контент палева не будет.

Ну дык верно!

Цитата:

А почему? Потому что всякие скрипт кидди используют чужое из паблика, которое как раз и ловится еще до того, как попадет к ним в руки.

Я же о том и говорил. Неужели мы друг друга поняли

Камрад Достоевский избавил списки программ и отчёты от тормозов. Костыль. Теперь КостыльIS не тормозит при открытии контроля программ и настройки сетевого экрана...

А ключ полученный по коду активации на сколько машин можно поставить?

dimonchiki

Цитата:

ключ полученный по коду активации на сколько машин можно поставить?

http://forum.ru-board.com/topic.cgi?forum=35&topic=47316&start=1780#14

ABSKOLOBOK
Эту проблему для себя решил установкой более ранней версии VirtualBox-3.2.2-62321

slmfrost спасибо за ответ
у меня версия 3.2.8r64453

slmfrost
ABSKOLOBOK
А что за проблема КИС+ВБ?

Насколько я знаю - они не дружат друг с другом

oabox
Действительно тормоза пропали, изменил скин Пипкина на 400 сборке, и никаких тормозов теперь, спасибо за наводку

KapralBel

не мог установить kis2011 на VirtualBox версия 3.2.8r64453
как оказалось несовместимые драйвера