» Kaspersky Internet Security - KIS (часть 7)

Ребята,подскажите какие правила можно выставить для mozilla firefox (kis 2011) чтоб не так сильно тормозилась загрузка страничек?

gjf

Цитата:

Выше вам сообщили про вариант обхода эмулятора - теперь представляем ситуацию: я нахожу или покупаю самопальный неизвестный паковщик, беру известный зловред по дешёвке, пакую его и обхожу эмулятор Сколько времени и сколько машин я заражу, пока образец доползёт до лаборатории и ему дадут какой-нибудь жалкий Packed .

В связи с этим возник вопрос.
Если все-таки перепакованый зловред доползет до лаборатории, то под этот (уже перепакованый зловред) будет создана новая запись?
Если да, то какова тогда избыточность антивирусной базы...!? И сколько здоровья сотрудники лк потеряли зря на манипуляции по внесению в базы уже известных, но перепакованных зловредов...!?

Да, добавят новую запись. Сколько таких записей в базе никто не знает. Думаю, даже дятлы не знают, т.к. просто не считают.
Большую часть записей вносят не люди, а автодятел (посмотри на динамики: http://www.kaspersky.com/viruswatch3). Так что никто здоровья не подорвал.

Recursion
Цитата:

Да, добавят новую запись. Сколько таких записей в базе никто не знает.

Вывод
1. Закрывать уязвимость (а может и уязвимости) в KIS надо срочно!
2. Затем делать ревизию и переработку баз (в сторону уменьшения) под уже "менее уязвимую версию KIS".

Если этого не сделать, то....
Разросшиеся базы будут всё больше загаживать память ПК и тормозить систему.

Цитата:

Большую часть записей вносят не люди, а автодятел

Судя по скорости устранения багов может и баги патчят тоже они...

cdrom2
1. Какая это уязвимость? И вообще, какая уязвимость может быть в эмуляторе? Не, может, но в 99,9% не в эмуле, а в базах.
2. Дык они постоянно это делают. На оффоруме то и дело нытье: "Куда дели стопицоттыщ записей аааа!!!" Им объясняют, что проводилась оптимизация записей. Они снова приходят с этим же нытьем. На 2011 перестали приходить, потому что счетчик скрыли %)

Цитата:

Судя по скорости устранения багов может и баги патчят тоже они...

Эм... Каких багов? У меня стоит 400-ая сборка и проблем нет. На следующую перейду, конечно, но не потому что в этой что-то не работает. Просто перейду. Из заметного полезного для меня в новом релизе будет новый механизм интеграции с Thunderbird. Теперь обновление почтового клиента не будет вырубать аддон, который при помощи сайта ТП приходилось заново регать, выполняя аж две команды. Целый 1 раз приходилось это делать %)

А с небольшой тормознутостью на 4-х ядерниках они чего-нить сделали в CF2?

Kaspersky Internet Security 11.0.2.556 CF2 RC - релиз, разрабы говорят.
http://forum.kaspersky.com/index.php?s=&showtopic=187848&view=findpost&p=1495499

Recursion

Цитата:

Дык они постоянно это делают

Интересен механизм и логика изменений...

1.Уязвимость косвенно порождает дублирование записи об одних и тех же, но перепакованных зловредах?
2. С уязвимостью : новая перепаковка зловледа - новая запись, без уязвимости : новая перепаковка - детект по старой записи?...
2а... и отсутствие в последующем необходимости в оптимизации дублей записи об одном и том же зловреде?
3.Хотя может я и не прав?...

zakaz66

Цитата:

релиз, разрабы говорят.

Релиз, но когда выпустят сборку на комм.ключах пока не говорят

cdrom2
Я вроде бы достачно неплохо разбираюсь в продукции ЛК, но моих знаний с трудом хватает что бы разобраться в ваших постах (и то не всех)

Можно немного попроще?

IDOLE
Поставь, проверь - просто есть подозрение - что притормаживание это локальная проблема конкретных компов.

Цитата:

Уязвимость косвенно порождает

Обход эмулятора - НЕ уязвимость. Обойти можно любой эмуль и продвинутые вирмейкеры это делают в первую очередь. Потому любой нормальный защитный продукт имеет несколько колец защиты, в которых эмулятор - самое первое.

Цитата:

дублирование записи об одних и тех же, но перепакованных зловредах?

Увы. Но до того, как упаковщик попадет в руки вирлаба. После того как попадет, семплы будут детектится после упаковки. Даже те, которые до упаковки не ловились %) Именно из-за реакции на пакер. Могу привести простой пример, если хочешь.

Цитата:

2. С уязвимостью : новая перепаковка зловледа - новая запись, без уязвимости : новая перепаковка - детект по старой записи?...
2а... и отсутствие в последующем необходимости в оптимизации дублей записи об одном и том же зловреде?

Во-первых, нужно понимать, что не каждый упаковщик спрячет заразу от эмуля, обход нужно искать. Во-вторых ты каждый раз забываешь про PDM, BSS, HIPS и KSN. В-третьих возьми из паблика любой пакер и упакуй заразу - детект будет. Иногда даже не тот, что был изначально.
Плюс ты почему-то связал оптимизацию баз с дублями заразы, это не правильно. Одна запись вполне себе может брать десятки разных семплов. Оптимизация во-первых делает из десятков сотни и больше, а во-вторых добавляет Generic детекты, которыми вполне себе начнут ловиться только что появившиеся.

KapralBel
Recursion
Вопрос по базам пока снимаю.

Но вопрос остался - опубликованная уязвимость обхода эмулятора существует или нет?!


Recursion

Цитата:

Обход эмулятора - НЕ уязвимость.

А что это тогда в продукте ЛК-а ? (Стихи даже получились).
И могут ли этим конкретным ("неизвестно чем"- не моё ИМХО ) пользоваться вирмейкеры?

cdrom2
В любом защитном ПО обход эмулятора - это не уязвимость. Это просто обход эмулятора. Ну примерно как можно крякнуть программу. Не потому что это в ней уязвимость, а потому что это возможно.

KapralBel

Цитата:

Поставь, проверь - просто есть подозрение - что притормаживание это локальная проблема конкретных компов.

да уже стояла 400 СF1, подтормаживала...Кто мне тут сказал, что это из-за 4-х ядерника.

Recursion
Можно ли предотвратить данный конкретный (уже описанный) механизм обхода эмулятора доработкой KIS?

Цитата:

Кто мне тут сказал, что это из-за 4-х ядерника.

Хм....


Цитата:

да уже стояла 400 СF1,

Попробуй СФ2

cdrom2
Странно, что ты спрашиваешь у меня. Попробуй связаться с разрабами движка, может быть они что-то скажут.
Если отойти от данного конкретного и от Каспера вообще, то выйдет, что можно-то все. Только иногда результат будет еще хуже, чем было.

Recursion
Цитата:

Странно, что ты спрашиваешь у меня.

Согласен.
Цитата:

Если отойти от данного конкретного и от Каспера вообще, то выйдет, что можно-то все.

Почему же надо "отходить" в этом вопросе именно от Каспера?
Цитата:

Только иногда результат будет еще хуже, чем было.

Это по практике исправлений в Каспере или об исправлениях вообще?

Цитата:

Почему же надо "отходить" в этом вопросе именно от Каспера?

Потому что я хотел сказать о более общем положении дел.

Цитата:

Это по практике исправлений в Каспере или об исправлениях вообще?

Вообще, я же сказал. Например мне пришлось отказаться от одной программки (сейчас, кстати, не жалею, что не стал искать аналогов), которая стала нахрен вешать некоторые другие из-за того, что пыталась подгрузить в них свой модуль. А было это сделано потому что ей не удавалось выполнить свою работу полноценно при первоначальном методе работы.

Recursion
Цитата:

Вообще, я же сказал.

В очень недалеком прошлом я просто не мог предположить, по какому принципу в лк выпускаются продукты, а именно это новые фичи, интеграция (соитие) продуктов друг с другом и т.п. А сейчас чёто стрёмно отношусь к возможностям лк серьезно перерабатывать свои продукты.
P.S....надежда умирает последней и это будет скоро...

Ну, дело твое Я проблем особых не вижу просто. Или меня лицензия ослепляет? Мои-то проблемы исправлены все, по каким я запрос делал

KapralBel

Цитата:

Я там был, и поразвлекался с 1й страницы, где кое-кто отбивался от моралистов и любителей править шапки и только после этого написал предложение

Этому вы у Русакова научились - вместо работы искать лулзы? Ну-ну...

cdrom2

Цитата:

Но вопрос остался - опубликованная уязвимость обхода эмулятора существует или нет?!

Существует. Чтобы её закрыть, нужно ваять детект замкнутых циклов - это никто делать не будет, поскольку породит массу фалсов. Боюсь, что такую уязвимость при такой концепции обойти невозможно - прикрывать надо процедурами распаковки (если такие ещё есть в Каспере) плюс детектом по сигнатурам (а куда ж без них )

gjf

Цитата:

Чтобы её закрыть, нужно ваять детект замкнутых циклов - это никто делать не будет, поскольку породит массу фалсов.

Нельзя исправить - так хоть бы это честно признали это в ЛК и разработали, а также опубликовали по этому вопросу официальную инфу!

Цитата:

Боюсь, что такую уязвимость при такой концепции обойти невозможно

А есть ли равнозначные альтернативы (даже теоретические) такой концепции? Что бы не прикрываться фиговым листом...

И немного :офф:
Интересно ФСТЭК России лицензирует программные продукты разово или с какой-то периодичностью? И учитывает ли она результаты "нероссийских"наработок в области ТЗ?

Цитата:

нтересно ФСТЭК России лицензирует программные продукты разово или с какой-то периодичностью? И учитывает ли она результаты "нероссийских"наработок в области ТЗ?

Разово лицензируется 1 продукт. Прошла сертификацию Windows XP, сертификат на Vista не распространяется. В тоже время сертификаты для обновлений XP не нужны.

Добавлено:

Цитата:

Нельзя исправить - так хоть бы это честно признали это в ЛК и разработали, а также опубликовали по этому вопросу официальную инфу!

Требуй тогда вообще у всех сразу.

cdrom2
Вы опять ничего не поняли. Нет универсальной единой системы, которую нельзя вообще обойти. Поэтому ставится несколько: обойдёшь одну - нарвёшься на другую.

Цитата:

честно признали это в ЛК и разработали, а также опубликовали по этому вопросу официальную инфу!

"Уважаемые пользователи! В этой статье мы опишем, какие механизмы защиты используется в нашей системе КИС и как обойти каждую из них..."

Так по-вашему?

Чем бы это помогло вам как пользователю? Ничем! И с другой стороны здорово помогло бы вирмейкерам


Цитата:

Требуй тогда вообще у всех сразу.

Тут он к сожалению прав - это есть ноу-хау каждого разраба. А вот если все опубликуют эти моменты - вот тогда вы окажетесь перед всецело вооружёнными вирмейкерами, извините за сравнение - но без штанов.

Цитата:

"Уважаемые пользователи! В этой статье мы опишем, какие механизмы защиты используется в нашей системе КИС и как обойти каждую из них..."

И два типа ответа:
1. Да мы знаем
2. я нипонял чо нада делать скажыти а то хачу написать вирус скачала иво в инете а он палица как его скрыть ???

Цитата:

А вот если все опубликуют эти моменты - вот тогда вы окажетесь перед всецело вооружёнными вирмейкерами, извините за сравнение - но без штанов.

По-моему я это уже писал. Я считаю сигнатурный (а эмуль у ЛК строится на них и это давно известно) прошлым веком и ревностно слежу за двумя линиями обороны - UAC (работаю только под юзером; с момента создания этой учетной записи в админа больше никогда не заходил) и HIPS, который настроен не стандартно.
То есть лично мне вообще пофик.

Сегодня сидел и спокойно смотрел фильм, и вдруг начинается дикое слайдшоу из фильма, я еле включил диспетчер задач, оказалось виноват касперский, проц загружен был на 100%, из которых 80% кушал касперский, оперативки кушал 150-160мб. Винт шуршал очень хорошо.
С чего он так вдруг? Насколько я знаю, то в КИС 11 проверка запускается автоматом, если комп стоит в простое, но я то ведь фильм смотрю. У меня уже такое два раза, но те прошлые разы были не такие жестокие, avp.exe кушал около 80мб, на третий раз я уже не выдеражал?
Можно ли как то с этим бороться?

gjf
Мысли вслух...

Неужели грамотные вирмейкеры до сих пор не раскололи программный код KIS...?
Он настолько сильно защищен (обфускация и т.п.)? Можно без конкретики.

Всем привет! Может кто-то выложить (система х64) дамп (*.reg) раздела:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP11 (или AVP9, но лучше AVP11)

cdrom2

Цитата:

Неужели грамотные вирмейкеры до сих пор не раскололи программный код KIS...?
Он настолько сильно защищен (обфускация и т.п.)? Можно без конкретики.

А зачем? Идея написать вирус, который не будет палиться только Касперским? Другие антивирусы построены по-другому - а рассчитывать на один продукт, который к тому же не №1 по совокупной популярности в мире - бессмысленно.

Кроме того, итоги работы по дизассемблирвоанию здоровенного пакета прикроются в течение получаса новой сигнатурой.

А на счёт того, легко ли и ли сложно победить программный код - эксплоит от ElCrabe живёт и здравствует уже долго, так что наверное - легко

LeoNid2450071
А может ещё ключи от квартиры, где деньги лежат? Вы сами поняли, что вы просите сделать? Хочется верить, что нет.

gjf
А что там такого секретного??? LicStorage находится не в этом разделе...
А если точнее, мне нужно эти разделы:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP11\Data
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP11\environment
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP11\settings