» Kaspersky Internet Security - KIS (часть 8)

immotus
В шапке варезника есть приблуда среди прочей полезной информации.

oabox
Какая из? Ткни носом.

Что мешает в соответствующей теме посмотреть в "вспомогательные утилиты" и прочесть немного букоф?

oabox

Цитата:

Что мешает...

Видимо спортивное косоглазие.
В упор не вижу ссылки на соответствующую тему.

immotus
KasperskyKeyDumper http://forum.ru-board.com/topic.cgi?forum=35&topic=48329&start=0&limit=1&m=9#1

Добавлено:
тут последняя версия

vipvladik
Эм... мы как бы друг друга не поняли. Ну если соответствующая тема, это в Варезник? Мне не надо ничего ломать и т.п.
У меня официально купленный KIS 2011. Мне нужен ключ в виде серийного номера, а не в виде файла. С этим можно помочь?

immotus
Я не уверен, но вроде нельзя узнать код активации, обращайся в ТП ЛК может там помогут

Цитата:

Мне нужен ключ в виде серийного номера, а не в виде файла. С этим можно помочь?

Только в техподдержке ЛК.

Recursion,

Цитата:

Se_Vlad, это ты перепутал

Да ну? Это по твоему включён интерактив? А "автоматика"?




Цитата:

* - это _любое_ количество _любых_ символов.

Так должно быть.
но на практике в дефлотных правилах видим следующее:

ничего не настораживает?
Подсказка - зачем 2 последних, если первое правило должно перекрывать их

Да ну? Это по твоему включён интерактив? А "автоматика"?
Включен интерактив. По-моему ты просто не знаешь значение этого слова, но я же дал тебе ссылку на словарь.
ничего не настораживает?
Нет и сразу по нескольким причинам. Одна из них - меня не может настораживать скриншот окна программы в принципе, если там не написано "на вашу карту приобретена яхта в кредит" Другая - это может быть просто подстраховка. Ну или разные люди писали список в нахлест. Да и вообще, какая разница? Ты же сам можешь проверить мои маски и сказать, если они не работают.

Добавлено:
блин, b поставил вместо q

Цитата:

Включен интерактив

это включён?
Ну ок, пусть будет включён.


Цитата:

Ты же сам можешь проверить мои маски и сказать, если они не работают.

ок. В папку %windir% кладу экзешник (акелпад) и спокойно запускаю. КИС-ни слова! (Причем эта версия экзешника ни разу не запускалась с КИС ни из какого каталога. Другая версия - да, запускалась, но не из %виндир%)
Что я делаю не так?

Мммм, а почему он должен запретить запуск-то?

Цитата:

а почему он должен запретить запуск-то?

Ну потому что как минимум это:
1. Неизвестный исполняемый файл.
2. Изменившийся екзешник (я перед тем кидал туда "знакомый" КИСу екзешник, но он промолчал - я кинул незнакомый- другую версию)
+ ко всему - в системной дире

Тот же Оутпост, например, в этом случае предупреждал и блокировал.

Помнишь, чего я хочу добиться от КИС? Напомню:

Цитата:

Где в КИС11 настроить контроль целостности файлов? Чтобы при изменении exe, dll и тп он выдавал предупреждение и запрос на запуск.

Добрым людям - доброго времени.
Пользую KIS 9.0.0.736 CF2, - KSN отключён в настройках, как и полагается , но есть вопрос - а через реестр ещё как нибудь дополнительно сей компонент отключается? Сорри, за такую постановку вопроса

P.S.
Просто в соответствующем топике было упоминание про отключение KSN через реестр в 11-той версии, а про 10-тую ни слова.

Цитата:

1. Неизвестный исполняемый файл.

Неизвестный по KSN? Я просто не качал его, нет желания.

Цитата:

2. Изменившийся екзешник (я перед тем кидал туда "знакомый" КИСу екзешник, но он промолчал - я кинул незнакомый- другую версию)

Не понял фразы. Какой знакомый, куда кинул, какую версию. Ты пошагово распиши, что делал.

Цитата:

+ ко всему - в системной дире

Ну он теперь контролируется правилами, которые ты показывал на скрине. Попробуй удалить его слабоограниченным и схватишь алерт на разрешение этого действия.
Просто по-моему ты что-то не так делаешь, а что - понять не могу, т.к. не вижу пошагам.


Цитата:

Тот же Оутпост, например, в этом случае предупреждал и блокировал.

Не знаком с принципами его работы. Но думаю, он дорос уже до уровня KIS 7.0, где была отдельная такая опция, которую даже я не рисковал включать, т.к. не хотелось при каждом запуске winword кликать на стопицот алертов.
Sirius_22
По-моему там только avp11 меняется на avp9 и все.

Sirius_22

Цитата:

Добрым людям - доброго времени.
Пользую KIS 9.0.0.736 CF2, - KSN отключён в настройках, как и полагается , но есть вопрос - а через реестр ещё как нибудь дополнительно сей компонент отключается? Сорри, за такую постановку вопроса

P.S.
Просто в соответствующем топике было упоминание про отключение KSN через реестр в 11-той версии, а про 10-тую ни слова.

Когда юзал KIS 2010, нигде в реестре не нашел отключение KSN, так что его там нет, отключите в настройках, и все.

В KIS и KAV 2009 был такой параметр реестра , который отрубал KSN гарантированно .
HKLM\SOFTWARE\KasperskyLab\protected\AVP8\profiles\ProcMon\settings UseKLSRL = 0
В свежих версиях возможно так же там сидит . А так со снятыми галками все равно стучал периодически ,
в фаере видел .

strannik727
KismetT
Благодарствую за совет и подсказку.
UseKLSRL - уже стоит в "ноль". По видимому при снятой галке на чекбоксе в настройках в реестр и записывается данное значение.

strannik727
Цитата:

Когда юзал KIS 2010, нигде в реестре не нашел отключение KSN, так что его там нет, отключите в настройках, и все.

Неправда, есть он там.

Sirius_22
Цитата:

Пользую KIS 9.0.0.736 CF2, - KSN через реестр ещё как нибудь дополнительно сей компонент отключается?

Отключить участие в Kaspersky Security Network.
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\settings]
"EnableStatistics"=dword:00000000

Отключить отправку расширенной статистики в лабораторию.
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\profiles\ProcMon\settings]
"ExtStat"=dword:00000000

Отключить проверку по базе доверенных приложений.
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\profiles\ProcMon\settings]
"UseKLSRL"=dword:00000000

Цитата:

Неизвестный по KSN?

KSN тоже отключён. Так что для моего КИС он не знаком. Должен быть. Но если он в каких-то дефолтных базах, тогда да КИС должен его знать. Но это всё равно абсолютно не важно. Я хочу добиться элементарной безопасности - контроля изменений екзешников. И не важно есть он в базе или нет. Запустился новый екзешник - предупреди меня! Изменился - опять сигнализируй! Именно так отрабатывал Оутпост (я при переходе на КИС11 его снёс).


Цитата:

Не понял фразы. Какой знакомый, куда кинул, какую версию. Ты пошагово распиши, что делал.

Ок. "Моя" терминология:
"Знакомый" - известный КИС. Тот фай который я ранее запускал и КИС знает о нём.

Возьмём тот же акелпад. Я его запускаю по 150 раз на дню. Но лежит он у меня в каталоге тоталкоммандера, который сам находится в программфилес.
Беру и каталога тотала копирую екзешник в %виндир%. За пускаю - КИС молчит. Ну ладно, думаю, этот же экзешник ему знаком (хотя откуда КИСу знать что это именно копия известного - он же хеши не хранит и не сравнивает при обращении.). Ладно, вместо "вероятно известного" екзешника из архива достаю древнюю-древнюю версию (3-х летней давности) - копирую в %виндир% (заменяю известный!!!) и запускаю. Всё ОК - КИС спит. Т.е. контроля целостности (изменений) - нет. А я хочу, что бы был.
Вот пытаюсь разобраться - его вообще нет или его надо где-то доп. настроить.


Цитата:

Ну он теперь контролируется правилами, которые ты показывал на скрине. Попробуй удалить его слабоограниченным и схватишь алерт на разрешение этого действия.

Как выше видно - его вообще не было в правилах. НО!! Его и не появилось после запуска!!!. "его" - того, который в %виндир%. Это вообще почему?


Добавлено:

Цитата:

Возьмём тот же акелпад

Дальше - больше.
Нашел софтину, которую не юзал с 2005 г (5-6 лет выходит). Копирую её каталог в %виндир% - запускаю - КИС молчит. Смотрю - появилась в мало опасных. А софтина-то - управление буфером обмена (CLCL называется)!!! И прекрасно работает - получает данные из буфера и вставляет.. А КИС даже не спрашивает!!! Ни о запуске ни о перехвате буфера..
Что-то меня такая безопасность не радует..

Добавлено:

Цитата:

Но думаю, он дорос уже до уровня KIS 7.0

Ещё чуть-чуть и я под столом буду..
У Оутпоста (древнего причём) - это стандартная функция контроля, у бесплатных конкурентов - тоже, а КИС на такой важный момент кладёт! Кому до кого расти - ещё вопрос.

Тем более, с учётом полной беззащитности до запуска интерфейса, безопасность ПК построенной на КИС мне видится как-то весьма бледной.. (хотя я сам всегда считал продукты ЛК одними из лучших и всегда советовал другим. Но теперь, похоже, будем прощаться)

Добавлено:

Цитата:

Дальше - больше.

Хотите ещё? Получайте.
Копирую в %виндир% софтину (из одного экзешника. тоже ранее ни разу не запускавшуюся). Переименовываю в notepad.exe или в winhlp32.exe или в любой другой (оригинал предварительно забекапив) и быстренько запускаю. И запускается ведь!! КИС молчит. Да, винда быстренько восстанавливает оригинал, но екзешник-то (совершенно другой!!!) спокойно запустился.
Я в осадке, короче. Если в КИС нельзя настроить контроль целостности файлов - это такая дыра, что...

Se_Vlad
На смену хорошим прогерам в лабораторию наняли хороших дизайнеров и менеджеров по продажам. Теперь он красивый, глюканутый и хорошо продаётся.

Se_Vlad, стало чуть-чуть яснее. Ты ошибся в самом начале - Каспер работает с хешами и прикапывает их. Иначе бы он перепроверял одну и туже программу при каждом обращении к ней. Теперь смотри сюда:


Uploaded with ImageShack.us
Это на дефолтных настройках в интерактивном режиме со включенным KSN. Файлы 100% неизвестные, потому что оба только что накатал. Но даже с известным файлом, имеющим цифровую подпись ЛК (их удалятор) я получил этот алерт.

Recursion

Цитата:

Но думаю, он дорос уже до уровня KIS 7.0, где была отдельная такая опция, которую даже я не рисковал включать, т.к. не хотелось при каждом запуске winword кликать на стопицот алертов.

Какие же вы касперята лицемерные!

Цитата:

Каспер работает с хешами и прикапывает их. Иначе бы он перепроверял одну и туже программу при каждом обращении к ней.

НЕ ВЕРЮ!!! (держать в базе хеши миллионов-миллиардов файлов и при каждом обращении к каждому файлу их ВСЕ сверять - это никаких ресурсов не хватит. Надеюсь, ты не станешь отрицать, что имя и расширение файла роли не играют? )

Но даже сли (ВДРУГ) это и так, то в таком случае КИС не должен сообщать о тех файлах которые Я (!) явно(!) ему разрешил раньше. Он же не сообщает и о тех которых я ему не разрешал (не путать с "запрещал" !!).

Recursion - скрин - не зачёт КИС да, может сообщать, но только о том, что по его мнению нужно. А мне нужно контролировать случившиеся изменения в файлах (и запуск тех, которых Я раньше не запускал). А он это не делает.

Что делать? КИС не может это делать?



Цитата:

На смену хорошим прогерам в лабораторию наняли хороших дизайнеров и менеджеров по продажам

+100500
Это проблема не только у ЛК. Это общероссийская (общеукраинская и вообще обще экс-СССРовская) проблема. На заводах и др предприятиях увольняют спецов, а менеджоРы (Р-читать латиницей) из "сорбоно-гарвордов" учат технарей.. НеR-менеджоРы проводят собеседование сисадминам, кодерам, связистам, электрикам тд..

Могу рассказать как KIS проверяет что файл ему знаком или нет. Он запоминает местоположение файла на HDD. Если его переименовать или перетащить в другую папку на этом же разделе - KIS его признает и проверять не будет второй раз, так как на HDD его местоположение не изменится. А вот если создать копию файла с другим именем или в другой папке - то сектор начала файла будет совсем другой, и KIS будет его заново проверять.

Дыра в безопасности Касперского, хакеры налетайте (косяки лаборатории настолько надоели, решил им немного насолить, пусть уволят несколько менеджеров и наймут нормальных прогеров):
Если создать файл на HDD и KIS его проверит, то потом можно переписать тело файла другими данными (чтобы сектора не изменились) и он в упор не будет там ничего видеть, даже если щёлкать по файлу правой кнопкой и делать принудительное сканирование. Проверено - если записать этим методом в уже проверенный фал трояна - KIS даже ухом не поведёт, даже если сканировать принудительно. Чем думают в лаборатории - не понятно.

Вручную это можно сделать обычным HEX-редактором, открыть файл и записать в него другие данные, размер лучше сохранить оригинальный.

Misha1989 всё ещё хуже.

Цитата:

Если его переименовать или перетащить в другую папку на этом же разделе - KIS его признает и проверять не будет второй раз, так как на HDD его местоположение не изменится. А вот если создать копию файла с другим именем или в другой папке - то сектор начала файла будет совсем другой, и KIS будет его заново проверять.

Я даже вообще на другой физический диск переносил - КИС молчит.


Почитай выше мои тесты (особенно последний). КИС вообще не реагирует даже на запуск (и работу!!!) замененных екзешников в %виндир%

Se_Vlad
Цитата:

Я даже вообще на другой физический диск переносил - КИС молчит.

Я брал файл, который детектировался Касперским как троян, и если сделать что я написал выше - он его не видит в упор.

Я думаю в вашем случае Каспер на трояна 100% среагирует. Надо проверять.

Цитата:

Я брал файл, который детектировался Касперским как троян, и если сделать что я написал выше - он его не видит в упор.

вонокакоказывается.. Понятно.
Я не кодер, и для меня влезть в ехешник (с умом) - тёмный лес. Но даже мне понятно, что для вирусописателей подменить (или исправить) системный файл (с сохранением размера и места на винте) - как два пальца об асфальт.
И если КИС это не ловил, не контролирует и не предупреждает - грош цена такой безопасности.. (кто-то там говорил о хешах, а? )

Что-то за последнее время я всё больше вижу подобных ламерских уязвимостей в КИС. То полная неработоспособность до загрузки интерфейса, то "защита" авторана, то это.. Я весь в печали.. юзать продукты ЛК еще с 3-х версий и попадаться на мякине... Я расстроен.. Очень...

Добавлено:

Цитата:

Надо проверять.

проверь - расскажи, плз.

Вот и новый патч добавился:

Se_Vlad, миллионы содержатся в облаке, но я не о том. У себя самого ты запустишь программу, закроешь ее снова и запустишь опять - данные о ней подтянутся их кеша. И слежение за md5, а не за названием, иначе бы вирусы резвились.
А по скринам
Запуск:


Uploaded with ImageShack.us
Изменение:


Uploaded with ImageShack.us

Ошибки наложил сверху. Они появляются когда выбирал запрет.