» Kaspersky Internet Security - KIS (часть 8)

Сегодня Каспер, мягко говоря, "удивил". во время проверки флешки нашёл вирус - вылез красный балун с рекомендацией "лечить". не вышло. рекомендовал "удалить". тоже не получилось. и тут я упал со стула - появилась трестья рекомендация - "ПРОПУСТИТЬ"!!! потом долго жалел что от опупения не успел скриншот сделать

Recursion
Всё, устал я это читать

Тогда расскажи-ка мне пожалуйста и по пунктам.

1. Когда снимается MD5-хеш? Занятие это для больших файлов - не из быстрых, а потому займёт время. Если в ходе обнюхивания - тогда сколько ж там времени остаётся на эмуляцию и о какой эвристике может идти речь?

2. Почему у меня TheBat и ещё пару-тройку программ, в которых инжекта в помине нет и которые не менялись по полгода с каждым ребутом с вероятностью 60-70% проходят переобнюхивание? Не верится, что MD5 тот же? КСН убит реестром и галками, iSwift и iChecker включены.

С нетерпением жду умного ответа

Вот он: я не знаю. И вообще не понимаю, зачем у меня спрашивать технические тонкости. Ах да, я перестал читать после слов "Когда снимается MD5-хеш?".

Se_Vlad

Цитата:

На заводах и др предприятиях увольняют спецов, а менеджоРы (Р-читать латиницей) из "сорбоно-гарвордов" учат технарей..

Золотые слова! Уважуха прям!

И вспоминаю свой опыт использования КИСы 2011, хотел отметить, что фаервол ведь не работает в интерактивном режимЕ или я недонастроил, он сам анализирует тот или иной выход в инет, чаще всего разрешает (80%), а после запретить можно лишь в настройках, это не шибко хорошо. Помнится вышел StarCraft 2 так при первых таблетках к нему нужно было первый раз запустить игру и запретить ей подключение к серверу дабы не проверяла наличие лицензии и если она проверяет и видит что крякнута, то все-переустанавливай заново!... Вот помню КИС тогда лажал...ведь нет у него "добавить заблокированное приложение"

У вас конечно тут более глобальные дебри, но все же)

Free13man, ты неосилятор. В шапке рассказано, как включить режим обучения.

вот что по патчу "d" на сайте ЛК: Коллеги, нужно провести тестирование хот-фикса d для KAV/KIS 11.0.2.556. Это мелкое исправление, которое затронет лишь определенных пользователей, но приплывет ко всем.

Recursion
Тыкни мне пальцем!

п. 24 приведет тебя к

Цитата:

Раздел 2. Вопросы по взаимодействию с программой, настройкам и проблемам.


Вопрос 1: Я хочу сам(а) принимать решения о разрешении/запрещении сетевой активности приложениям. Как включить режим обучения Сетевого экрана на подобие того, что был в версиях 6.0 и 7.0?

Recursion

Цитата:

Ответ: Идеология работы Сетевого экрана изменилась. Теперь он входит в часть единой системы управления контролем активности приложений. Для включения режима обучения зайдите в настройки Сетевого экрана, нажмите на кнопку Настройка правил..., в появившемся окне выделите название группы Доверенные. Нажмите правой кнопкой мыши на зелёную птичку в колонке Сети и в контекстном меню измените на Запрос действия. Сохраните изменения. Убедитесь, что в настройках продукта у вас отключен автоматический выбор действия, т.е. включен Интерактивный режим (Настройка => вкладка Защита => должна быть снята галочка напротив Выбирать действие автоматически). Теперь Сетевой экран переведён в режим обучения и при обнаружении сетевой активности какого-либо приложения вы получите алерт (информационное окно программы) с соответствующим запросом.

Точно, называется по%бите мозг друзья!
Что же еще более извращенное можно придумать?
Не надо мне отвечать и флудить, каждый при своем мнении.

Если для тебя нажать F1 - это е%ля мозга, то да.

Цитата:

Закладка Правила для программ
Разрешение

Графа, в которой отображается реакция Сетевого экрана при попытке обращения программы или группы программ к сетевому ресурсу.

В таблице ниже приведены условные обозначения действий Сетевого экрана и их значения.

Обозначения действий Сетевого экрана

Misha1989
Цитата:

Если создать файл на HDD и KIS его проверит, то потом можно переписать тело файла другими данными (чтобы сектора не изменились) и он в упор не будет там ничего видеть, даже если щёлкать по файлу правой кнопкой и делать принудительное сканирование

Интересная тема, однако. Особенна интересна если уже проверенные файлы находятся (пардон "находились" ) либо на съемных (или сменных) носителях, либо на сетевых дисках...

refremov
Приплыло с нечто avs.ppl, якобы отвечающее за детект объектов (вообщем, х.з. что).

Добавлено:
Ссылка на базу знаний ЛК

Цитата:

Se_Vlad, миллионы содержатся в облаке, но я не о том. У себя самого ты запустишь программу, закроешь ее снова и запустишь опять - данные о ней подтянутся их кеша. И слежение за md5, а не за названием, иначе бы вирусы резвились.

Recursion
К чему все эти словеса?
У меня несколько предположений
1. До тебя до сих пор не дошло, что есть ещё одна офигительная дыра.
2. Дошло, но лепятся гнилые отмазки.
3. В упор отказываешься признать уязвимость (проделав те абсолютно несложные эксперименты о которые я писал на предыдущей странице)

И не надо мне этих скринов - я уже говорил - я не кодер, а не понимаю что ты там наваял, на что у тебя КИС реагирует. Я делаю простые, всем доступные эксперименты. И вижу, что КИС не отрабатывает как надо (хочешь опровергнуть - потрудись прочитать и повторить хотя бы последний эксперимент (В кач-ве подопытных екзешников возьми разные версии хоть того же акелпада) ).


Цитата:

Вот и новый патч добавился:

Я тупой. А что там?


Цитата:

1. Когда снимается MD5-хеш? Занятие это для больших файлов - не из быстрых, а потому займёт время. Если в ходе обнюхивания - тогда сколько ж там времени остаётся на эмуляцию и о какой эвристике может идти речь?

+1
А с учетом того, что один экзешник при работе поднимает (может поднимать) ещё сотни библиотек и исполняемых файлов (хеши которые тоже нужно найти в якобы существующей невъ%бенной базе. Найти поочередным сравнением "каждого-с каждым"), то.. когда же этим программам работать-то?

Доброе время суток.
Установил КИС 2010 закинул эксплойт, продлил до 2016 года. Через день решил обновиться, обновил антивирус, а КИС не запускается, на другой день снёс, установил КРИСТАЛ, также, закинул эксплойт, продлил, но при перезагрузке компа на другой день антивирус не запустился! Снёс, попытался установить КИС 2011, так он сразу установиться установился, а запускаться не хатит. Кто знает в чём может быть проблема, помогите пжл. Как запустить КИС? Использую WINDOWS SP3

brondingneb
У тебя везде

Цитата:

закинул эксплойт

Скажи, а просто установить не пробовал? Запускается?

Serg_Ivanov

Цитата:

Скажи, а просто установить не пробовал? Запускается?

Что установить, не понял, извините?

brondingneb
Ну ведь это логиично же
Так как эксплойт ты без КИС не установишь, то КИС и Кристал без эксплойта.
Встают они и работают ли, хотя бы в пробном режиме?
Если встают - причина эксплойт. Если нет чисть систему и смотри что мешает их установке.

Serg_Ivanov
Я пользовался КИС 2010 больше года с причинением "куканчика", а тут переустановил ОСь и решил попробовать с использованием эксплойта и начались проблемы которые я описал.
P.S. кстати ось поставил первый раз Windows® XP Sp3 XTreme

Цитата:

Интересная тема, однако. Особенна интересна если уже проверенные файлы находятся (пардон "находились" ) либо на съемных (или сменных) носителях, либо на сетевых дисках...

По описанию похоже на i технологии.

Цитата:

И не надо мне этих скринов - я уже говорил - я не кодер, а не понимаю что ты там наваял, на что у тебя КИС реагирует

На изменение файла. Изменение я выделил в красную рамку. Это реальное _изменение_ файла.

Цитата:

А с учетом того, что один экзешник при работе поднимает (может поднимать) ещё сотни библиотек и исполняемых файлов (хеши которые тоже нужно найти в якобы существующей невъ%бенной базе. Найти поочередным сравнением "каждого-с каждым"), то.. когда же этим программам работать-то?

Бида-бида.
1. Получить хеш подавляющего большинства файлов не так уж и долго.
2. После получения можно и прикопать к кэш

Цитата:

time /T >> f:\log.txt
F:\Tools\sigcheck.exe -e -s "C:\Windows\System32"
time /T >> f:\log.txt

Содержимое log.txt:

Цитата:

20:49
20:56

Итог чуть меньше 10 минут на 2,85 GB (3 070 893 074 bytes) - 16 216 Files. Простейший математический рассчет говорит, что за 1 секунду был получен хеш почти 30 файлов, господа спорящие.

Прошу помощи. Недавноо пользуюсь KIS 2011 после нортона. Меня интересует следующее. Необходимо, чтобы касперский не автоматом решал какую прогу пустить в интернет, А СПРАШИВАЛ ПОЛЬЗОВАТЕЛЯ, что бы я сам принимал решение. Где это настраивается? Я уже разобрался как блокировать выход проги в интернет при помощи этого форума. А вот сейчас потребовалась такая вещь. Заранее спасибо.

nov
F1 в справке. Или в шапке http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=0&limit=1&m=22#1

nov

Цитата:

Необходимо, чтобы касперский не автоматом решал какую прогу пустить в интернет, А СПРАШИВАЛ ПОЛЬЗОВАТЕЛЯ, что бы я сам принимал решение. Где это настраивается?

Я это на предыдущей странице спрашивал. Внизу ищи, я там цитату вставил!

Цитата:

Это реальное _изменение_ файла.

Блин... опять отмазки?
повторяю для слепоглугонемых:


Цитата:

Копирую в %виндир% софтину (из одного экзешника. тоже ранее ни разу не запускавшуюся). Переименовываю в notepad.exe или в winhlp32.exe или в любой другой (оригинал предварительно забекапив) и быстренько запускаю. И запускается ведь!! КИС молчит. Да, винда быстренько восстанавливает оригинал, но екзешник-то (совершенно другой!!!) спокойно запустился.

Сделай это!! Но не с той сранью, которую ты сам пишешь и показываешь нужные тебе скрины, а с любой честной софтиной, но с разными версиями экзешников (для примера я показал акелпад. Ты можешь взять другую)
Если КИС будет сигнализировать при каждом новом изменении экзешника - научи меня как его так настроить. Я же именно этого добиваюсь 3-й день. Но вместо этого.. какие-то нелепости получаю.


Цитата:

Получить хеш подавляющего большинства файлов не так уж и долго.

Сколько по времени на селероне 2,1 с гигом мозгов и запущенным софтом, отъедающим 50-60% памяти и процессора? Сколько (минут, часов, дней) будет получение хешев хотя бы 200 файлов по 2..10..20 мб.

Не буду тебя напрягать - это время измеряется если не часами то десятками минут!!! Дальше, надеюсь, не будешь говорить фигни (и показывать какие-то "результаты", далёкие от реальности).


Цитата:

После получения можно и прикопать к кэш

прикопал и дальше? не тупи - по твоей логике получается: при вызове любого (пофик-известный или нет. Он не известный пока не валидирован) файла их ВСЕ нужно откапывать и в реалтаеме по-очереди сравнивать с каждым из запускаемым. Про время и ресурсы ПК тут вообще спрашивать неуместно.

Короче, признай насчёт хешей ты погорячился и прекратим этот бесполезный трёп Лучше научи как научить КИС реагировать на изменения экзешников (и длл). Если это вообще возможно.

Цитата:

По описанию похоже на i технологии.

Интересна реакция KIS на измененный файл:

1. USB-носитель подключаем\отключаем в процессе работы KIS. На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла.

2.USB-носитель подключаем\отключаем при отключенном KIS. На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла. (И конечно включаем KIS)

3. Данные на USB-носителе модифицируются "на стороне". На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла. Машина, на которой установлен KIS, подключается\отключается только с подключеным накопителем и в процессе работы данный накопитель не подключается\отключается.

4. Сменный HDD (не системный) подключается\отключается по шине PATA\SATA (карман). Модификация "вредоностным кодом" и измение атрибутов файла производится на сторонней машине. Машина с KIS без кармана никогда не запускается.

5. Модификация ранее проверенного KIS-ом файла на сетевом диске при включенном KIS.

6. Модификация ранее проверенного KIS-ом файла на сетевом диске при отключенном KIS. (И конечно включаем KIS).

7.Модификация (сторонним агентом) ранее проверенного KIS-ом файла на сетевом диске при отключенном сетевом диске.

Цитата:

Блин... опять отмазки?

По-моему ты просто не видишь очевидного.

Цитата:

повторяю для слепоглугонемых:

Кажется, я начал понимать проблему человека, который вместо того, чтобы расписать ход действий по шагам, начал меня оскорблять. Ты что, руками копируешь, что ли?
Кстати:

Цитата:

C:\Windows\system32>copy F:\Tools\XVI32.exe C:\Windows\System32\notepad.exe
Access is denied.
0 file(s) copied.

Запустил батник, само-собой, от Админа.
Ну ладно, ты руками копируешь или нет?

Цитата:

Если КИС будет сигнализировать при каждом новом изменении экзешника - научи меня как его так настроить. Я же именно этого добиваюсь 3-й день. Но вместо этого.. какие-то нелепости получаю.

Вот при _каждом_ изменении у меня появлялся бы такой алерт, если бы эти изменения были в защищаемых каталогах. Пока там только доверенные приложения работает, а им по умолчанию можно.

Цитата:

прикопал и дальше?

1. Получил
2. Прикопал
3. ...
4. PROFIT!
Ггг. А на самом деле это дает охрененное ускорение: не нужно некоторое время перепроверять все. Т.е. запустил 1 раз и дальше не трогаешь. И не забудь, что одну либу могут дергать десятки приложений, значит проверено будет только для первой проги, а от остальных проверять не надо.

Цитата:

Сколько по времени на селероне 2,1 с гигом мозгов и запущенным софтом, отъедающим 50-60% памяти и процессора?

Не знаю. Проверить? На работе есть комп еще слабее названного. Конечно, там XP. Ну, проверить или поверишь, что подавляющее большинство хешей получить быстро? Медленно - это получить хеш трехсот метрового sfx архива, но, блин, ты каждый день их распаковываешь? А еще "долго" будет получать хеш инсталлятора ВмВари, но, опять же, каждый день ее ставишь? Ну а про образы дисков говорить нечего, они в хипс не попадают.

Цитата:

Короче, признай насчёт хешей ты погорячился и прекратим этот бесполезный трёп Лучше научи как научить КИС реагировать на изменения экзешников (и длл). Если это вообще возможно.

Короче я попытаюсь тебе показать очевидное. Я вообще не понимаю, кто тебе сказал, что это долго.

cdrom2
Я уже на втором пункте запутался. Все, спать пора.

Устанавливаю пробную версию КИС, устанавливаю эксплойт, всё активируется, но при перезагрузке системы антивирус не запускается. Кто нибудь сталкивался с такой проблемой? Помогите

brondingneb
Цитата:

Устанавливаю пробную версию КИС, устанавливаю эксплойт

Это не сюда, это в тему про эксплойт.

Misha1989

Цитата:

Это не сюда, это в тему про эксплойт.

Де такая тема, я не нашёл?

brondingneb

Цитата:

Де такая тема, я не нашёл?

Шапку почитай. Найдёшь? Ищи вверху экрана.

Проститеза глупый вопрос. Что такое патч b в версии 11.0.2.556.