» Kaspersky Internet Security - KIS (часть 8)

oabox
Не мог найти, тыкните меня носом, если Вас не затруднит.

brondingneb
Прежде чем там спрашивать - почитай, всё уже пережевано.
KIS/KAV/WKS/FS Key Exploit (бывший Blacklist Exploit) (ч.3)

oabox

Цитата:

Прежде чем там спрашивать - почитай, всё уже пережевано.

само собой
Мерси

nov

Цитата:

Что такое патч b в версии 11.0.2.556

вы удивитесь ответу, но это патч b для версии 11.0.2.556, причем он уже включен в нее...

Извините я имел ввиду вопрос для чего он нужен (патч b). Может просто работать на предыдущей версии без него. Извините за офтоп.

nov

Цитата:

...для чего он нужен

исправляет старые баги, добавляет новые...

Цитата:

Может просто работать на предыдущей версии без него

если вы имели ввиду - 11.0.1.400 CF1, то этот авто-патч придет все равно с обновлениями...

Цитата:

Кажется, я начал понимать проблему человека, который вместо того, чтобы расписать ход действий по шагам, начал меня оскорблять. Ты что, руками копируешь, что ли?

О майн гот..
Я 5 раз подробно расписал что делал.. Уже и не знаю как ещё донести мысль.
Да, в данном случае я копирую руками. Но сознательно ли я это делаю через тоталкомадир\проводник или же он меняется при обновлении сетапером, или же хитрый вирус его изменил - не важно. Важно то, что он изменён! И хочу что бы КИС меня предупредил об этом. Хочу, чтобы КИС спрашивал при запуске любого нового файла. Что не ясно?
(тут "новый" - тот, что Я ни разу не запускал, а не "вообще неизвестный касперу")

Если ты утверждаешь что КИС реагирует на каждое изменение экзешника - научи меня как его настроить. Ведь именно с этого вопроса 5-ти дневной давности всё и "закрутилось". Но ответа до сих пор нет. Зато есть куча сказок..


Цитата:

Я вообще не понимаю, кто тебе сказал, что это долго.

Потому как считал хеши

Про остальное я устал спорить.. ты игнорируешь доводы, рассказываешь какие-то половинчато-поверхностные сказки...
Да в общем, оно мне не особо и интересно - мне важно разобраться с основной задачей.. Мб потом вернёмся к хешам..

Se_Vlad
C кем ты споришь?

Цитата:

я не знаю. И вообще не понимаю, зачем у меня спрашивать технические тонкости. Ах да, я перестал читать после слов "Когда снимается MD5-хеш?".

gjf

Цитата:

C вирусами - обращайтесь, поможем!

ты их продаешь что ли ?..

gjf

Цитата:

C кем ты споришь?

Да я обратил внимание ещё тогда но я лелею (лелеял точнее) надежду, что это он сгоряча так сказал.. (у всех же бывает), проспится-одумается..
Да и в общем-то мои "корыстные" цели немного в другом ракурсе..

SergeyGolubev,

Цитата:

ты их продаешь что ли ?..

не надо паясничать. Линк-то на рубордовский топик ведёт. Не думаю, что ты не знаешь о чем там речь (про личность gjfа я уже промолчу. Кто знает - тот знает )

Se_Vlad
SergeyGolubev

Цитата:

ты их продаешь что ли ?..

Пишите в личку - договоримся

Цитата:

Да, в данном случае я копирую руками. Но сознательно ли я это делаю через тоталкомадир\проводник или же он меняется при обновлении сетапером, или же хитрый вирус его изменил - не важно.

Важно, принципиально важно. В этом твоя ошибка. Вредонос не имеет прав Проводника, пока ты сам специально ему этого не дашь. ХИПС работает по системе наследования ограничений. Т.е. вредонос не сможет использовать права Проводника для копирования, он отдаст Проводнику свои ограничения. Понял?

Цитата:

Потому как считал хеши

У чего? У архивов, которые вообще не нужны?

Цитата:

C кем ты споришь?

Угу. Одно дело спорить об известном, а другое спрашивать тонкости работы KIS. Получить md5 файла сможешь и ты, а вот узнать, как это делается в KISе... Это вообще вопросы разных уровней.

nov Если не секрет почему ушёл с Нортона?

http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=900#10

Recursion
Цитата:

Я уже на втором пункте запутался. Все, спать пора.

Скажу проще.
Имеется ПК со съемным винтом (без "системы"). Подключение этого винта через интерфейс PATA или SATA.
Без этого винта ПК никогда не запускается.
Все его каталоги защищены KIS-ом и ранее они им проверялись.

Действия :
Снимаем винт. На другой машине "модифицируем" данные на этом винте. Устанавливаем винт обратно на машину с KIS и включаем её.

Часть файлов буде проверена, часть нет - механизмы i защищен патентами и закрыт договорами о не разглашении. Только для чего так извращаться, лично мне не понятно. Это сознательно нужно выдернуть винт, воткнуть в зараженный комп, а потом воткнуть обратно.

Цитата:

Важно, принципиально важно. В этом твоя ошибка. Вредонос не имеет прав Проводника, пока ты сам специально ему этого не дашь. ХИПС работает по системе наследования ограничений. Т.е. вредонос не сможет использовать права Проводника для копирования, он отдаст Проводнику свои ограничения. Понял?

епстудей!!
Тебе надо рассказывать о наследовании\передачи прав? Надо говорить что доверенное ПО (тот же ИЕ, проводник) может передать права софтине, изменяющей экшешники?!!!

Кроме того я тебе уже 5 раз повторил о смене версий (и каким механизмом это будет сделано - пофик. Ибо этот "механизм" по любому будет доверенный. Но только я могу об этом не знать. А я хочу. Когда же до тебя это дойдёт?)

Нда... Я о тебе был немного более лучшего мнения..


Цитата:

Вредонос не имеет прав Проводника

Это вообще... самомнение или тупость?


Цитата:

а вот узнать, как это делается в KISе

увиливаешь.. не как, а когда. И главное - что дальше? перечитай вопрос gjfа.

Я тут переночевав, подумал ещё об одной "детали":

Цитата:

Итог чуть меньше 10 минут на 2,85 GB (3 070 893 074 bytes) - 16 216 Files.

опустив ранее говоренное остановлюсь на маааленьком моменте - 10 мин. Это считал хеши (1)ты (2)на мощном (3) не нагруженном ПК (4)только каталог винды.
Опять открою тебе глаза - охранять файлы надо не только в виндир-е. Охранять нужно все (ну ок, почти все ). В тч и svx-архивы.

Предположим, КИС хранит хеши всех файлов. Но при доступе к любому файлу нужно найти его хеш и сравнить с тем, что в базе. А если его имя\расположение изменено?
А этот любой файл с собой тянет ещё 2 десятка библиотек, которые тоже надо проверить...

В общем, подводя итог - у КИС нет контроля целостности файлов.


Цитата:

Часть файлов буде проверена, часть нет - механизмы i защищен патентами и закрыт договорами о не разглашении.

)) понеслась
Recursion, ладно ты вчера засыпал, но сегодня-то вопросы cdrom2а никуда не делись. и он даже второй раз ссылку на них поставил.


Цитата:

Это сознательно нужно выдернуть винт, воткнуть в зараженный комп, а потом воткнуть обратно

афигеть, дайте две!!! Recursion, иногда лучше жевать..
А что, переносный винты не вставляются в другие (зараженные) ПК? И что, эти ПК не могут модифицировать файлы на этом переносном винте? Однако..

facepalm.jpg

Цитата:

Надо говорить что доверенное ПО (тот же ИЕ, проводник) может передать права софтине, изменяющей экшешники?!!!

Довение _не_ передается. Потому я использовал батники - они слабоограниченны и передают cmd cвои ограничения. Когда ты сам делаешь подмену, то это выполняется с правами explorer.exe = нет ограничений. Поучи матчасть.

Цитата:

Это вообще... самомнение или тупость?

Это логика работы HIPS.

Цитата:

опустив ранее говоренное остановлюсь на маааленьком моменте - 10 мин. Это считал хеши (1)ты (2)на мощном (3) не нагруженном ПК (4)только каталог винды.

1. речь шла о хешах
2. посчитай ты, блин. Я для кого указал содержание батника? Чтобы ты своими руками запустил у себя и своими же глазами все увидел.
3. У меня не мощный ПК по современным меркам. Но все это относительно. И плюс я обещал проверить на слабом, не так ли?
3. Только system32 со всеми подкаталогами, вообще-то. Но какая разница? Скорость будет примерной такой же для всего. Реальная просадка будет только на _больших_ файлах.

Цитата:

Опять открою тебе глаза - охранять файлы надо не только в виндир-е. Охранять нужно все (ну ок, почти все ). В тч и svx-архивы.

Твое ЧСВ не знает границ. Я уже несколько раз тебе сказал, как защитить вообще все.

Цитата:

Предположим, КИС хранит хеши всех файлов. Но при доступе к любому файлу нужно найти его хеш и сравнить с тем, что в базе. А если его имя\расположение изменено?
А этот любой файл с собой тянет ещё 2 десятка библиотек, которые тоже надо проверить...

1. Насрать на имя и расположение. Есть md5.
2. Назови мне 5 программ, которые ты запускаешь каждый день, которые тянут 2 десятка либ, но при этом эти 2 десятка либ будут уникальный для каждой программы.

Цитата:

Recursion, ладно ты вчера засыпал, но сегодня-то вопросы cdrom2а никуда не делись. и он даже второй раз ссылку на них поставил.

Я уже ответил на него.
афигеть, дайте две!!! Recursion, иногда лучше жевать..

Цитата:

А что, переносный винты не вставляются в другие (зараженные) ПК? И что, эти ПК не могут модифицировать файлы на этом переносном винте? Однако..

Откуда мне знать, как делают альтернативно одаренные личности? Они могут и об стол стучать этими винтами, ни то что пихать их в зараженные компы.
А только если бы все было так, как ты заявляешь, эпидемии бы ходили пачками, а Каспер бы не палил заразу на флешках вообще.

Задрал, блин. Научись с людьми общаться без наездов, ага.

Se_Vlad

Цитата:

Вредонос не имеет прав Проводника

Там логика такая: explorer.exe - родительский процесс, передающий ограничения, разрешения не передаются. Разрешения назначаются в результате анализа обнюхивателем - и тут-то и загвоздка, потому как однозначно сказать, как он работает, не может никто. Да, подписанные проги - всегда доверенные, да проги с детектом - всегда недоверенные, но реальные случаи без подписи и без детекта обычно получают статус слабых ограничений после дооооолгих размышлений неизвестно о чём

Вопрос в том, что под админом сделать эскалацию прав вообще не проблема, то есть я легко могу от LocalSystem, запустить что угодно. Как на это отреагирует Каспер - вопрос. Попробуйте сами:
Способ 1:

Код: at 11:05 /interactive cmd.exe

Цитата:

потому как однозначно сказать, как он работает, не может никто

Олег Зайцев может

Цитата:

Да, подписанные проги - всегда доверенные

Обычно да, но не всегда. Они по KSN могут отзывать доверие подписям.

Цитата:

Вопрос в том, что под админом сделать эскалацию прав вообще не проблема, то есть я легко могу от LocalSystem, запустить что угодно. Как на это отреагирует Каспер - вопрос

Выполнение at передаст ограничение того, кто его вызвал. Т.е. если есть контроль создания задачи для планировщика, то будет алерт. Проверять вот прям сейчас нет времени, но можно. А создание службы даст алерт 100%, это я проверял еще хренти когда. И речь об интерактивном режиме, конечно.

Цитата:

Задрал, блин. Научись с людьми общаться без наездов, ага.

А ты или не съезжай или признавай, что не вкусе\КИС не умеет.

Всё что ты написал - это очередной съезд с немереной самоуверенность, ленью вникнуть и даже глупостью.
О передаче-наследовании прав знает любой мало-мальски грамотный юзер. (То, какие изменения произошли после Висты - мы сейчас не говорим. Равно как и о защите средствами самой ОС. Мы говорим только о КИС!).

Ты постоянно игноришь те очевидные факты (хоть те же "эксперименты"). И не просто игноришь, а подменяешь своими.


Цитата:

Я уже несколько раз тебе сказал, как защитить вообще все.

То, что ты показал - оно не будет работать! Потому как защиты нет даже в виндир с дефлтными правилами (это я показал на простейших экспериментах).
А кроме того, если верить тому, что ты рассказал про хеши и сделать так, как ты сказал - то я несколько дней буду ждать пока КИС прочитает хеши 2-х полу-гектарных винтов. И опять же - если тебе верить - он не все файлы возмёт, а только те, которые посчитает нужными. И уже точно не будет предупреждать меня об их изменении.

Я тебе уже почти неделю толкую, что я хочу знать, что файлы изменились (и пофик как\чем это было сделано), а ты мне все "зловреды не могут, зловреды не могут" (то что могут я даже говорить не хочу). Я тебе про Фому, ты мне про Ерёму..
Вот как тебя назвать?

И да, всё хочу спросить - Recursion = Maratka?

Recursion

Цитата:

Олег Зайцев может

Он что, эмулятор Кибера засунул в КИС, а не только в автодятла? Это сильно пугает.

Цитата:

Они по KSN могут отзывать доверие подписям.

Знаю-знаю... Привет Стухнету и Зевсу.

Цитата:

Выполнение at передаст ограничение того, кто его вызвал. Т.е. если есть контроль создания задачи для планировщика, то будет алерт. Проверять вот прям сейчас нет времени, но можно. А создание службы даст алерт 100%, это я проверял еще хренти когда. И речь об интерактивном режиме, конечно.

Очень надеюсь.

Цитата:

О передаче-наследовании прав знает любой мало-мальски грамотный юзер.

Значит ты - не грамотный.

Цитата:

То, что ты показал - оно не будет работать! Потому как защиты нет даже в виндир с дефлтными правилами (это я показал на простейших экспериментах).

Ты САМ САМ САМ САМ САМ САМ САМ подменил файлы. А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага. Как до тебя это до сих пор не дошло?

Цитата:

А кроме того, если верить тому, что ты рассказал про хеши и сделать так, как ты сказал - то я несколько дней буду ждать пока КИС прочитает хеши 2-х полу-гектарных винтов. И опять же - если тебе верить - он не все файлы возмёт, а только те, которые посчитает нужными. И уже точно не будет предупреждать меня об их изменении.

FFFFFFUUUUUUUUUUUUUUU!!!!!
Ну нельзя быть таким. НАХЕРА брать и считать хеши? КИС - это не тулза для проверки цифровых подписей. Надо считать - возьми специализированные тулзы, а КИС этим не занимается. Если, конечно, ты не запускаешь эти программы каждый день.
А для того, чтобы увидеть изменение не обязательно знать хеш - нужно видеть попытку ОБРАЩЕНИЯ к файлу. Если, конечно, ты никогда не трогал файл и изменил его с другого компа, то КИС не будет знать оригинал и не заметит изменения. Но, блин, это уже какой-то писец. А если это был вирус (в смысле заразил), то сигнатурный детект до сих пор не отменен.

Цитата:

И да, всё хочу спросить - Recursion = Maratka?

Да кем только меня не называли тут. Я - механик Вася. Этого достаточно, а то этот клоун пивной опять начнет свои дешевые понты колотить.

Цитата:

Значит ты - не грамотный.

Цитата:

Ты САМ САМ САМ САМ САМ САМ САМ подменил файлы. А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага. Как до тебя это до сих пор не дошло?

Во первых. Да САМ!!! Я тебе это постоянно и говорю. Я хочу когда запускается новый или изменённый (пофик кем!!!!) экзешник (как минимум) КИС меня предупредил. И пофик - подписанный он или нет (ну не доверяю я подписям ) - всё равно ХОЧУ УВИДЕТЬ АЛЕРТ!!! Именно это я и добиваюсь от тебя (точнее то КИС).

Во вторых. Ок, я не грамотный. Объясни мне тупому, какая разница (в правах): то ли я в тоталкомандере нажал F5 (вызвав модуль копирования), то ли вызванная мной же софтина из того же тотала скопировала (заменила) другой файл (в виндире ли или где ещё - не важно).

И повторю для нежелающих понимать. Эту софтину (не из видра и да не из программфилес, а скажем с D:\Soft\SuperTools\) я раньше запускал. КИС её знает. Но вот я нашел новую (другую версию) и заменил "известную КИСу". Почему КИС молчит? (а вдруг это не я лично заменил, а мне через РАдмин \ удалённым доступом. Или она в локалке или на съёмном винте). Я хочу, чтобы КИС (как средство защиты) меня предупредил об этом.

Что не ясно? А ты всё съезжаешь..

Добавлено:
Еще.

Цитата:

А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага.

Во первых с чего ты решил, что это надо? С какого перепугу это должна делать софтина без подписи. (да и вообще причем тут подпись)
Во вторых - я не о реакции на батник (или др софт), "чего-то там делающий" толкую. Мне надо реакцию на изменённый файл.
А её нет!!

Se_Vlad

Цитата:

Во вторых - я не о реакции на батник (или др софт), "чего-то там делающий" толкую. Мне надо реакцию на изменённый файл.
А её нет!!

может уже стоит подвести итог?
Вы нашли ручной сценарий обхода некоторых проверок касперским. Лаборатория и часть местных подписчиков считают, что можно обойтись без обработки таких сценариев, поскольку в реальной жизни они "зловредами" не активируются. Каждый пребывает и будет пребывать при своем мнении, напиши вы здесь пару сообщений, или пару сотен сообщений. Ничего не изменится. Продолжительный спор занявший уже несколько страниц, толком никуда не ведет. Будем писать дальше?
Это вполне понятно, что вы хотите того, чего не можете найти в касперском. Пробовать найти то, где это есть, не станете? Или мечта - это когда о ней мечтательно говорят, а достижение мечты ее убивает, и потому продолжим?...

Во первых. Да САМ!!!
На этом нужно завершить. Каспер почти не защищает пользователя от действий пользователя. Если желаешь контролировать вообще все, то перенеси winlogon.exe, userinit.exe и explorer.exe в таблице HIPS в ограниченные. Нарекают тебе тормоза и сотни алертов.

Цитата:

Во вторых. Ок, я не грамотный. Объясни мне тупому, какая разница (в правах): то ли я в тоталкомандере нажал F5 (вызвав модуль копирования), то ли вызванная мной же софтина из того же тотала скопировала (заменила) другой файл (в виндире ли или где ещё - не важно).

Разницу в правах увидишь в группах "Доверенные" и ограниченные. Когда ты сам работаешь с файлом (копируешь, заменяешь), то это делает explorer.exe. Когда ты запускаешь вирус, то модифицирует файлы вирус. Тебе видео записать, где unreal commander будет играть роль вредоноса и пытаться удалить/заменить защищаемые файлы (троян), а также попытается их модифицировать (вирус)?

Цитата:

может уже стоит подвести итог?
Вы нашли ручной сценарий обхода

Итог - не знание матчасти.

Цитата:

Вы нашли ручной сценарий обхода некоторых проверок касперским.

Иными словами - "А я не ожидал, что юзер (софт у юзера) так себя поведёт, поэтому защитить не могу" . Да?
А я ведь ничего "эдакого" не делал. Я выполнил стандартную процедуру - обновил версию екзешника. А эта новая версия в "реальной жизни" может оказаться:
а) замененной кем угодно (про удалённый доступ и сетевые-переносные диски я уже говорил)
б) вовсе не новой версией, а со встроенным бекдором например.

И эта.. соц инженерию еще не отменили - меня просто обманули и я да, САМ поменял. При этом "нашил ручной сценарий обхода некоторых проверок касперским". (я продолжу - "и САМ занёс заразу, а КИС этого не понял и разрешил")
Ну что сказать и таком уровне безопасности...

Съезжать не надо - я пытаюсь защититься не от причин (они не важны в данном случае - это совсем другой аспект), а от последствий.


Цитата:

Итог - не знание матчасти

Итог - тот же древний 6-й Оутпост (который "не дорос" до КИС 7 ) без всяких заморочек (чекбокс есть спецательный) это делает на раз.
В КИС же: "мы этого не ожидали"..

Вот такой итог.

Se_Vlad

Не знаю как у вас, но когда я на прошлой недели при выключеном касперском поменял exe файл, то при включении и при обращении к файлу касперский спросил меня розрешения на запуск.

Имя файлов одинаково, касперский стоит на ручном управлении.

Se_Vlad

Цитата:

Итог - тот же древний 6-й Оутпост (который "не дорос" до КИС 7 ) без всяких заморочек (чекбокс есть спецательный) это делает на раз.

Да почти на все 100 уверен, что убери у кисы опции iSwift и второе что-то там рядом, убери смарт анализ файлов, и так далее, и будет он проверять и это, ценой диких тормозов и тому подобных пост эффектов. Разговор не об этом. Нравится Оутпост - пользуем оутпост. От неумеренной болтовни здесь разработчики кисы ничего не сделают. Есть специальные места, где можно задать вопрос разработчикам. Если рассматривать всю тягомотину на эту тему здесь - ну да, некоторая попытка антирекламы продукту, но спасибо, вы уже все анти-отрекламировали, задача выполнена. Сколько еще можно толочь воду в ступе без всякого ожидаемого результата?
Людей, выбравших себе кису осознанно, ваши разговоры не смущают, просто раздражает бесполезность заполнения этим нескончаемым переливанием из пустого в порожнее почтовых ящиков.

Цитата:

Я выполнил стандартную процедуру - обновил версию екзешника. А эта новая версия в "реальной жизни" может оказаться:
а) замененной кем угодно (про удалённый доступ и сетевые-переносные диски я уже говорил)
б) вовсе не новой версией, а со встроенным бекдором например.

И поднимется запрос на запуск, если ты включешь это в KIS. Скриншот я показывал.

Примечательно, что как только я указываю на конкретные вещи, ты сразу забываешь про это.
ddddddima
Все верно, изменился хеш файла.


Добавлено:
Проверил на XP. Машина: P4 2,6 GHz/768 MB. Нагрузка ЦП была 77% в минимуме и 100% в максимуме, средняя примерно 94% (бОльшую часть времени крутилась у этой цифры). По-моему все круто. Результаты:

Цитата:

15:58
16:08

Каталог System32 весит 1,25 GB (1 349 184 932 bytes). В нем 6 434 Files.
Делаем расчет:
6430/10/60=10,71(6). Т.е. за одну секунду при загрузке проца почти 100% был получен хеш 10 файлов.
Ты же переживал за сраные 20 файлов у программы (при этом не назвав мне 5 программ, как я предложил). Т.е. просадка при нагрузке ~100% на ее запуск будет ~2 секунды.

Recursion
Эффективно ли обнюхивание вообще? Вопрос возник в связи с понятием "подделка контрольных сумм" и "коллизия контрольных сумм".