» Kaspersky Internet Security - KIS (часть 8)

Такой вопрос. В сабже есть помимо прочих фича "Безопасная среда", она же, по простому "песочница". Идея ясна - запускать проги в среде изолированной от физической машины. Абсолютно тоже делают виртуалки(Virtual PC, VMware Workstation и иже с ними).
В виртуалках, знаю не по наслышке, при соотв. настройках изоляция guest-машины от host-машины абсолютная: можете на виртуалке разводить червей, клонировать вирусы и программировать троянов. И вам, т.е. физической машине, ничего не будет.
Насколько хорошо изолирована "Безопасная среда"? Можно ли делать тоже самое в ней?
Т.е. можно ли назвать эту среду "virtual machine-lite"?

стоит КИС 2010 на системе Seven x64 (чистая)
проблема такая, часто начал замечать что обновление может занимать по десятки часов , а размер что смешно даже до 1 Мб не доходит , походу баг , но как исправить ее ? интернет у меня 8Мб/с , так что дело явно не в интернете

Spark

Цитата:

Насколько хорошо изолирована "Безопасная среда"? Можно ли делать тоже самое в ней?
Т.е. можно ли назвать эту среду "virtual machine-lite"?

судя по ряду критических вопросов по этому поводу и сердитых на них ответов, прочитанных мною на форуме касперского, не настолько хорошо. Ответы были все больше в стиле "вы не умеете их готовить", или точнее, "вы не понимаете, зачем мы эту самую среду сделали". В подробности не вдаюсь, да уже их и не помню, однако общий вывод был таков: они сделали ее совсем не для того, чтобы у ей внутре "разводить червей, клонировать вирусы и программировать троянов". Ибо дыры есть.
По большому счету, они ведь правы. Виртуалка - это система в системе. Вирусы и трояны, нацеленные на систему в принципе, ее и получают, только внутреннюю. Отсюда и хорошая изоляция по определению. А песочница - это изолирующий полупроводник, сам по себе системой не являющийся, а транслирующий вызовы вовне. И как бы кто ни рассуждал о его "полной изоляции", рано или поздно он в этом самом вовне все равно окажется. Это если подумать, конечно. Или вы верите в существование магии?

Spark
Цитата:

В сабже есть помимо прочих фича "Безопасная среда", она же, по простому "песочница".

Я все хакерские программы, генераторы ключей и т.д. запускаю в ней, а потом уже сгенерированный ключ ввожу в программу на обычной системе, а песочницу чищу. Это гарантия, что хакеры не оставят после себя след в системе.

НО надо понимать, что из виртуалки Каспера видно все ключи реестра и все файлы в системе, единственное вновь созданные попадают в песочницу, а не по месту назначения.

Из этого следует, что запущенный в виртуалке Каспера файл может легко собрать все пароли с компа и отправить их кому следует, виртуалка этому никак не помешает, но он не сможет заразить файлы в системе и прописаться в автозагрузку. Поэтому на время запуска чего-то подозрительного в виртуалке интернет надо временно отрубить, чтобы предотвратить отправку данных.

Не плохо было бы руководство по отключению компонентов увидеть... или ссылку в шапке на него, если такое уже имеется

Alex_Last
Misha1989

Спасибо, вывод ясен. Если "Безопасная среда" и есть "virtual machine-lite" то очень-очень лайт. Полноценную виртуалку она не заменит. Зато запускается мгновенно. Для слабых ноутов - вариант, считаю. На них полноценная виртуалка может и не стартануть вовсе, а так - хоть какой-то блок от зловредов.

alporto
Отключай из самой программы если надо, можно конечно в реестре ковырять отключив самозащиту
Для отключения компонента, нужно присвоить значение «0» параметру installed в ключе
Анти-Спам
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\Anti_Spam

Родительский контроль
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\ParCtl
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\ParCtlService_Filters
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\ParCtlService_Time
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\ParCtlService_URL
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\ParCtlService_Words

и т.д., другие компоненты где-то там тоже, уже в прошлой части вроде описывали

Включить самозащиту, перезагрузить продукт.

vipvladik
Оно, конечно же, спасибо... но мало!

Вообще планируется оставить
- Файловый антивирус
- Почтовый антивирус
- Веб-антивирус
- IM-антивирус
- Анти-фишинг
- Анти-баннер

вот как бы отключить всё остальное... хотелось бы полный списочек

alporto

Цитата:

Вообще планируется оставить
- Файловый антивирус
- Почтовый антивирус
- Веб-антивирус
- IM-антивирус
- Анти-фишинг
- Анти-баннер

Вот еще HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\ids
- защита от сетевых аттак
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\SW2
- мониторинг активности
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\pdm
- проактивка.

Тогда уж лучше юзать KAV,а не KIS,отключать ничего не придется,а вместо Анти-баннера использовать Adblock Plus.

alporto
Вот ещё

Цитата:

Контроль программ
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Hips
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\HipsTask

Сетевой экран
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\Firewall

Определитель сетей
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\NetWatch

Сниффер
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\NetDetails

vipvladik
strannik727

Спасибо!

Добавлено:

Цитата:

Тогда уж лучше юзать KAV,а не KIS,отключать ничего не придется,а вместо Анти-баннера использовать Adblock Plus.

лицензия-то на KIS ))
но используется только антивирус + Комодо (файерфол и проактивная защита)

Ч/Б список от 26.11.2010 г.

Размер: 91,2 КБ

1filesharing
forum.kaspersky.com

У меня на Yota KIS 2010 напрочь тормозит интернет!!!
На загрузку скорость падает чуть ли не до нуля так, что КИС даже сам себя обновить не может.
После снятия флажка с Kaspersky Anti-Virus NDIS Filter 6 все вроде приходит в норму.
На KIS 2011 Yota работает более менее нормально даже с включенным Kaspersky Anti-Virus NDIS Filter 6.

Выходит KIS 2011 тормозит интернет меньше KIS-а 2010, во всяком случае на Yota?
И есть ли особенность использования KIS на мобильном интернете, в частности на Yota?

И что означает
Цитата:

Крайне не рекомендуется просто отключать использование Kaspersky Anti-Virus NDIS Filter снятием флага в окне свойств Local Area Connection. NDIS Filter переходит в такой режим работы, который может привести к некорректной работе всей операционной системы (например, к падению в "синий экран").

Источник
Что Kaspersky Anti-Virus NDIS Filter нужно только удалять и ни в коем случае не снимать с него галочку?
И насколько он необходим вообще?

У кого нибудь получалось перенести лицензию с реестра х64 битной системы на другую машину?

SAT31

Посмотри здесь:
http://forum.ru-board.com/topic.cgi?forum=55&topic=6668&start=860#11
там то же, только с извлечением ключа регистрации из системы.
А с помощью копирования веток реестра есть в шапке варезника.

Posochov
Цитата:

У меня на Yota KIS 2010 напрочь тормозит интернет!!!

Диагностику сетевых подключений проведите. У вас одновременно два сетевых подключения (или больше) не задействовано?
зы. настройка - сетевой экран - сети - domain naim > локальная сеть. Или удалите созданные там сетевые правила.


Цитата:

насколько он необходим вообще?

Там же всё подробно написано
Цитата:

Как поведет себя приложение после деинсталляции драйвера Kaspersky Anti-Virus NDIS Filter?

Так какая версия сейчас самая стабильная?Для Win7x64?

Цитата:

Так какая версия сейчас самая стабильная?Для Win7x64?

2011?
11.0.1.400
а других официально и нет, если ипонским не владеете-с))

да, не спешат что-то с выходом 11.0.2.556 CF2

Угу, такими темпами можно дождаться выхода 12й версии

Цитата:

11.0.1.400
а других официально и нет

при ее установке предлагает скачать 11.0.1.401

xart
http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=0&limit=1&m=20#1

xart
Цитата:

при ее установке предлагает скачать 11.0.1.401

В шапку давно заглядывали? Ответ буквально над Вашим постом
Цитата:

26. При инсталляции KIS 11.0.1.400 появляется сообщение о наличии обновленной версии KIS 11.0.1.401?

Вопрос поднимался уже не один десяток раз.

Можно добавить в шапку.
Инструкции и утилиты для удаления остатков защитного ПО
Помогает когда касперский ругается на ранее установленные антивирусы.

Kostenko Sergey
Зачем же сторонний ресурс в шапку добавлять? На support.kaspersky всё есть уже - Ссылка , или так - Ссылка

Как всегда радуют "вирусные аналитики" касперчега:
Отослал им на днях файлы (кейген от одной уважаемой группы): так мол и так ложное срабатывание - HEUR:Trojan.Win32.Generic!
Приходит удивительный , по своему лицемерию, ответ: "Это не ложное срабатывание.
Данные файлы упакованы с использованием лицензии, которая находится в черном списке, программы протектора VMProtect."
ЖгутЪ!

P.S. Что уж говорить, после такого ответа, про эту их дебильную приписку:
"Это сообщение или его часть не может быть опубликована в любых
средствах массовой информации, форумах, конференциях и.т.д, без
предварительного разрешения отправителя."
P.P.S Если кто захочет процитировать - цитируйте спокойно, я как "отправитель" разрешаю.

WildGoblin

Цитата:

"Это не ложное срабатывание.
Данные файлы упакованы с использованием лицензии, которая находится в черном списке, программы протектора VMProtect."

Никакого лицемерия. Антивирус не может распаковать файл, накрытый протом VMProtect. Следовательно, понять, что находится внутри, невозможно.

Если бы лицензия прота была валидной - тогда ответственность ложится на обладателя лицензии, которого можно разыскать. Утекшие в паблик краденые ключи отследить, естественно, невозможно.

Отсюда: под протом может быть кейген, созданный крякером и накрытый протом во избежание крадежа алгоритма генерирования ключа другими группами. Понятно, что крякер не будет покупать лицензию на прот.

И совершенно аналогично под протом может быть перепакованный пинч, ZBot, SpyEye и любая другая дрянь.

Так как антивирус распаковать и убедиться, что внутри, не может - он честно предупреждает об этом. Если верите источнику - поставьте исключение и не парьтесь

WildGoblin
Имело бы смысл узнать , что означает HEUR:Trojan.Win32.Generic (HEUR) , а там уж и возмущаться.

gjf

Цитата:

Антивирус не может распаковать файл, накрытый протом VMProtect. Следовательно, понять, что находится внутри, невозможно.

Всё так плохо? (я просто не в теме...)

Цитата:

И совершенно аналогично под протом может быть перепакованный пинч, ZBot, SpyEye и любая другая дрянь.

То есть сигнатурный детект не применим к прогам накрытым VMProtect и эвристик тоже ничего толком не покажет? Надежда только на HIPS?


Цитата:

Никакого лицемерия.

Почему же тогда именно HEUR:Trojan.Win32.Generic?

Добавлено:
NONeTT

Цитата:

Имело бы смысл узнать , что означает HEUR:Trojan.Win32.Generic (HEUR) , а там уж и возмущаться.

Я в курсе что обозначает HEUR:Trojan.Win32.Generic!

WildGoblin

Цитата:

Почему же тогда именно HEUR:Trojan.Win32.Generic?

Наверное, вместо этого ожидалось нечто типа "Меня терзают смутные сомненья" ?
К сожалению, сигнатуры у них сделаны под международный стиль, наверное этот троян женерик как раз смутные сомненья и означает...