» Kaspersky Internet Security - KIS (часть 8)

Цитата:

Неизвестный по KSN?

KSN тоже отключён. Так что для моего КИС он не знаком. Должен быть. Но если он в каких-то дефолтных базах, тогда да КИС должен его знать. Но это всё равно абсолютно не важно. Я хочу добиться элементарной безопасности - контроля изменений екзешников. И не важно есть он в базе или нет. Запустился новый екзешник - предупреди меня! Изменился - опять сигнализируй! Именно так отрабатывал Оутпост (я при переходе на КИС11 его снёс).


Цитата:

Не понял фразы. Какой знакомый, куда кинул, какую версию. Ты пошагово распиши, что делал.

Ок. "Моя" терминология:
"Знакомый" - известный КИС. Тот фай который я ранее запускал и КИС знает о нём.

Возьмём тот же акелпад. Я его запускаю по 150 раз на дню. Но лежит он у меня в каталоге тоталкоммандера, который сам находится в программфилес.
Беру и каталога тотала копирую екзешник в %виндир%. За пускаю - КИС молчит. Ну ладно, думаю, этот же экзешник ему знаком (хотя откуда КИСу знать что это именно копия известного - он же хеши не хранит и не сравнивает при обращении.). Ладно, вместо "вероятно известного" екзешника из архива достаю древнюю-древнюю версию (3-х летней давности) - копирую в %виндир% (заменяю известный!!!) и запускаю. Всё ОК - КИС спит. Т.е. контроля целостности (изменений) - нет. А я хочу, что бы был.
Вот пытаюсь разобраться - его вообще нет или его надо где-то доп. настроить.


Цитата:

Ну он теперь контролируется правилами, которые ты показывал на скрине. Попробуй удалить его слабоограниченным и схватишь алерт на разрешение этого действия.

Как выше видно - его вообще не было в правилах. НО!! Его и не появилось после запуска!!!. "его" - того, который в %виндир%. Это вообще почему?


Добавлено:

Цитата:

Возьмём тот же акелпад

Дальше - больше.
Нашел софтину, которую не юзал с 2005 г (5-6 лет выходит). Копирую её каталог в %виндир% - запускаю - КИС молчит. Смотрю - появилась в мало опасных. А софтина-то - управление буфером обмена (CLCL называется)!!! И прекрасно работает - получает данные из буфера и вставляет.. А КИС даже не спрашивает!!! Ни о запуске ни о перехвате буфера..
Что-то меня такая безопасность не радует..

Добавлено:

Цитата:

Но думаю, он дорос уже до уровня KIS 7.0

Ещё чуть-чуть и я под столом буду..
У Оутпоста (древнего причём) - это стандартная функция контроля, у бесплатных конкурентов - тоже, а КИС на такой важный момент кладёт! Кому до кого расти - ещё вопрос.

Тем более, с учётом полной беззащитности до запуска интерфейса, безопасность ПК построенной на КИС мне видится как-то весьма бледной.. (хотя я сам всегда считал продукты ЛК одними из лучших и всегда советовал другим. Но теперь, похоже, будем прощаться)

Добавлено:

Цитата:

Дальше - больше.

Хотите ещё? Получайте.
Копирую в %виндир% софтину (из одного экзешника. тоже ранее ни разу не запускавшуюся). Переименовываю в notepad.exe или в winhlp32.exe или в любой другой (оригинал предварительно забекапив) и быстренько запускаю. И запускается ведь!! КИС молчит. Да, винда быстренько восстанавливает оригинал, но екзешник-то (совершенно другой!!!) спокойно запустился.
Я в осадке, короче. Если в КИС нельзя настроить контроль целостности файлов - это такая дыра, что...

Se_Vlad
На смену хорошим прогерам в лабораторию наняли хороших дизайнеров и менеджеров по продажам. Теперь он красивый, глюканутый и хорошо продаётся.

Se_Vlad, стало чуть-чуть яснее. Ты ошибся в самом начале - Каспер работает с хешами и прикапывает их. Иначе бы он перепроверял одну и туже программу при каждом обращении к ней. Теперь смотри сюда:


Uploaded with ImageShack.us
Это на дефолтных настройках в интерактивном режиме со включенным KSN. Файлы 100% неизвестные, потому что оба только что накатал. Но даже с известным файлом, имеющим цифровую подпись ЛК (их удалятор) я получил этот алерт.

Recursion

Цитата:

Но думаю, он дорос уже до уровня KIS 7.0, где была отдельная такая опция, которую даже я не рисковал включать, т.к. не хотелось при каждом запуске winword кликать на стопицот алертов.

Какие же вы касперята лицемерные!

Цитата:

Каспер работает с хешами и прикапывает их. Иначе бы он перепроверял одну и туже программу при каждом обращении к ней.

НЕ ВЕРЮ!!! (держать в базе хеши миллионов-миллиардов файлов и при каждом обращении к каждому файлу их ВСЕ сверять - это никаких ресурсов не хватит. Надеюсь, ты не станешь отрицать, что имя и расширение файла роли не играют? )

Но даже сли (ВДРУГ) это и так, то в таком случае КИС не должен сообщать о тех файлах которые Я (!) явно(!) ему разрешил раньше. Он же не сообщает и о тех которых я ему не разрешал (не путать с "запрещал" !!).

Recursion - скрин - не зачёт КИС да, может сообщать, но только о том, что по его мнению нужно. А мне нужно контролировать случившиеся изменения в файлах (и запуск тех, которых Я раньше не запускал). А он это не делает.

Что делать? КИС не может это делать?



Цитата:

На смену хорошим прогерам в лабораторию наняли хороших дизайнеров и менеджеров по продажам

+100500
Это проблема не только у ЛК. Это общероссийская (общеукраинская и вообще обще экс-СССРовская) проблема. На заводах и др предприятиях увольняют спецов, а менеджоРы (Р-читать латиницей) из "сорбоно-гарвордов" учат технарей.. НеR-менеджоРы проводят собеседование сисадминам, кодерам, связистам, электрикам тд..

Могу рассказать как KIS проверяет что файл ему знаком или нет. Он запоминает местоположение файла на HDD. Если его переименовать или перетащить в другую папку на этом же разделе - KIS его признает и проверять не будет второй раз, так как на HDD его местоположение не изменится. А вот если создать копию файла с другим именем или в другой папке - то сектор начала файла будет совсем другой, и KIS будет его заново проверять.

Дыра в безопасности Касперского, хакеры налетайте (косяки лаборатории настолько надоели, решил им немного насолить, пусть уволят несколько менеджеров и наймут нормальных прогеров):
Если создать файл на HDD и KIS его проверит, то потом можно переписать тело файла другими данными (чтобы сектора не изменились) и он в упор не будет там ничего видеть, даже если щёлкать по файлу правой кнопкой и делать принудительное сканирование. Проверено - если записать этим методом в уже проверенный фал трояна - KIS даже ухом не поведёт, даже если сканировать принудительно. Чем думают в лаборатории - не понятно.

Вручную это можно сделать обычным HEX-редактором, открыть файл и записать в него другие данные, размер лучше сохранить оригинальный.

Misha1989 всё ещё хуже.

Цитата:

Если его переименовать или перетащить в другую папку на этом же разделе - KIS его признает и проверять не будет второй раз, так как на HDD его местоположение не изменится. А вот если создать копию файла с другим именем или в другой папке - то сектор начала файла будет совсем другой, и KIS будет его заново проверять.

Я даже вообще на другой физический диск переносил - КИС молчит.


Почитай выше мои тесты (особенно последний). КИС вообще не реагирует даже на запуск (и работу!!!) замененных екзешников в %виндир%

Se_Vlad
Цитата:

Я даже вообще на другой физический диск переносил - КИС молчит.

Я брал файл, который детектировался Касперским как троян, и если сделать что я написал выше - он его не видит в упор.

Я думаю в вашем случае Каспер на трояна 100% среагирует. Надо проверять.

Цитата:

Я брал файл, который детектировался Касперским как троян, и если сделать что я написал выше - он его не видит в упор.

вонокакоказывается.. Понятно.
Я не кодер, и для меня влезть в ехешник (с умом) - тёмный лес. Но даже мне понятно, что для вирусописателей подменить (или исправить) системный файл (с сохранением размера и места на винте) - как два пальца об асфальт.
И если КИС это не ловил, не контролирует и не предупреждает - грош цена такой безопасности.. (кто-то там говорил о хешах, а? )

Что-то за последнее время я всё больше вижу подобных ламерских уязвимостей в КИС. То полная неработоспособность до загрузки интерфейса, то "защита" авторана, то это.. Я весь в печали.. юзать продукты ЛК еще с 3-х версий и попадаться на мякине... Я расстроен.. Очень...

Добавлено:

Цитата:

Надо проверять.

проверь - расскажи, плз.

Вот и новый патч добавился:

Se_Vlad, миллионы содержатся в облаке, но я не о том. У себя самого ты запустишь программу, закроешь ее снова и запустишь опять - данные о ней подтянутся их кеша. И слежение за md5, а не за названием, иначе бы вирусы резвились.
А по скринам
Запуск:


Uploaded with ImageShack.us
Изменение:


Uploaded with ImageShack.us

Ошибки наложил сверху. Они появляются когда выбирал запрет.

Сегодня Каспер, мягко говоря, "удивил". во время проверки флешки нашёл вирус - вылез красный балун с рекомендацией "лечить". не вышло. рекомендовал "удалить". тоже не получилось. и тут я упал со стула - появилась трестья рекомендация - "ПРОПУСТИТЬ"!!! потом долго жалел что от опупения не успел скриншот сделать

Recursion
Всё, устал я это читать

Тогда расскажи-ка мне пожалуйста и по пунктам.

1. Когда снимается MD5-хеш? Занятие это для больших файлов - не из быстрых, а потому займёт время. Если в ходе обнюхивания - тогда сколько ж там времени остаётся на эмуляцию и о какой эвристике может идти речь?

2. Почему у меня TheBat и ещё пару-тройку программ, в которых инжекта в помине нет и которые не менялись по полгода с каждым ребутом с вероятностью 60-70% проходят переобнюхивание? Не верится, что MD5 тот же? КСН убит реестром и галками, iSwift и iChecker включены.

С нетерпением жду умного ответа

Вот он: я не знаю. И вообще не понимаю, зачем у меня спрашивать технические тонкости. Ах да, я перестал читать после слов "Когда снимается MD5-хеш?".

Se_Vlad

Цитата:

На заводах и др предприятиях увольняют спецов, а менеджоРы (Р-читать латиницей) из "сорбоно-гарвордов" учат технарей..

Золотые слова! Уважуха прям!

И вспоминаю свой опыт использования КИСы 2011, хотел отметить, что фаервол ведь не работает в интерактивном режимЕ или я недонастроил, он сам анализирует тот или иной выход в инет, чаще всего разрешает (80%), а после запретить можно лишь в настройках, это не шибко хорошо. Помнится вышел StarCraft 2 так при первых таблетках к нему нужно было первый раз запустить игру и запретить ей подключение к серверу дабы не проверяла наличие лицензии и если она проверяет и видит что крякнута, то все-переустанавливай заново!... Вот помню КИС тогда лажал...ведь нет у него "добавить заблокированное приложение"

У вас конечно тут более глобальные дебри, но все же)

Free13man, ты неосилятор. В шапке рассказано, как включить режим обучения.

вот что по патчу "d" на сайте ЛК: Коллеги, нужно провести тестирование хот-фикса d для KAV/KIS 11.0.2.556. Это мелкое исправление, которое затронет лишь определенных пользователей, но приплывет ко всем.

Recursion
Тыкни мне пальцем!

п. 24 приведет тебя к

Цитата:

Раздел 2. Вопросы по взаимодействию с программой, настройкам и проблемам.


Вопрос 1: Я хочу сам(а) принимать решения о разрешении/запрещении сетевой активности приложениям. Как включить режим обучения Сетевого экрана на подобие того, что был в версиях 6.0 и 7.0?

Recursion

Цитата:

Ответ: Идеология работы Сетевого экрана изменилась. Теперь он входит в часть единой системы управления контролем активности приложений. Для включения режима обучения зайдите в настройки Сетевого экрана, нажмите на кнопку Настройка правил..., в появившемся окне выделите название группы Доверенные. Нажмите правой кнопкой мыши на зелёную птичку в колонке Сети и в контекстном меню измените на Запрос действия. Сохраните изменения. Убедитесь, что в настройках продукта у вас отключен автоматический выбор действия, т.е. включен Интерактивный режим (Настройка => вкладка Защита => должна быть снята галочка напротив Выбирать действие автоматически). Теперь Сетевой экран переведён в режим обучения и при обнаружении сетевой активности какого-либо приложения вы получите алерт (информационное окно программы) с соответствующим запросом.

Точно, называется по%бите мозг друзья!
Что же еще более извращенное можно придумать?
Не надо мне отвечать и флудить, каждый при своем мнении.

Если для тебя нажать F1 - это е%ля мозга, то да.

Цитата:

Закладка Правила для программ
Разрешение

Графа, в которой отображается реакция Сетевого экрана при попытке обращения программы или группы программ к сетевому ресурсу.

В таблице ниже приведены условные обозначения действий Сетевого экрана и их значения.

Обозначения действий Сетевого экрана

Misha1989
Цитата:

Если создать файл на HDD и KIS его проверит, то потом можно переписать тело файла другими данными (чтобы сектора не изменились) и он в упор не будет там ничего видеть, даже если щёлкать по файлу правой кнопкой и делать принудительное сканирование

Интересная тема, однако. Особенна интересна если уже проверенные файлы находятся (пардон "находились" ) либо на съемных (или сменных) носителях, либо на сетевых дисках...

refremov
Приплыло с нечто avs.ppl, якобы отвечающее за детект объектов (вообщем, х.з. что).

Добавлено:
Ссылка на базу знаний ЛК

Цитата:

Se_Vlad, миллионы содержатся в облаке, но я не о том. У себя самого ты запустишь программу, закроешь ее снова и запустишь опять - данные о ней подтянутся их кеша. И слежение за md5, а не за названием, иначе бы вирусы резвились.

Recursion
К чему все эти словеса?
У меня несколько предположений
1. До тебя до сих пор не дошло, что есть ещё одна офигительная дыра.
2. Дошло, но лепятся гнилые отмазки.
3. В упор отказываешься признать уязвимость (проделав те абсолютно несложные эксперименты о которые я писал на предыдущей странице)

И не надо мне этих скринов - я уже говорил - я не кодер, а не понимаю что ты там наваял, на что у тебя КИС реагирует. Я делаю простые, всем доступные эксперименты. И вижу, что КИС не отрабатывает как надо (хочешь опровергнуть - потрудись прочитать и повторить хотя бы последний эксперимент (В кач-ве подопытных екзешников возьми разные версии хоть того же акелпада) ).


Цитата:

Вот и новый патч добавился:

Я тупой. А что там?


Цитата:

1. Когда снимается MD5-хеш? Занятие это для больших файлов - не из быстрых, а потому займёт время. Если в ходе обнюхивания - тогда сколько ж там времени остаётся на эмуляцию и о какой эвристике может идти речь?

+1
А с учетом того, что один экзешник при работе поднимает (может поднимать) ещё сотни библиотек и исполняемых файлов (хеши которые тоже нужно найти в якобы существующей невъ%бенной базе. Найти поочередным сравнением "каждого-с каждым"), то.. когда же этим программам работать-то?

Доброе время суток.
Установил КИС 2010 закинул эксплойт, продлил до 2016 года. Через день решил обновиться, обновил антивирус, а КИС не запускается, на другой день снёс, установил КРИСТАЛ, также, закинул эксплойт, продлил, но при перезагрузке компа на другой день антивирус не запустился! Снёс, попытался установить КИС 2011, так он сразу установиться установился, а запускаться не хатит. Кто знает в чём может быть проблема, помогите пжл. Как запустить КИС? Использую WINDOWS SP3

brondingneb
У тебя везде

Цитата:

закинул эксплойт

Скажи, а просто установить не пробовал? Запускается?

Serg_Ivanov

Цитата:

Скажи, а просто установить не пробовал? Запускается?

Что установить, не понял, извините?

brondingneb
Ну ведь это логиично же
Так как эксплойт ты без КИС не установишь, то КИС и Кристал без эксплойта.
Встают они и работают ли, хотя бы в пробном режиме?
Если встают - причина эксплойт. Если нет чисть систему и смотри что мешает их установке.

Serg_Ivanov
Я пользовался КИС 2010 больше года с причинением "куканчика", а тут переустановил ОСь и решил попробовать с использованием эксплойта и начались проблемы которые я описал.
P.S. кстати ось поставил первый раз Windows® XP Sp3 XTreme

Цитата:

Интересная тема, однако. Особенна интересна если уже проверенные файлы находятся (пардон "находились" ) либо на съемных (или сменных) носителях, либо на сетевых дисках...

По описанию похоже на i технологии.

Цитата:

И не надо мне этих скринов - я уже говорил - я не кодер, а не понимаю что ты там наваял, на что у тебя КИС реагирует

На изменение файла. Изменение я выделил в красную рамку. Это реальное _изменение_ файла.

Цитата:

А с учетом того, что один экзешник при работе поднимает (может поднимать) ещё сотни библиотек и исполняемых файлов (хеши которые тоже нужно найти в якобы существующей невъ%бенной базе. Найти поочередным сравнением "каждого-с каждым"), то.. когда же этим программам работать-то?

Бида-бида.
1. Получить хеш подавляющего большинства файлов не так уж и долго.
2. После получения можно и прикопать к кэш

Цитата:

time /T >> f:\log.txt
F:\Tools\sigcheck.exe -e -s "C:\Windows\System32"
time /T >> f:\log.txt

Содержимое log.txt:

Цитата:

20:49
20:56

Итог чуть меньше 10 минут на 2,85 GB (3 070 893 074 bytes) - 16 216 Files. Простейший математический рассчет говорит, что за 1 секунду был получен хеш почти 30 файлов, господа спорящие.