» Kaspersky Internet Security - KIS (часть 8)

Прошу помощи. Недавноо пользуюсь KIS 2011 после нортона. Меня интересует следующее. Необходимо, чтобы касперский не автоматом решал какую прогу пустить в интернет, А СПРАШИВАЛ ПОЛЬЗОВАТЕЛЯ, что бы я сам принимал решение. Где это настраивается? Я уже разобрался как блокировать выход проги в интернет при помощи этого форума. А вот сейчас потребовалась такая вещь. Заранее спасибо.

nov
F1 в справке. Или в шапке http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=0&limit=1&m=22#1

nov

Цитата:

Необходимо, чтобы касперский не автоматом решал какую прогу пустить в интернет, А СПРАШИВАЛ ПОЛЬЗОВАТЕЛЯ, что бы я сам принимал решение. Где это настраивается?

Я это на предыдущей странице спрашивал. Внизу ищи, я там цитату вставил!

Цитата:

Это реальное _изменение_ файла.

Блин... опять отмазки?
повторяю для слепоглугонемых:


Цитата:

Копирую в %виндир% софтину (из одного экзешника. тоже ранее ни разу не запускавшуюся). Переименовываю в notepad.exe или в winhlp32.exe или в любой другой (оригинал предварительно забекапив) и быстренько запускаю. И запускается ведь!! КИС молчит. Да, винда быстренько восстанавливает оригинал, но екзешник-то (совершенно другой!!!) спокойно запустился.

Сделай это!! Но не с той сранью, которую ты сам пишешь и показываешь нужные тебе скрины, а с любой честной софтиной, но с разными версиями экзешников (для примера я показал акелпад. Ты можешь взять другую)
Если КИС будет сигнализировать при каждом новом изменении экзешника - научи меня как его так настроить. Я же именно этого добиваюсь 3-й день. Но вместо этого.. какие-то нелепости получаю.


Цитата:

Получить хеш подавляющего большинства файлов не так уж и долго.

Сколько по времени на селероне 2,1 с гигом мозгов и запущенным софтом, отъедающим 50-60% памяти и процессора? Сколько (минут, часов, дней) будет получение хешев хотя бы 200 файлов по 2..10..20 мб.

Не буду тебя напрягать - это время измеряется если не часами то десятками минут!!! Дальше, надеюсь, не будешь говорить фигни (и показывать какие-то "результаты", далёкие от реальности).


Цитата:

После получения можно и прикопать к кэш

прикопал и дальше? не тупи - по твоей логике получается: при вызове любого (пофик-известный или нет. Он не известный пока не валидирован) файла их ВСЕ нужно откапывать и в реалтаеме по-очереди сравнивать с каждым из запускаемым. Про время и ресурсы ПК тут вообще спрашивать неуместно.

Короче, признай насчёт хешей ты погорячился и прекратим этот бесполезный трёп Лучше научи как научить КИС реагировать на изменения экзешников (и длл). Если это вообще возможно.

Цитата:

По описанию похоже на i технологии.

Интересна реакция KIS на измененный файл:

1. USB-носитель подключаем\отключаем в процессе работы KIS. На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла.

2.USB-носитель подключаем\отключаем при отключенном KIS. На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла. (И конечно включаем KIS)

3. Данные на USB-носителе модифицируются "на стороне". На USB-носителе модифицируем проверенный ранее KIS-ом файл "вредоностным кодом" и изменяем атрибуты файла на атрибуты исходного файла. Машина, на которой установлен KIS, подключается\отключается только с подключеным накопителем и в процессе работы данный накопитель не подключается\отключается.

4. Сменный HDD (не системный) подключается\отключается по шине PATA\SATA (карман). Модификация "вредоностным кодом" и измение атрибутов файла производится на сторонней машине. Машина с KIS без кармана никогда не запускается.

5. Модификация ранее проверенного KIS-ом файла на сетевом диске при включенном KIS.

6. Модификация ранее проверенного KIS-ом файла на сетевом диске при отключенном KIS. (И конечно включаем KIS).

7.Модификация (сторонним агентом) ранее проверенного KIS-ом файла на сетевом диске при отключенном сетевом диске.

Цитата:

Блин... опять отмазки?

По-моему ты просто не видишь очевидного.

Цитата:

повторяю для слепоглугонемых:

Кажется, я начал понимать проблему человека, который вместо того, чтобы расписать ход действий по шагам, начал меня оскорблять. Ты что, руками копируешь, что ли?
Кстати:

Цитата:

C:\Windows\system32>copy F:\Tools\XVI32.exe C:\Windows\System32\notepad.exe
Access is denied.
0 file(s) copied.

Запустил батник, само-собой, от Админа.
Ну ладно, ты руками копируешь или нет?

Цитата:

Если КИС будет сигнализировать при каждом новом изменении экзешника - научи меня как его так настроить. Я же именно этого добиваюсь 3-й день. Но вместо этого.. какие-то нелепости получаю.

Вот при _каждом_ изменении у меня появлялся бы такой алерт, если бы эти изменения были в защищаемых каталогах. Пока там только доверенные приложения работает, а им по умолчанию можно.

Цитата:

прикопал и дальше?

1. Получил
2. Прикопал
3. ...
4. PROFIT!
Ггг. А на самом деле это дает охрененное ускорение: не нужно некоторое время перепроверять все. Т.е. запустил 1 раз и дальше не трогаешь. И не забудь, что одну либу могут дергать десятки приложений, значит проверено будет только для первой проги, а от остальных проверять не надо.

Цитата:

Сколько по времени на селероне 2,1 с гигом мозгов и запущенным софтом, отъедающим 50-60% памяти и процессора?

Не знаю. Проверить? На работе есть комп еще слабее названного. Конечно, там XP. Ну, проверить или поверишь, что подавляющее большинство хешей получить быстро? Медленно - это получить хеш трехсот метрового sfx архива, но, блин, ты каждый день их распаковываешь? А еще "долго" будет получать хеш инсталлятора ВмВари, но, опять же, каждый день ее ставишь? Ну а про образы дисков говорить нечего, они в хипс не попадают.

Цитата:

Короче, признай насчёт хешей ты погорячился и прекратим этот бесполезный трёп Лучше научи как научить КИС реагировать на изменения экзешников (и длл). Если это вообще возможно.

Короче я попытаюсь тебе показать очевидное. Я вообще не понимаю, кто тебе сказал, что это долго.

cdrom2
Я уже на втором пункте запутался. Все, спать пора.

Устанавливаю пробную версию КИС, устанавливаю эксплойт, всё активируется, но при перезагрузке системы антивирус не запускается. Кто нибудь сталкивался с такой проблемой? Помогите

brondingneb
Цитата:

Устанавливаю пробную версию КИС, устанавливаю эксплойт

Это не сюда, это в тему про эксплойт.

Misha1989

Цитата:

Это не сюда, это в тему про эксплойт.

Де такая тема, я не нашёл?

brondingneb

Цитата:

Де такая тема, я не нашёл?

Шапку почитай. Найдёшь? Ищи вверху экрана.

Проститеза глупый вопрос. Что такое патч b в версии 11.0.2.556.

oabox
Не мог найти, тыкните меня носом, если Вас не затруднит.

brondingneb
Прежде чем там спрашивать - почитай, всё уже пережевано.
KIS/KAV/WKS/FS Key Exploit (бывший Blacklist Exploit) (ч.3)

oabox

Цитата:

Прежде чем там спрашивать - почитай, всё уже пережевано.

само собой
Мерси

nov

Цитата:

Что такое патч b в версии 11.0.2.556

вы удивитесь ответу, но это патч b для версии 11.0.2.556, причем он уже включен в нее...

Извините я имел ввиду вопрос для чего он нужен (патч b). Может просто работать на предыдущей версии без него. Извините за офтоп.

nov

Цитата:

...для чего он нужен

исправляет старые баги, добавляет новые...

Цитата:

Может просто работать на предыдущей версии без него

если вы имели ввиду - 11.0.1.400 CF1, то этот авто-патч придет все равно с обновлениями...

Цитата:

Кажется, я начал понимать проблему человека, который вместо того, чтобы расписать ход действий по шагам, начал меня оскорблять. Ты что, руками копируешь, что ли?

О майн гот..
Я 5 раз подробно расписал что делал.. Уже и не знаю как ещё донести мысль.
Да, в данном случае я копирую руками. Но сознательно ли я это делаю через тоталкомадир\проводник или же он меняется при обновлении сетапером, или же хитрый вирус его изменил - не важно. Важно то, что он изменён! И хочу что бы КИС меня предупредил об этом. Хочу, чтобы КИС спрашивал при запуске любого нового файла. Что не ясно?
(тут "новый" - тот, что Я ни разу не запускал, а не "вообще неизвестный касперу")

Если ты утверждаешь что КИС реагирует на каждое изменение экзешника - научи меня как его настроить. Ведь именно с этого вопроса 5-ти дневной давности всё и "закрутилось". Но ответа до сих пор нет. Зато есть куча сказок..


Цитата:

Я вообще не понимаю, кто тебе сказал, что это долго.

Потому как считал хеши

Про остальное я устал спорить.. ты игнорируешь доводы, рассказываешь какие-то половинчато-поверхностные сказки...
Да в общем, оно мне не особо и интересно - мне важно разобраться с основной задачей.. Мб потом вернёмся к хешам..

Se_Vlad
C кем ты споришь?

Цитата:

я не знаю. И вообще не понимаю, зачем у меня спрашивать технические тонкости. Ах да, я перестал читать после слов "Когда снимается MD5-хеш?".

gjf

Цитата:

C вирусами - обращайтесь, поможем!

ты их продаешь что ли ?..

gjf

Цитата:

C кем ты споришь?

Да я обратил внимание ещё тогда но я лелею (лелеял точнее) надежду, что это он сгоряча так сказал.. (у всех же бывает), проспится-одумается..
Да и в общем-то мои "корыстные" цели немного в другом ракурсе..

SergeyGolubev,

Цитата:

ты их продаешь что ли ?..

не надо паясничать. Линк-то на рубордовский топик ведёт. Не думаю, что ты не знаешь о чем там речь (про личность gjfа я уже промолчу. Кто знает - тот знает )

Se_Vlad
SergeyGolubev

Цитата:

ты их продаешь что ли ?..

Пишите в личку - договоримся

Цитата:

Да, в данном случае я копирую руками. Но сознательно ли я это делаю через тоталкомадир\проводник или же он меняется при обновлении сетапером, или же хитрый вирус его изменил - не важно.

Важно, принципиально важно. В этом твоя ошибка. Вредонос не имеет прав Проводника, пока ты сам специально ему этого не дашь. ХИПС работает по системе наследования ограничений. Т.е. вредонос не сможет использовать права Проводника для копирования, он отдаст Проводнику свои ограничения. Понял?

Цитата:

Потому как считал хеши

У чего? У архивов, которые вообще не нужны?

Цитата:

C кем ты споришь?

Угу. Одно дело спорить об известном, а другое спрашивать тонкости работы KIS. Получить md5 файла сможешь и ты, а вот узнать, как это делается в KISе... Это вообще вопросы разных уровней.

nov Если не секрет почему ушёл с Нортона?

http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=900#10

Recursion
Цитата:

Я уже на втором пункте запутался. Все, спать пора.

Скажу проще.
Имеется ПК со съемным винтом (без "системы"). Подключение этого винта через интерфейс PATA или SATA.
Без этого винта ПК никогда не запускается.
Все его каталоги защищены KIS-ом и ранее они им проверялись.

Действия :
Снимаем винт. На другой машине "модифицируем" данные на этом винте. Устанавливаем винт обратно на машину с KIS и включаем её.

Часть файлов буде проверена, часть нет - механизмы i защищен патентами и закрыт договорами о не разглашении. Только для чего так извращаться, лично мне не понятно. Это сознательно нужно выдернуть винт, воткнуть в зараженный комп, а потом воткнуть обратно.

Цитата:

Важно, принципиально важно. В этом твоя ошибка. Вредонос не имеет прав Проводника, пока ты сам специально ему этого не дашь. ХИПС работает по системе наследования ограничений. Т.е. вредонос не сможет использовать права Проводника для копирования, он отдаст Проводнику свои ограничения. Понял?

епстудей!!
Тебе надо рассказывать о наследовании\передачи прав? Надо говорить что доверенное ПО (тот же ИЕ, проводник) может передать права софтине, изменяющей экшешники?!!!

Кроме того я тебе уже 5 раз повторил о смене версий (и каким механизмом это будет сделано - пофик. Ибо этот "механизм" по любому будет доверенный. Но только я могу об этом не знать. А я хочу. Когда же до тебя это дойдёт?)

Нда... Я о тебе был немного более лучшего мнения..


Цитата:

Вредонос не имеет прав Проводника

Это вообще... самомнение или тупость?


Цитата:

а вот узнать, как это делается в KISе

увиливаешь.. не как, а когда. И главное - что дальше? перечитай вопрос gjfа.

Я тут переночевав, подумал ещё об одной "детали":

Цитата:

Итог чуть меньше 10 минут на 2,85 GB (3 070 893 074 bytes) - 16 216 Files.

опустив ранее говоренное остановлюсь на маааленьком моменте - 10 мин. Это считал хеши (1)ты (2)на мощном (3) не нагруженном ПК (4)только каталог винды.
Опять открою тебе глаза - охранять файлы надо не только в виндир-е. Охранять нужно все (ну ок, почти все ). В тч и svx-архивы.

Предположим, КИС хранит хеши всех файлов. Но при доступе к любому файлу нужно найти его хеш и сравнить с тем, что в базе. А если его имя\расположение изменено?
А этот любой файл с собой тянет ещё 2 десятка библиотек, которые тоже надо проверить...

В общем, подводя итог - у КИС нет контроля целостности файлов.


Цитата:

Часть файлов буде проверена, часть нет - механизмы i защищен патентами и закрыт договорами о не разглашении.

)) понеслась
Recursion, ладно ты вчера засыпал, но сегодня-то вопросы cdrom2а никуда не делись. и он даже второй раз ссылку на них поставил.


Цитата:

Это сознательно нужно выдернуть винт, воткнуть в зараженный комп, а потом воткнуть обратно

афигеть, дайте две!!! Recursion, иногда лучше жевать..
А что, переносный винты не вставляются в другие (зараженные) ПК? И что, эти ПК не могут модифицировать файлы на этом переносном винте? Однако..

facepalm.jpg

Цитата:

Надо говорить что доверенное ПО (тот же ИЕ, проводник) может передать права софтине, изменяющей экшешники?!!!

Довение _не_ передается. Потому я использовал батники - они слабоограниченны и передают cmd cвои ограничения. Когда ты сам делаешь подмену, то это выполняется с правами explorer.exe = нет ограничений. Поучи матчасть.

Цитата:

Это вообще... самомнение или тупость?

Это логика работы HIPS.

Цитата:

опустив ранее говоренное остановлюсь на маааленьком моменте - 10 мин. Это считал хеши (1)ты (2)на мощном (3) не нагруженном ПК (4)только каталог винды.

1. речь шла о хешах
2. посчитай ты, блин. Я для кого указал содержание батника? Чтобы ты своими руками запустил у себя и своими же глазами все увидел.
3. У меня не мощный ПК по современным меркам. Но все это относительно. И плюс я обещал проверить на слабом, не так ли?
3. Только system32 со всеми подкаталогами, вообще-то. Но какая разница? Скорость будет примерной такой же для всего. Реальная просадка будет только на _больших_ файлах.

Цитата:

Опять открою тебе глаза - охранять файлы надо не только в виндир-е. Охранять нужно все (ну ок, почти все ). В тч и svx-архивы.

Твое ЧСВ не знает границ. Я уже несколько раз тебе сказал, как защитить вообще все.

Цитата:

Предположим, КИС хранит хеши всех файлов. Но при доступе к любому файлу нужно найти его хеш и сравнить с тем, что в базе. А если его имя\расположение изменено?
А этот любой файл с собой тянет ещё 2 десятка библиотек, которые тоже надо проверить...

1. Насрать на имя и расположение. Есть md5.
2. Назови мне 5 программ, которые ты запускаешь каждый день, которые тянут 2 десятка либ, но при этом эти 2 десятка либ будут уникальный для каждой программы.

Цитата:

Recursion, ладно ты вчера засыпал, но сегодня-то вопросы cdrom2а никуда не делись. и он даже второй раз ссылку на них поставил.

Я уже ответил на него.
афигеть, дайте две!!! Recursion, иногда лучше жевать..

Цитата:

А что, переносный винты не вставляются в другие (зараженные) ПК? И что, эти ПК не могут модифицировать файлы на этом переносном винте? Однако..

Откуда мне знать, как делают альтернативно одаренные личности? Они могут и об стол стучать этими винтами, ни то что пихать их в зараженные компы.
А только если бы все было так, как ты заявляешь, эпидемии бы ходили пачками, а Каспер бы не палил заразу на флешках вообще.

Задрал, блин. Научись с людьми общаться без наездов, ага.

Se_Vlad

Цитата:

Вредонос не имеет прав Проводника

Там логика такая: explorer.exe - родительский процесс, передающий ограничения, разрешения не передаются. Разрешения назначаются в результате анализа обнюхивателем - и тут-то и загвоздка, потому как однозначно сказать, как он работает, не может никто. Да, подписанные проги - всегда доверенные, да проги с детектом - всегда недоверенные, но реальные случаи без подписи и без детекта обычно получают статус слабых ограничений после дооооолгих размышлений неизвестно о чём

Вопрос в том, что под админом сделать эскалацию прав вообще не проблема, то есть я легко могу от LocalSystem, запустить что угодно. Как на это отреагирует Каспер - вопрос. Попробуйте сами:
Способ 1:

Код: at 11:05 /interactive cmd.exe

Цитата:

потому как однозначно сказать, как он работает, не может никто

Олег Зайцев может

Цитата:

Да, подписанные проги - всегда доверенные

Обычно да, но не всегда. Они по KSN могут отзывать доверие подписям.

Цитата:

Вопрос в том, что под админом сделать эскалацию прав вообще не проблема, то есть я легко могу от LocalSystem, запустить что угодно. Как на это отреагирует Каспер - вопрос

Выполнение at передаст ограничение того, кто его вызвал. Т.е. если есть контроль создания задачи для планировщика, то будет алерт. Проверять вот прям сейчас нет времени, но можно. А создание службы даст алерт 100%, это я проверял еще хренти когда. И речь об интерактивном режиме, конечно.