» Kaspersky Internet Security - KIS (часть 8)

Цитата:

Задрал, блин. Научись с людьми общаться без наездов, ага.

А ты или не съезжай или признавай, что не вкусе\КИС не умеет.

Всё что ты написал - это очередной съезд с немереной самоуверенность, ленью вникнуть и даже глупостью.
О передаче-наследовании прав знает любой мало-мальски грамотный юзер. (То, какие изменения произошли после Висты - мы сейчас не говорим. Равно как и о защите средствами самой ОС. Мы говорим только о КИС!).

Ты постоянно игноришь те очевидные факты (хоть те же "эксперименты"). И не просто игноришь, а подменяешь своими.


Цитата:

Я уже несколько раз тебе сказал, как защитить вообще все.

То, что ты показал - оно не будет работать! Потому как защиты нет даже в виндир с дефлтными правилами (это я показал на простейших экспериментах).
А кроме того, если верить тому, что ты рассказал про хеши и сделать так, как ты сказал - то я несколько дней буду ждать пока КИС прочитает хеши 2-х полу-гектарных винтов. И опять же - если тебе верить - он не все файлы возмёт, а только те, которые посчитает нужными. И уже точно не будет предупреждать меня об их изменении.

Я тебе уже почти неделю толкую, что я хочу знать, что файлы изменились (и пофик как\чем это было сделано), а ты мне все "зловреды не могут, зловреды не могут" (то что могут я даже говорить не хочу). Я тебе про Фому, ты мне про Ерёму..
Вот как тебя назвать?

И да, всё хочу спросить - Recursion = Maratka?

Recursion

Цитата:

Олег Зайцев может

Он что, эмулятор Кибера засунул в КИС, а не только в автодятла? Это сильно пугает.

Цитата:

Они по KSN могут отзывать доверие подписям.

Знаю-знаю... Привет Стухнету и Зевсу.

Цитата:

Выполнение at передаст ограничение того, кто его вызвал. Т.е. если есть контроль создания задачи для планировщика, то будет алерт. Проверять вот прям сейчас нет времени, но можно. А создание службы даст алерт 100%, это я проверял еще хренти когда. И речь об интерактивном режиме, конечно.

Очень надеюсь.

Цитата:

О передаче-наследовании прав знает любой мало-мальски грамотный юзер.

Значит ты - не грамотный.

Цитата:

То, что ты показал - оно не будет работать! Потому как защиты нет даже в виндир с дефлтными правилами (это я показал на простейших экспериментах).

Ты САМ САМ САМ САМ САМ САМ САМ подменил файлы. А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага. Как до тебя это до сих пор не дошло?

Цитата:

А кроме того, если верить тому, что ты рассказал про хеши и сделать так, как ты сказал - то я несколько дней буду ждать пока КИС прочитает хеши 2-х полу-гектарных винтов. И опять же - если тебе верить - он не все файлы возмёт, а только те, которые посчитает нужными. И уже точно не будет предупреждать меня об их изменении.

FFFFFFUUUUUUUUUUUUUUU!!!!!
Ну нельзя быть таким. НАХЕРА брать и считать хеши? КИС - это не тулза для проверки цифровых подписей. Надо считать - возьми специализированные тулзы, а КИС этим не занимается. Если, конечно, ты не запускаешь эти программы каждый день.
А для того, чтобы увидеть изменение не обязательно знать хеш - нужно видеть попытку ОБРАЩЕНИЯ к файлу. Если, конечно, ты никогда не трогал файл и изменил его с другого компа, то КИС не будет знать оригинал и не заметит изменения. Но, блин, это уже какой-то писец. А если это был вирус (в смысле заразил), то сигнатурный детект до сих пор не отменен.

Цитата:

И да, всё хочу спросить - Recursion = Maratka?

Да кем только меня не называли тут. Я - механик Вася. Этого достаточно, а то этот клоун пивной опять начнет свои дешевые понты колотить.

Цитата:

Значит ты - не грамотный.

Цитата:

Ты САМ САМ САМ САМ САМ САМ САМ подменил файлы. А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага. Как до тебя это до сих пор не дошло?

Во первых. Да САМ!!! Я тебе это постоянно и говорю. Я хочу когда запускается новый или изменённый (пофик кем!!!!) экзешник (как минимум) КИС меня предупредил. И пофик - подписанный он или нет (ну не доверяю я подписям ) - всё равно ХОЧУ УВИДЕТЬ АЛЕРТ!!! Именно это я и добиваюсь от тебя (точнее то КИС).

Во вторых. Ок, я не грамотный. Объясни мне тупому, какая разница (в правах): то ли я в тоталкомандере нажал F5 (вызвав модуль копирования), то ли вызванная мной же софтина из того же тотала скопировала (заменила) другой файл (в виндире ли или где ещё - не важно).

И повторю для нежелающих понимать. Эту софтину (не из видра и да не из программфилес, а скажем с D:\Soft\SuperTools\) я раньше запускал. КИС её знает. Но вот я нашел новую (другую версию) и заменил "известную КИСу". Почему КИС молчит? (а вдруг это не я лично заменил, а мне через РАдмин \ удалённым доступом. Или она в локалке или на съёмном винте). Я хочу, чтобы КИС (как средство защиты) меня предупредил об этом.

Что не ясно? А ты всё съезжаешь..

Добавлено:
Еще.

Цитата:

А надо, чтобы это сделала программа без подписи как минимум. Потому пишешь батник и проверяешь. Обалдеешь - оно работает, ага.

Во первых с чего ты решил, что это надо? С какого перепугу это должна делать софтина без подписи. (да и вообще причем тут подпись)
Во вторых - я не о реакции на батник (или др софт), "чего-то там делающий" толкую. Мне надо реакцию на изменённый файл.
А её нет!!

Se_Vlad

Цитата:

Во вторых - я не о реакции на батник (или др софт), "чего-то там делающий" толкую. Мне надо реакцию на изменённый файл.
А её нет!!

может уже стоит подвести итог?
Вы нашли ручной сценарий обхода некоторых проверок касперским. Лаборатория и часть местных подписчиков считают, что можно обойтись без обработки таких сценариев, поскольку в реальной жизни они "зловредами" не активируются. Каждый пребывает и будет пребывать при своем мнении, напиши вы здесь пару сообщений, или пару сотен сообщений. Ничего не изменится. Продолжительный спор занявший уже несколько страниц, толком никуда не ведет. Будем писать дальше?
Это вполне понятно, что вы хотите того, чего не можете найти в касперском. Пробовать найти то, где это есть, не станете? Или мечта - это когда о ней мечтательно говорят, а достижение мечты ее убивает, и потому продолжим?...

Во первых. Да САМ!!!
На этом нужно завершить. Каспер почти не защищает пользователя от действий пользователя. Если желаешь контролировать вообще все, то перенеси winlogon.exe, userinit.exe и explorer.exe в таблице HIPS в ограниченные. Нарекают тебе тормоза и сотни алертов.

Цитата:

Во вторых. Ок, я не грамотный. Объясни мне тупому, какая разница (в правах): то ли я в тоталкомандере нажал F5 (вызвав модуль копирования), то ли вызванная мной же софтина из того же тотала скопировала (заменила) другой файл (в виндире ли или где ещё - не важно).

Разницу в правах увидишь в группах "Доверенные" и ограниченные. Когда ты сам работаешь с файлом (копируешь, заменяешь), то это делает explorer.exe. Когда ты запускаешь вирус, то модифицирует файлы вирус. Тебе видео записать, где unreal commander будет играть роль вредоноса и пытаться удалить/заменить защищаемые файлы (троян), а также попытается их модифицировать (вирус)?

Цитата:

может уже стоит подвести итог?
Вы нашли ручной сценарий обхода

Итог - не знание матчасти.

Цитата:

Вы нашли ручной сценарий обхода некоторых проверок касперским.

Иными словами - "А я не ожидал, что юзер (софт у юзера) так себя поведёт, поэтому защитить не могу" . Да?
А я ведь ничего "эдакого" не делал. Я выполнил стандартную процедуру - обновил версию екзешника. А эта новая версия в "реальной жизни" может оказаться:
а) замененной кем угодно (про удалённый доступ и сетевые-переносные диски я уже говорил)
б) вовсе не новой версией, а со встроенным бекдором например.

И эта.. соц инженерию еще не отменили - меня просто обманули и я да, САМ поменял. При этом "нашил ручной сценарий обхода некоторых проверок касперским". (я продолжу - "и САМ занёс заразу, а КИС этого не понял и разрешил")
Ну что сказать и таком уровне безопасности...

Съезжать не надо - я пытаюсь защититься не от причин (они не важны в данном случае - это совсем другой аспект), а от последствий.


Цитата:

Итог - не знание матчасти

Итог - тот же древний 6-й Оутпост (который "не дорос" до КИС 7 ) без всяких заморочек (чекбокс есть спецательный) это делает на раз.
В КИС же: "мы этого не ожидали"..

Вот такой итог.

Se_Vlad

Не знаю как у вас, но когда я на прошлой недели при выключеном касперском поменял exe файл, то при включении и при обращении к файлу касперский спросил меня розрешения на запуск.

Имя файлов одинаково, касперский стоит на ручном управлении.

Se_Vlad

Цитата:

Итог - тот же древний 6-й Оутпост (который "не дорос" до КИС 7 ) без всяких заморочек (чекбокс есть спецательный) это делает на раз.

Да почти на все 100 уверен, что убери у кисы опции iSwift и второе что-то там рядом, убери смарт анализ файлов, и так далее, и будет он проверять и это, ценой диких тормозов и тому подобных пост эффектов. Разговор не об этом. Нравится Оутпост - пользуем оутпост. От неумеренной болтовни здесь разработчики кисы ничего не сделают. Есть специальные места, где можно задать вопрос разработчикам. Если рассматривать всю тягомотину на эту тему здесь - ну да, некоторая попытка антирекламы продукту, но спасибо, вы уже все анти-отрекламировали, задача выполнена. Сколько еще можно толочь воду в ступе без всякого ожидаемого результата?
Людей, выбравших себе кису осознанно, ваши разговоры не смущают, просто раздражает бесполезность заполнения этим нескончаемым переливанием из пустого в порожнее почтовых ящиков.

Цитата:

Я выполнил стандартную процедуру - обновил версию екзешника. А эта новая версия в "реальной жизни" может оказаться:
а) замененной кем угодно (про удалённый доступ и сетевые-переносные диски я уже говорил)
б) вовсе не новой версией, а со встроенным бекдором например.

И поднимется запрос на запуск, если ты включешь это в KIS. Скриншот я показывал.

Примечательно, что как только я указываю на конкретные вещи, ты сразу забываешь про это.
ddddddima
Все верно, изменился хеш файла.


Добавлено:
Проверил на XP. Машина: P4 2,6 GHz/768 MB. Нагрузка ЦП была 77% в минимуме и 100% в максимуме, средняя примерно 94% (бОльшую часть времени крутилась у этой цифры). По-моему все круто. Результаты:

Цитата:

15:58
16:08

Каталог System32 весит 1,25 GB (1 349 184 932 bytes). В нем 6 434 Files.
Делаем расчет:
6430/10/60=10,71(6). Т.е. за одну секунду при загрузке проца почти 100% был получен хеш 10 файлов.
Ты же переживал за сраные 20 файлов у программы (при этом не назвав мне 5 программ, как я предложил). Т.е. просадка при нагрузке ~100% на ее запуск будет ~2 секунды.

Recursion
Эффективно ли обнюхивание вообще? Вопрос возник в связи с понятием "подделка контрольных сумм" и "коллизия контрольных сумм".

Какое обнюхивание?
Подделать md5? По-моему невозможно. Про коллизии знаю, да, но в применении не слышал. Т.е. технически можно попытаться сделать трояна и чистое ПО с одним и темже md5, только... Муть все это. Слишком много допусков, чтобы применять IRL.

cdrom2
CRC, которое часто путают с хешами, подделывается на раз-два. MD5 - значительно труднее ("коллизии"), реальные примеры были на очень маленьких файла в несколько Кб. Крупные файлы - чрезвычайно сложно. Если хеширование идёт по SHA - подделать невозможно (на текущий момент).

Цитата:

задача выполнена
...
выбравших себе кису осознанно, ваши разговоры не смущают

ой, давайте не будем..

1. Если обратить внимание - я изначально задал вопрос "как настроить контроль целостности". Совершенно справедливо полагая, что столь элементарная функция обязана быть в системе защиты.

2. Я совершено сознательно юзаю КИС (а до КИС и КАВ и АВП и..) много-много лет (С 95-й винды. Хотя помню еще первые версии под ДОС). При этом переодически делая тесты и сравнивая с другими. А последние 4 года - да, не делал (просто "по инерции" доверял. Да и к антивирусу вопросов нет).

3. Отсюда следует - не было задачи антирекламы. Но.. так получилось. А получилось потому, что кое-кто начал "лепить горбатого". Я не виноват .


Цитата:

И поднимется запрос на запуск

Опять двадцать пять.. Я уже показывал, что КИС не реагирует..
Всё, я уже устал доказывать очевидное.

ЗЫ. Для информации. КИС 11 я поставил пару недель как. До этого я юзал КИС7 в связке с оутпостом. Но начитавшись, что-де фаер в КИС ничуть не хуже при переходе на КИС11 снёс оутпост.. Теперь вот пытаюсь настроить.. И... за эти пару недель - это третья обнаруженная (относительно) серьёзная дыра в защите. Если кто-то думает что я рад или злорадствую - ошибаетесь! Как раз наоборот - я очень огорчен, что мой любимый продукт превратился в решето..

В новой версии официального Updater-а выбросили 7-ку. Пока 7-ка еще обновляется самостоятельно или через zip-ы.

Se_Vlad
Ну то есть тебе снять ролик?
И вопрос о скорости получения хеша снят полностью?

KIS 9.0.0.736, установлена защита паролем. В контектстном меню выбираю "Приостановка защиты", спрашивается пароль, ввожу, жму "ОК". Тут же возникает ещё одно окно с запросом пароля. Только после ещё одного ввода пароля защита приостанавливается.
Зачем нужен этот второй раз? Как его убрать?

mitrichbel
Цитата:

Зачем нужен этот второй раз? Как его убрать?

Поставьте галочку при вводе пароля "Запомнить на текущую сессию".

Se_Vlad
Не было мысли, что всё дело в цифровой подписи на "неизвестном" файле?

Не подскажите, где скрываеться список Запрещённых вебузлов, в КИС 556..?
Рука дрогнула и добавил в Запрещённые и Разрешённые тоже... Теперь с окошка Антибаннер Запрещённе не могу , хлопотно , удалять мышкой всё... Может есть файл...? Его содержимое можно удалить? Спасибо!

Plalekseyushka
Несколько мутно написано... Если речь идёт о полном удалении запрещённых или разрешённых адресов в настройках Антибаннера, можно просто импортировать пустой файл с удалением существующих записей.

Dukat

Цитата:

Несколько мутно написано

Добавил в Запрещённые всё подряд... и разрешённые тоже...
Ладно...Спасибо... мне немножко уже осталось....
#

Цитата:

Ну то есть тебе снять ролик?
И вопрос о скорости получения хеша снят полностью?

Блиин опять... Завязывай уже тупить и пытаться свалить в другую сторону!
Я совершенно о другом спрашивал-говорил.

Всё! Хватит! Разобрались уже!


Цитата:

Не было мысли, что всё дело в цифровой подписи на "неизвестном" файле?

Я уже устал.. Перечитай вопросы и задачи.. Пох есть ли "какая-то подпись" или нет. Я хочу получать алерт при каждом изменении экзешника. И пох кем, когда и каким способом он был изменён.

А что это это работало нужно:
а) держать в базе хеши всех ранее использовавшихся файлов
б) держать пути этих файлов*
с) при каждом обращении сравнивать б по а

* иначе нужно будет сравнивание каждого-с- каждым. А это с повторным вычислением ВСЕХ хешей. В реалтайме при каждом обращении к каждому файлу (ок, не каждому, а только "из зоны риска"- экзешники, дллки и тд).

И снова ты игнорируешь прямые вопросы, что намекает.

Цитата:

И снова ты игнорируешь прямые вопросы, что намекает

И снова ты пытаешься съехать.. да и не важно это уже..
Игнорирую говоришь? А ты не понял, что я ответил?
Ок, отвечаю прямо:
Нет, ничего снимать не надо!!!
Дальше флудить будешь?
Я - пас.

чтд

Se_Vlad
Recursion
Завязывайте, узкий спор в ПМ разбирайтесь.

Plalekseyushka
Да нажми всё по умолчанию, и начни новую жизнь

Ч/Б список антибаннера от 18.02.2011 г.

Размер: 95,21 КБ

multi-up.com
forum.kaspersky.com

Misha1989
Поставьте галочку при вводе пароля "Запомнить на текущую сессию".
Зачем? Эта мера безопасности совсем не лишняя. Плюс сессия у меня длится днями и неделями.
Я просто хочу, чтобы пароль не спрашивался два раза в одном событии.

mitrichbel
Цитата:

Я просто хочу, чтобы пароль не спрашивался два раза в одном событии.

Видимо Каспер видит в этом два события.