» Kaspersky Internet Security - KIS (часть 8)

Recursion

Цитата:

ЛК наплевать на большинство здешних заседателей, ты не находишь?

Ага, главное домохозяйки надежно защищены KSNом, ведь они не снимают галку, и уж точно не полезут в реестр.

strannik727
Ну, на самом деле наплевать, будут ли они снимать галку или нет - UDS же продолжает работать. А в реестр да, они не лезут. Да чего там домохозяйки, ни один из моих знакомых IRL и я сам не лезем, ведь нафик не нужно.

strannik727

Цитата:

У большинства, здешних обитателей, KSN выключен, в том числе через реестр, так что решение с увеличением времени выкладки баз весьма спорное.

KSN можно выключить только через реестр!

Есть вопрос.
Имеется произвольный непроверенный и неотработанный КИСой файл.
Возможно ли заставить КИС игнорировать (не проверять по АВ-базам и не "отрабатывать" его UDS-ой ) именно этот файл в случае если отработка в Песочнице КИСы не обнаружит в нем активности (по заранее прописанному доверенному правилу HIPS).

cdrom2
Ну исключение для UDS на него задай.

Recursion
Цитата:

Ну исключение для UDS на него задай.

Имя файла и его размещение, так и имя угрозы в АВ-базе заранее не известны!
Размещаться файл может на флешке, сетевом диске и т.п (приходят они в большом количестве и с разных источников). Я заранее знаю только доверенный тип активности "туевой хучи" файлов!

А "не проверять по АВ-базам" (только для файлов с доверенным типом активности) не выйдет ???

cdrom2
KSN детект начинается на UDS. Ну так и добавь UDS* для имени *

Recursion

Цитата:

KSN детект начинается на UDS

А можно узнать полную последовательность детектов в КИС ??? (KSN, проверка файла в песочнице, проверка по АВ-базам и т.п.) И можно ли в этой цепи переставлять порядок отработки модулями местами???

Я заранее не знаю ни имени файла, ни название потенциальной угрозы (по базам), ни хеш... И как КИС узнает какой (неизвестный ей) файл, например файл .exe, не надо отправлять по UDS...? Ведь мне некоторые новые файлы (файлы с недоверенной активностью) отправлять все-таки нужно...?

Цитата:

А можно узнать полную последовательность детектов в КИС ??? (KSN, проверка файла в песочнице, проверка по АВ-базам и т.п.) И можно ли в этой цепи переставлять порядок отработки модулями местами???

Ну, чисто логически:
1. Файловый антивирус:
1.1. Эмулятор
1.2. KSN
2. HIPS
2.1 Эмулятор HIPS
2.2. Правила HIPS
3. PDM
Ну, как-то так.

Цитата:

И можно ли в этой цепи переставлять порядок отработки модулями местами???

Ну, выключив компонент ты уберешь звено цепи. Отключив эмуль в файловом АВ, ты сократишь на одно звено п. 1. Получив файл по почте, перед п.1 появится Почтовый АВ.

Цитата:

Я заранее не знаю ни имени файла, ни название потенциальной угрозы (по базам), ни хеш... И как КИС узнает какой (неизвестный ей) файл, например файл .exe, не надо отправлять по UDS...?

UDS ничего не отправляет. Отправляет KSN (а если правильнее, отправляет инициирующий модуль через KSN), а в ответ принимает результаты, в том числе UDS детект.
Если ты сам ничего не знаешь, то, думаю, не сможешь и исключения задать.

Цитата:

Ну, выключив компонент ты уберешь звено цепи.

Понял, переставлять местами нельзя...

Цитата:

Если ты сам ничего не знаешь, то, думаю, не сможешь и исключения задать.

Я точно знаю гарантированно запрещенные виды активности новых файлов...#

, файлы с другой активностью - полностью доверенные

Господа ведущие
Подскажите, как Win 7 64 bit киска обновился только 64 битовый часть, а то обновляется и 32 битовый часть
05.03.2010г SergeyGolubev посоветовал это пути в реестре Windows для 32-битной и 64-систем, а точнее чем они отличаются, не обобщая (для пользователей продуктов касперского)...

Цитата:для х86 систем ключ реестра будет таким:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage
для х64 систем ключ реестра будет таким:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\LicStorage

У меня сейчас 64 бит как выше указано, но все равно обновляется оба

на сколько я понимаю,этот ключ
Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage

ни коем образом не относится к обновлениям\
а отвечает за установленную лицензию

KIS 11.0.2.556 не даёт мне и используемым мной программам изменить файл hosts.
Как его заставить спрашивать меня, одобряю ли я изменение этого файла или нет? В старых версиях он поступал именно так.
Можно добавить приложение в группу Trusted в секции Application Control, но я хочу, чтобы он именно спрашивал меня.
Что-то в настройках найти не могу.

cdrom2
Дык это ты перечислил почти все существующее ПО. Даже некоторые портабельные программы нет-нет, да и запишут в реестр чего-нибудь. Ты можешь настроить HIPS для, например, сильных ограничений так, чтобы там ничего нельзя было делать из перечисленного и включить автоматическое помещение программ в эту группу. Тогда то, что не делает такой активности будет работать нормально, а что делает, то выполнять ее не сможет. Но тебе еще придется создавать свои ресурсы для контроля.
wyxa
В настройках HIPS (Программы) разверни строку, связанную с параметрами ОС (лень смотреть в настройки ) и увидишь что-то вроде "Критические параметры системы". По умолчанию для всех ограниченных там безусловный запрет. Можешь для слабых поменять на запрос.

Recursion
Цитата:

Ты можешь настроить HIPS для, например, сильных ограничений так, чтобы там ничего нельзя было делать из перечисленного и включить автоматическое помещение программ в эту группу

Мне не надо ограничивать активность всех новых программы настройками HIPS, мне надо, что бы новые программы с "доверенным" типом активности автоматом не проверились никакими модулями КИС, естественно кроме первой проверки в песочнице для подтверждения ее безопасности и автоматического внесения ее в группу сильных ограничений (на случай если проверка не выявила все типы нежелательной активности)...
...
- Новый файл
- Проверка его в песочнице
- Результат проверки - отсутствие перечисленных видов активности
- Автоматический запрет на отработку его всеми другими модулями КИС
- Включение его в группу сильных ограничений (...на всякий "пожарный").



Очень плохо и нежелательно, что необходимо дополнительное ПО HIPS , которое для КИС будет дополнительным материнским процессом...

Цитата:

мне надо, что бы новые программы с "доверенным" типом активности автоматом не проверились никакими модулями КИС

Доверенные - это те, которые не выполняют действий из списка выше? Нет, никак. Можно только workaround сделать. Как писал выше, запретить ХИПСом все это дело и выключить файловый АВ. Тогда все, что не выполняет действий (или выполняет, но не падает, когда не может выполнить) будет спокойно работать минуя проверку файловым АВ, а то, что выполняет и падает при отлупе просто не запустится и снова не попадет под проверку файловым АВ.

Цитата:

Очень плохо и нежелательно, что необходимо дополнительное ПО HIPS , которое для КИС будет дополнительным материнским процессом...

ХИПС, это "Контроль приложений" в KIS.

Цитата:

и выключить файловый АВ

...но для других файлов АВ все-таки нужен! Значит нет.

Цитата:

Можно только workaround сделать

Очень печально.


Цитата:

ХИПС, это "Контроль приложений" в KIS.

Имелось ввиду отключение "Контроля приложений" и установку стороннего "чистого" HIPS и песочницы... (нужен вариант что бы это ПО отдавала право работать с файлами для КИС, если это ПО определит активность как "недоверенную").
"Контроль приложений" в KIS и АВ в КИС недостаточно гибки в настройках
- невозможность изменить порядок отработки объекта модулями Песочница, Контроль приложений и АВ
- соотвественно результаты отработки в Песочнице никак не управляют отработкой (конкретного объекта) Контролем приложений и АВ.
Интересно пойдут ли ЛК на реализацию этого...?

Цитата:

- невозможность изменить порядок отработки объекта модулями Песочница, Контроль приложений и АВ

Это не недостаток HIPS Это логика работы всего продукта.

Цитата:

- соотвественно результаты отработки в Песочнице никак не управляют отработкой (конкретного объекта) Контролем приложений и АВ.

Неверно. Когда PDM словил опасное действие в Песочнице, он будет пихать программу в Недоверенные ХИПСа, если ты разрешишь. Т.е. влияет.

Цитата:

Это логика работы всего продукта.

Да. Но и ложные срабатывания... И обращения в ТП... И лишний шок для блондинок...


Цитата:

Т.е. влияет.

В одну сторону... недоверенных ХИПСа..., а не доверенных...

Результатом UDS детекта можно было бы дополнить (как вариант по выбору): "детектом угрозы" или приемом с серверов ЛК данных о реальной активности файла...

Цитата:

Да. Но и ложные срабатывания... И обращения в ТП... И лишний шок для блондинок...

Не-а. По KSN от домохозяек приплывет срабатывание на чистый файл и его устранят. Т.е. от них не требуется никуда обращаться. Ну а уж позвонить на 8-800- может и любая блондинка, если ей захочется.

Цитата:

В одну сторону... недоверенных ХИПСа..., а не доверенных...

Честно говоря, ты меня запутал и я уже не понимаю в твоих многоточиях, что ты говоришь. Но, в общем-то, я все уже описал и мне добавить нечего будет.

Цитата:

Честно говоря, ты меня запутал и я уже не понимаю в твоих многоточиях

Итог. Я понял, что КИС не может бороться (точнее сказать "предотвращать") с ложными срабатываниями самостоятельно (автономно)!

Господа, освежите память: где там у нас в реестре сидит ключ, отвечающий за превращение беты в релиз?

gjf
Цитата:

Господа, освежите память: где там у нас в реестре сидит ключ, отвечающий за превращение беты в релиз?

В Варезнике в шапке разве не оно?
Цитата:

Использование обычных ключей в бета-версиях программы

firewall2006
Ух ты. Ну бывают бока у всех
Оправданием будет то - что для очень благого дела надо

ребят, кто сталкивался с подобной проблемой:
система Win7 x64, KIS 2011 (билд 400, а теперь 556).
avp.exe *32 работающий от имени системы грузит машину по полной, да так что работать невозможно.
наблюдается преимущественно после запуска трехмерных приложений и игр.
проявляется не всегда, выявить условия для создания данной ситуации пока не удалось.
читал форумы, грешил на руткит, но поиск и тщательная чистка системы не дали результатов.
где то советовали просто переустановить КИС-а, мол на время все решится, но после перезагрузки снова имеется то что и было с 400 билдом но уже на последнем 556-том.
в настройках стоит "уступать ресурсы другим приложениям".
данная проблема возникла после обновления системы первым сервис паком, кто может помочь советами буду признателен!

заранее благодарю.

AngelNet
А с отключённым просто АВ проявляется? Или только с полностью выгруженным?

AngelNet
попробуй так,удали дрова на видяху
перегрузи комп,семерка должна свои дрова поставить,потом наверное потребует опять перезагрузку
и посмотри останется ли проблемма
если все норм ставь дрова обратно,если нет попробуй на чипсет переустановить драйвер
возможно поможет,было что то подобное,скорее всего не в Каспере дело

Запустил keygen для aida64 и тут начался цирк адовый. Ну, в стиле каспера как всегда уж. Отключил файловый антивирус, киген выкинул в корзину, но корзину очистить уже не удается, видимо каспер заблокировал. Это кстати уже не первый случай такой, ладно удалил в безопасном режиме. Загружаюсь и о что я вижу, все мои гаджеты пустые. Все в стиле KaspersCrap.

http://www.avirus.ru/content/view/190/116/ И оттуда -Худший результат показал фаервол Kaspersky Internet Security
Это че так?