Jump to content

Grummann

Members
  • Content Count

    171
  • Joined

  • Last visited

About Grummann

  • Rank
    Cadet
  1. Ну если отец так любит юзать всё подряд и терпеть не может запреты режима безопасного ПО или UAC-а Windows, то да, ничего другого и не выдумать для него. По режиму вот здесь всё расписано подробно: https://eugene.kaspersky.ru/2013/09/09/kaspersky-internet-security-2014-trusted-applications-control-mode-default-deny-feature/
  2. Поведение рисуется по API: создано то, вызвано это. Разве нет? Если это не "экспертный HIPS" (это термин, а не придумка, вы говорите о "классических HIPS"), то что тогда? Динамич. эвристика - это другое, это pre-execution. В одной из статей это прямо подтверждено(сходство повед. блокеров и эксп. HIPSов, просто народ не путают и говорят о поведенч. блокировке) : "В данной статье были рассмотрены как HIPS-системы, демонстрирующие перспективные подходы к защите компьютера, так и автономные продукты, которые могут применяться совместно с имеющимися антивирусами и Firewall. Следует отметить, что разработчики антивирусных продуктов понимают преимущества HIPS, и в составе многих антивирусов уже появились достаточно мощные поведенческие блокираторы. Достоинства интеграции антивируса и IPS-системы очевидны: сигнатурный анализатор упрощает принятие решения, а анализ поведения приложений позволяет строить сложные и эффективные эвристические алгоритмы. В качестве примеров можно привести разработанную специалистами «Лаборатории Касперского» технологию Proactive Defense Module, технологию Panda TruPrevent (применяется в линейке антивирусных продуктов Panda Antivirus) и аналогичные решения, используемые в других антивирусах." Матчасть в помощь. Неужели вы реально думаете, что для банальщины сделали целое название и кнопку включения, если итак всё можно было включить и ходить недалеко. Я больше скажу - эта штука якоби ориентируется на шаблоны поведения аномалия/не аномалия, так что если браузер разрешённый начнёт бурагозить, режим его закроет, ибо тот был проэксплуатирован, не слабо? Так пишет сама ЛК. И зачем это, интересно, если можно и без этого выяснить экспертными методами что, да как? Хоть VT, хоть репутация, хоть в вирлаб на крайняк отправьте, через сутки ответ придёт. Ну поставьте виртуалку и пробуйте - и полноценно, и не заражая основную. Да и в целом гранату взрывать в шкафе не опасно, пусть и не гранату, а по вашему мнению всего лишь петарду? Петарда гранатой может оказаться - выйдет за пределы песочницы, такое случается. В конечном итоге антивирус - эксперт, он должен отвечать на вопросы, поэтому и убирают со временем весь этот допотопный хлам. А в корпоративе песочницы стали анализаторами, дающие ценные данные о поведении, либо для изоляции странного ПО на время, либо для изоляции от эксплойтов.
  3. Строго говоря, одно и тоже, это экспертный HIPS. Контроль программ - HIPS не экспертный, а на правилах. Если я правильно помню, тогда ещё был старый недоHIPS из ранних поколений - PDM, его имели в виду? В KIS 2011 был SW, PDM и КП, вроде убрали как раз PDM, хотя забавно то, что вердикты в касперском до сих пор пишут PDM:... Так вот функционал PDM перебрался в Контроль программ и SW, в первый отошло то, что снижало поверхность атаки, во второе то, что реально обнаруживало что-то. Всё сложнее и интереснее - этому режиму парой плевать на группу в Контроле программ, он угадывает где нужно блочить по облаку, а где игнорить его незнание просто новой версии надёжной проги, которая уже установлена. Работать комфортно обычному юзеру, респект разрабам. Похожее видел только у Symantec - у них есть контроль загрузок, агрессивность которого настраивается - тоже позволяет запереть систему надёжно от 0day и при этом в системе хоть исходники запускай - всё без проблем работает, хоть и неизвестное. Никакого толку от песка нет в любом случае, потому что этот метод не даёт ничего понять. Если бы песок рисовал вам дерево действий проги - ок, но так ли это надо сегодня, когда даже аваст с майкрософтном набирают предТОПовые результаты в тестах, ибо реально индустрия повзрослела. Не за горами времена, когда вообще не будет смысла всё это покупать и устанавливать и актуально это будет только для корпоративных юзеров. И неужели в сервисах почты сегодня нет этого?
  4. Проблема в том, что ЛК решение на исправление часто откладывает на долго. Наверное их можно понять - амбиции, конкуренты дикие, не до домашних юзеров, продукт сложный к тому же, но всё таки не первый раз. ЛК должна понимать, что многих это раздражает и влияет на репутацию, положение на рынке по прибыли у них не меняется уже несколько лет, ЛК стагнирует, а Sophos отогнала их на 5 место по выручке с 4. Приспособиться можно, но зачем постоянно приспосабливаться, если альтернативы есть, хотя они не такие богатые по функционалу, но ведь сегодня общий уровень защиты возрос небывало, не сравнить с 2009-2013 годами, творился ведь ужас, необходимо было усиливаться, а сейчас с этим проще. С другой стороны, рынок домашних антивирусов начинает схлопываться, Microsoft очень успешно развивает Защитника, многим подойдёт банально Kaspersky Cloud Free, ведь в нём даже IDS есть с поведенческим, бесплатники многие приблизились к топовикам...компании будут всё меньше уделять внимание юзерам.
  5. Столкнулся с тем же самым. Это не дело. Придётся отложить покупку продукта. Сначала эта проблема, потом другая...это плохой сервис, далеко не первый раз такое. Только обрадовался, что Касперские довели этот сложный продукт до ума и началось. Очень жаль, продукт уникален тем, что создан не для домохозяек и в отличие от Comodo относительно менее глючный, точный и эффективный. Придётся ставить либо Bit, в котором нет богатых настроек, либо ESET, который не такой эффективный и ручные настройки там уж слишком ручные - до маразма доведут. Все остальные ТОПовики Западные - их защита строится на том, что в мире лицензинного ПО всё предсказуемо и бархотно, малейший сдвиг - Ws.rep.1, Heur.AdvML.B...и механизм исключений тяжёл - устал за 10 лет пользования.
  6. And where is logic? UDS = Urgent Detection System, PDM = Proactive Detection Module, HEUR = heuristic, VHO = ...Object? Why mark malware that tag? there is no technical meaning
  7. 1 - системные требования обновляться могут с задержкой 2 - патч B принёс поддержку 3 - W10 не достигла финального релиза, тема смысла не имеет. Когда выйдет и будут проблемы - будет смысл говорить об этом обо всём.
  8. На сколько я помню, "Неизвестная угроза" - не проактивно найденная, а совершенно неизвестная. Объясняю. Если внутри файла найден проактивно или реактивно вредоносный сегмент кода, то в карантин летит не сам сегмент, а файл, в котором сегмент был найден, в чём прикол? В том, что сам файл, в котором была вредоносная часть не был распознан антивирусом, был распознан именно сегмент, так что в карантине сегмент помечается как конкретная угроза, а файл - "Неизвестная угроза". Это логичнее выглядит, если представить себе дроппер (которых может целая тонна для одного вредоноса, дропперы используются для обфускации), причём он сам не детектится, а вот спрятавшийся в нём зловред детектится. Дроппер тоже нужно проанализировать и задетектить, ибо в нём могут быть другие вредоносные сегменты, могут быть какие-то особенности интересные. Думаю, нужно выключить антивирус, в карантин нажать Восстановить, потом зайти в раздел исключений, пошаманить, включить антивирус, но вы мало подробностей дали.
  9. Вы должны убедится, что ограничения не наследуются (теоретически вы можете быть правы, но надо точно убедится), я выше привёл пример скриншота и как его добыть, а добыть можно путём включения Интерактивного режима и просмотром инфы из алертов КП. Ещё раз обратится к посту №9, сначала сам проект стартует, а потом уже вызывается сопровождающее ПО, в вашем случае запускается ограниченный исполняемый проекта, а потом ограничивается работа JVM. Понимаете, вы в сети можете найти даже Java-эксплойты, которые являются файлам jar, но благодаря наследованию, Касперский не даст им нормально работать, ведь ограниченный jar не сможет задействовать ("запустится через JVM" без ограничений) Доверенную JVM без препятствий, ибо JVM на время меняет свою группу на группу источника (проекта). То, что JVM, обеспечивающая работу проекта, доверенная - ни о чём не говорит в данном случае, Касперского это не интересует, главное - кто источник, а источник ВЫ (ваш проект). Когда я пользовался Касперским и искал решение проблемы, я Console Application писал на C#, тормоза если и были, то не раздражало, а у вас полноценный проект на Java, тогда тормоза наверное действительно очень явные. Если у вас стоит именно НЕ интерактивный режим защиты и КП у вас ничего не спрашивает, при этом есть тормоза, тогда вам придётся отказаться от использования продукта, я не вижу других вариантов. Но чтобы убедится в том, что причина правильно найдена, удалите KIS (утилитой удаления, лицензию нужно как-то вынести, чтобы KAV пробную дал начать), поставьте KAV (в его составе нет КП). Если тормоза проходят, то виной именно КП в KIS. В таком случае, выбирайте другие продукты защиты: Norton, ESET, McAfee или TrendMicro. Возьмёте пробные режимы и попробуйте, хорошие антивирусы.
  10. Я согласен. Механизм наследования затем и нужен, чтобы вирьё не использовало доверенное ПО безнаказанно. Касперские итак сделали гибкую систему исключений, на уровне КП в том числе. Просто всем не угодить.
  11. Нет, это не действует, прикол в том, что при запуске ограниченного приложения всё другое ПО сразу получает ограниченную такую же группу и когда вы нажимаете в алерте на выдачу Доверенной группы, вы выдаёте её в данный момент всей цепочке запуска только на время этого запуска, не более, сам проект в реальности группу не меняет. Следующая компиляция - вопросы те же. Может я не помню точно по данному вопросу и Доверенную группу даёт проекту, но программисты обычно часто компилируют ПО и меняют в нём что-то, т.е. вы каждый раз получаете новую неизвестную программу после внесённых изменений, соотв. нет разницы относительно группы, она постоянно будет ограниченной. Наверное действительно проблема узкого характера, но как программисту очень не удобно. На автомате может и неплохо, но тормоза могут быть и причина в том, что проект получает ограниченную групу, а не доверенную, ведь последняя вообще не контролируется КП. По памяти, тормоза КП меня не раздражали, всё же терпимо, меня раздражали алерты и медленная реакция на эти алерты. Сравнив Norton или ESET с Касперским отмечают не нагрузку на систему (сам по себе Касперский лёгкий), а пониженный отклик системы на запуск программ, значок Касперского начинает истерически моргать в таких случаях (иногда высвечивается даже сообщение "Идёт анализ новой или изменившейся программы"), со временем стало ясно, что некому кроме КП так не тормозить, ведь если поставить KAV - всё по-другому. Вообще, меня сей факт не уделяет, Касперский имеет целых 2 HIPSа, оба работают параллельно, один из них ручной. Даже трудно представить сколько багов это может породить. KIS наверняка один из самых сложных антивирусов.
  12. Ааа, да, КР - Контроль программ. :b_lol1: Второй раз не верно аббревиатуру написал.
  13. Тему нашёл: http://forum.kaspersky.com/index.php?showt...p;#entry2357219 Так ведь KIS сам туда суёт проект. KSN видит его первый раз в жизни (в белом списке "доверенного" софта его нет), с каждым изменением хэша всё по-новому для KSN и всё сначала, поскольку эвристика КР не даёт основания для других групп, он суёт в группу неопределённого софта "слабого риска" - "Слабые ограничения".
  14. Если кто-то ещё не понял "Почему механизм исключений для КР не работает для ПО", посмотрите на сообщение №9 этой темы, там скриншот, окно "Последовательность запуска": мы исключаем дз3.exe, но группа "Слабые ограничения" наследуется на остальное ПО в последовательности инициализации. Господи, да если не верите, сейчас юзерок сделает как вы сказали и отпишется. Всё и решится.
  15. Ничего подобного, SONAR автоматический HIPS и работает по-иному (с профилями поведения, нет там заточки под целую кучу правил). Для System Watcher Касперского это не действительно, а для "Контроля программ", который заточен под досканальную работу с множеством юзерских правил - ещё как работает. К тому же, несмотря на один тип системы защиты (HIPS), реализации их разные, а это неизменно повлияет на производительность. Проверьте сами, скачайте Visual Studio, напишите Hello World. Попробуйте проделать то, что вы пишите.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.