Jump to content

WhKitten

Members
  • Content Count

    172
  • Joined

  • Last visited

Everything posted by WhKitten

  1. Позновательно. Не согласен, что антивирус ничего не может... В usermode загружается GUI. Не знаю, как в Windows 8, но в Windows XP драйвера запускаются до usermode программ. В 8ке в любом случае они тоже должны быть запущены достаточно рано. Далее уже драйвер антивируса может проводить сканирование всех файлов, к которым происходит обращение. Если это вирус и GUI не запущен, то драйвер блокирует доступ, но вирус не удаляет.
  2. Всё-таки отечественный продукт. Я бы подождал отзывов независимых экспертов, если хорошо себя покажет по результатам тестов, то это главное... У других производителей (кто в топе) тоже не всё с этим прекрасно. Сейчас вообще сложность ПО сильно выросла, вместе с числом багов...
  3. Да, но если IP адрес не сохраняется, то как это может быть использовано против меня? А если сохраняется, то будет грандиозный скандал... Или есть информация, что KSN передаёт и собирает персональные данные? Сам факт возможности сохранения IP адреса в сообщение, не означает, что он будет сохранён на серверах в KSN. Если мыслить, что это всё же несёт угрозу, то Вам надо первым делом удалить Windows - там столько информации передаётся в Microsoft теперь - в том числе и персональной и она даже хранится... я уж не говорю про все продукты Google. Вообще тогда надо ставить Linux и использовать только open source программы.
  4. Этоже самый настоящий ДОС с Вашего компьютера на телевизор! :-) Как он 50Мб обработает - повиснет ещё, вот Касперский и пишет об атаке. Вообще SYN Flood это когда слишком много попыток подключений к серверу в единицу времени. Настолько много, что сервер виснет и не принимают больше подключения. У Вас сервер? Если всё работает после атаки, то Касперский ошибся - игнорируйте это сообщение.
  5. Ошибки 0x80070522 и 0xc1900102 это проблемы в Windows, Касперский к ним не имеет отношения. 0xc1900102 связана в частности с перемещением профиля пользователя на другой диск. И учитывая эту проблему, перемещать профиль остаётся только Junction ссылками, что делает все правила для файловой системы в Identity Protection неактуальными... 12 часов, так как надо было 10 раз скачать дистрибутив после ошибок, тут тоже виновата Microsoft (инсталятор удаляет все установочные файлы после ошибки) Я не блокирую ничему доступ, я просто блокирую доступ по умолчанию. Всегда надо расчитывать на худший случай: вдруг этот блок заблокирует какую-то опасную активность, которую всё остальное пропустило. А тем программам, которым объективно нужен доступ для работы, я доступ разрешаю. Если я знаю, что это вирус и хочу его заблокировать, то я просто его удалю. Поэтому если что-то запустилось, то скорей всего я не знаю, что это. Так, если я не знаю что-то, то всё что я счёл опасным антивирус будет блокировать без вопросов ко мне. Если программа итак работает, то и хорошо. Если не работает, то становится понятно зачем ней нужен такой доступ и я ней его даю. Но это всё мелочи, у Вас поиск в меню Пуск быстро работает?
  6. Проверьте правила антивируса, может быть касперский себя добавил какую-нибудь ограниченную группу? Добавьте его в Trusted. У меня такая ерунда была после обновления, но на 2013 версии.
  7. После 12 часов мучений обновил таки Windows 8 до версии 8.1 с 10ой попытки (ошибки 0x80070522 и 0xc1900102 на середине установки это пол-беды, но кто в Microsoft придумал проверять системные требования после скачивания 3Гб установочных файлов и удалять установочный файлы в случае любых проблем и при этом не предоставить этому никакой альтернативы? :pray: ). Касательно Касперского 2013 (патч I). После установки Касперский решил удалить все мои правила для приложений, а так как у меня для группы Trusted многие правила стоят как Block, то тем самым антивирус сам заблокировал себе доступ в Интернет и чтение/запись своих настроек, неговоря уже о бедной системе! Пока возился с ошибкой 0xc1900102 обнаружил способ обхода защиты Application Control -> Identity Protection антивируса. Предположим есть правило для папки C:\SomeFolder\* блокирующее в неё запись для всех программ. Создаём папку D:\SomeFolder и создаём на неё ссылку (mklink /J C:\SomeFolder D:\SomeFolder). Открываем C:\SomeFolder - можем делать в этой папке что угодно. Скажите, а причём тут антивирус, когда мы не запрещали запись в D:\SomeFolder? Большинство правил в Identity Protection прописано с переменными среды, если в переменной среды встретится ссылка, то защита работать не будет. Например: mklink /j C:\Users\user D:\Users\user отключит весь Identity Protection для пользователя User. Не уверен, что дело в антивирусе, но система жутко тормозит. Особенно, если воспользоваться поиском в меню пуск, т.е. после нажатия <Win>, Some long text to search Explorer виснет на несколько минут, при этом захватывая с собой систему. Это делает невозможным использовать поиск в меню пуск. Как тут уже писали, Internet Explorer отключил все настройки Касперского, кроме Url Check, как несовместимые. Надеюсь в 2013 версии эту проблему тоже исправят, всё таки критический баг, на мой взгляд... И надеюсь будет возможность поставить / переставить 2013 версию антивируса на Windows 8.1 без переустановки Windows?
  8. Вот в этом проблема! Тогда netsh выполнять не надо. Введите route -f и перезагрузитье компьютер. Строчка должна исчезнуть.
  9. Странно, попробуйте netsh interface ipv4 set address name="Подключение по локальной сети" source=static address=192.168.0.1 mask=255.255.255.0 gateway=none
  10. Нет, но шлюз Вы всё же не удалили... возможно он не отображается в настройках, у Windows есть глюки по этому поводу. Посмотрите вывод ipconfig /all и route print скорее всего увидите шлюз (напротив строчки 0.0.0.0 0.0.0.0)... поишите в дополнительных параметрах, там есть список шлюзов.
  11. У Вас указан шлюз для интерфейса 192.168.0.1. Удалите все шлюзы в дополнительных опциях IP этого интерфейса (также смотрите настройку метрики в моих сообщениях). Введите cmd /k route print
  12. Точно шлюз удалили из подключения 192.168.0.1/24? Введите cmd /k route print и выложите результат. Попробуйте в свойствах сетевого соединения в дополнительных опциях "Internet Protocol Version 4" снять галочку "Автоматическая метрика" и установить 10 для модема с мегафоном и 1000 для 192.168.0.1. Если сеть Интернет не появится после этого введите cmd /k route print.
  13. Выполните cmd /k tracert -d 8.8.8.8 и выложите результаты. Прокси в настройках IE стоит (Connections -> Lan settings)? Получается зайти на компьютер 6 по IP? Введите в строке проводника \\192.168.0.6. Может быть на компьютере № 6 включён брандмауэр Windows? В свойствах сетевого соединения везде стоят галочки "Client for microsoft network" и "File and printer sharing for Microsoft Network"? Правило выше на всех компьютерах прописали? Попробуйте поставить (там где не XP): Пуск \ Выполнить \ secpol.msc -> Политика списка сетей -> Неизвестные сети -> Расположение: Частные С шестого компьютера выполните ping -n 100 -f -l 1472 192.168.0.1. Какой процент потерь? Попробуйте в настройках драйвера сетевой карты установить 10Mb/s Half-duplex на всех компьютерах.
  14. Всё, что подписано Microsoft, как Лабораторей Касперского без вопросов Trusted. Есть разница между доверием производителю используемой мной ОС и доверием к ПО на основании данных KSN.
  15. Главное в настройке безопасности как можно меньше доверять. Доверять надо, но только если это необходимо. Я думаю очевидно, что нет необходимости доверять кейгену.
  16. Потому что шлюз выключен и не отвечает ARP. У меня 2014 версии нет. Попробуйте в настройках KIS: http://support.kaspersky.ru/9733#block2 выбрать "Настроить пакетные правила" и создать правило в самом верху на всех компьютерах: Действие: Разрешить Направление: Входящие/Исходящие Адрес: Адрес из списка Удаленный адрес: 192.168.0.0/24 Локальный адрес: Адрес из списка Локальный адрес: 192.168.0.0/24 Сеть без шлюза по-умолчанию считается общественной в Windows, для общественных сетей SMB запрещён. Когда Вы отключаете KIS доступ начинает блокировать брандмауэр Windows. Пуск \ Выполнить \ secpol.msc -> Политика списка сетей -> Неизвестные сети -> Расположение -> Частные (но это плохо скажется на безопасности) Также можно редактировать ARP таблицу вручную, попробуйте прописать в автозагрузку: arp -s 192.168.0.1 1C-6F-65-5C-74-2C Шлюз 192.168.0.1 не должен будет исчезать...
  17. Сколько у Вас программ в группах, отличных от Trusted? General settings -> Select action automatically стоит? У меня одно, галка не стоит. Настройки почти такие же. Лаборатория проверила всё лично? Сомневаюсь... И почему я обязан доверять тому, чему доверяет лаборатория Касперского? Я подписи доверяю больше, чем Лаборатория Касперского. С подписью всё понятно, кем выдана, когда, зачем и для чего. С KSN ничего непонятно. Никто так и не смог предоставить ссылки на информацию, как этот KSN работает и работает ли вообще. Для меня это обычный чёрный ящик. Если бы этот чёрный ящик говорил, что это опасное ПО, то ладно я бы ему поверил. Но в том, что это Доверенное приложение я ему верить не собираюсь. И вообще, зачем кейгену все те права, которые предоставляются доверенным приложениям?
  18. Угу ищи в этом длинющем списке левый батник который час назад запускал. Любая группировка упростит поиск. А правила мы задаём по тому доверяет ли лаборатория касперского кому-то или нет. А я хочу писать правила не только в зависимости от этого, но и ещё в зависимости от того доверяю ли Я этому приложению или нет. А Лаборатория Касперского, как мы выяснили доверяет не только действительно известным приложением, но и абсолютно левым (на примере keygen'а в этой теме). И доверять Signed приложениям больше, чем Unsigned я не могу, а это логично. Ну да большинство пользователей всему доверяют (в том числе вирусам и левым батникам) для них проблемы нет - им вообще нужно две группы Trusted и Unknown. И ещё один Feature Request: автоматическое удаление из этого списка несуществующих приложений.
  19. Где это написано? Логично было бы предположить, что пустой пароль для пользователя SA, к MSSQL серверу запрещает вход на него через сеть. Но это не так. Не я буду сортировать, а антивирус! Эти скриншоты демонстрируют проблему в текущей версии, которые предлагаемое нововведение решает. Хотя да, "Trust application with digital signature" обладает другим функционалом. Тогда можно её оставить. Или можно так и галку убрать: Trusted |-Signed |-Unsigned Low Restricted |-Signed |-Unsigned High Restricted |-Signed |-Unsigned Untrusted В группу Trusted программы попадают только из KSN, т.е. работает так как галка снята. Для всех Signed групп по умолчанию сняты все огранения, как сейчас для Trusted.
  20. Можно установить для группы Trusted Unsigned дополнительные ограничения без риска получения кучи предупреждений и долгой настройки. Одно дело контора не стесняется написать, что это её творение, а другое дело стесняется или это непонятно, чьё приложение и было ли они изменено. Большая часть приложений подписано, так что это облегчит настройку. Сейчас, чтобы иметь такие настройки необходимо вручную редактировать правила для всех подписанных приложений, что контрпродуктивно и не стоит того. К тому же группировка списка будет более удобная. Приложение будет легче найти в длинном списке. И никаких минусов! К тому же опция Trust Application with digital signature будет ненужна и её можно будет убрать, что повысит юзабилити. Сплошные плюсы и реализовать это думаю несложно будет.
  21. Не понятно, что эта опция делает. По хорошему, если приложение подписано, но ключ, которым подписан приложение был подписан отозванным ключом или подписано непосредственно отозванным ключом или этим ключом (или одним из ключей, которыми он подписан) было подписано вредоносное приложение или ключ вообще не был подписан, то приложение должно считаться неподписанным. Т.е. если Microsoft подписала, что-то, а потом ключ украли, то всё что им подписано должно стать неподписанным. У меня сомнения, что антивирус всё это проверяет. И всем подряд тоже доверять не хочется. Одно дело Microsoft, а другое дело неизвестная китайская компания.
  22. Т.е. этот кейген прошёл через вирусную лабораторию и они решили, что он не опасен? Просто, как я написал, файл может достаточно долго не нести никакой опасности, а потом вдруг стать опасным. :-) Я цифровой подписи верю, её невозможно подделать, к тому же сертификаты могут отзываться, что выглядит безопасным. А подписанные вирусы вообще должны мгновенно детектироваться. Проблема как раз с доверием неподписанным приложениям, типа этого кейгена. Непонятно кем они написаны, изменялись ли кем-то посторонним или нет... Вообще Feature Request: делить приложение не на: Trusted, Low Restricted, High Restricted, Untrusted, а на Trusted Signed, Trusted Unsigned, Low Restricted, High Restricted, Untrusted.
  23. Предполагаю... Т.е. приложения идентифицируются не по хешам испольняемого файла, а по результатам эвристического анализа и он проводится при каждом подозрительном действии? Если результаты анализа изменились, то приложение может быть перемещено в другую группу?
  24. В качестве кейгена можно внедрять без лишних подозрений в взламываемую программу зашифрованный вредоносный код (пользователь сам нажмёт Patch). Когда заражённая программа запускается, она делает DNS запрос определённого имени, если имя не существует, то зловред не активируется. Если имя существует, то полученный IP адрес есть ключ расшифровки ссылки. Переходим по этой ссылке, получаем другую ссылку, с которой качаем DLL с обновлением. В коде заражённого процесса вызываем LoadLibrary и запускаем из этой библиотеки новый поток с вредоносным кодом. Процесс доверенный? Доверенный! LoadLibrary обычные программы постоянно вызывают - ничего подозрительного. Заражённый файл в доверенных - Да! При следующем запуске, если DLL существует, сразу делаем LoadLibrary. И как антивирус узнает, что это доверенное приложение стало страшным червём? Да DLLка неизвестная, но загружается то она доверенным приложением. Вирусописатель естественно проверил DLLку антивирусом, чтобы убедится, что её нет в базах. Пользователь естественно не заметил, как у WinRAR добавился новый "функционал", а его компьютер стал членом ботнета. WinRAR естественно продолжит работать, лишний поток ему работать межать не будет. Установка ограничений для доверенных программ сильно усложняет настройку антивируса, так что не вариант... При этом Microsoft не будет так делать, а если и будет, то антивирус всё равно не спасёт и мне не нужны такие ограничения для программ от Microsoft, Adobe, Oracle, Google, Kaspersky и других корпораций. Надо тогда вводить отдельную группу, доверенные без ЭЦП или что-то в этом роде. Но проще всего, чтобы кейгены в доверенные приложения просто не попадали. Ну и напоследок у взламываемого приложения вполне могут быть админские права, поэтому можно вызвать к примеру ICACLS /DENY, чтобы запретить системе доступ к драйверам антивируса и перезагрузить компьютер, простившись с антивирусом.
  25. Нет, но я вкурсе, что доверенное приложение, может делать на компьютере жертвы что угодно, а кейген не может быть доверенным. Вредоносный код можно зашифровать, если что, а ключ расшифровки прислать приложению по сети в 2016 году. Я не понимаю, что может сделать КСН и какие его возможности меня спасут...
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.