Jump to content

ossa

Members
  • Content Count

    27
  • Joined

  • Last visited

Everything posted by ossa

  1. здравствуйте. потому что эта программа относится к категории riskware. а эта категория в свою очередь относится к типу потенциально нежелательные приложения. потенциально нежелательные приложения у ведущих антивирусных вендоров вредоносными программами не считаются и детектируются в зависимости от собственной политики. всего несколько ведущих вендоров выдают детект на установщик данной программы clever_setup.exe. ESET и Ikarus - сигнатурный детект как ПНП, Cyren - эвристикой Olympus дженерик-детект ПНП.
  2. оригинальный WLMerger.exe является частью программы для обновления драйверов и оптимизации игровых настроек NVIDIA GeForce Experience и разработан компанией NVIDIA Corporation. настоящий файл userinit.exe - это безопасный системный процесс Microsoft Windows, который называется "Userinit Logon Application". настоящий Dllhost.exe – это процесс операционной системы Microsoft Windows. Он отвечает за обработку COM+ процессов и управляет приложениями, использующими динамически подключаемые библиотеки. так что то, что вы эти процессы обнаружили у себя в системе ещё абсолютно не говорит о том, что они вредоносные. для проверки запущенных видимых и скрытых процессов советую использовать приложение от Neuber Software - продвинутый диспетчер задач Security Task Manager. скачайте данную утилиту с офсайта Neuber. установите стандартным способом и запустите. дождитесь окончания сканирования. на экран будет выведен список несистемных процессов с рейтингом опасности.
  3. первый действительно ведёт себя подозрительно, устанавливая так называемый глобальный хук, который теоретически может использоваться например для перехвата ввода с клавиатуры. ну вот висит этот процесс в памяти, помалу грузит ЦП, больше никак себя опасно не проявляет. не заметил, чтобы он выходил в сеть. на Вирус Тотал приложение полностью чистое. при этом достаточно старое. можно почти с 99%-й уверенностью сказать, что ничего опасного в нём нет.
  4. поставить семёрку вместо этого сырья от индусов а если серьёзно, в десятке кажется есть возможность откатиться на предыдущий стабильный билд
  5. эти 64-х битные системы поразительно глючные. а если учитывать, что АВ приходится унифицировать одновременно для новейшей десятки и старенькой семёрки, вообще таким багам можно не удивляться.
  6. Как раз advapi32.dll предоставляет пользовательским приложениям специальные функции доступа к реестру. Подключение к COM-интерфейсу advapi32.dll даст приложению возможность работать с реестром полностью легально посредством Windows API.
  7. Смотрите как проходит этот тест HIPS Comodo. Вот какой алерт появляется - на попытку доступа к так называемому "защищённому COM-интерфейсу". Кликнешь "Разрешить" и будет уязвимость. А в "Контроле программ" KIS эти интерфейсы вообще не контролируются. Вот кажется мы и подошли к разгадке
  8. В общем я понял пока одно. Можно сказать с уверенностью, что вот эта опция на скрине контролирует совсем не то, что подразумевают в своём тесте инъекцией KnownDlls разработчики Comodo LeakTests. Поэтому и срабатывания "Контроля программ" нет. Не думаю, чтобы разработчики Kaspersky и Comodo ошибались в таких вещах.
  9. А, ну это да, так и есть. Этот ключ в KIS для 64-х битных систем даже не контролируется "Контролем программ". Привилегии нет. Может быть потому, что для 32-х битных систем эта запись реестра со списком KnownDlls нужна именно для поиска неявно загруженных dll-библиотек.
  10. Не понял, почему это нет? А куда этот ключ подевался в 64-битных системах?
  11. Изменить реестр - это значит приложением clt.exe попытаться внести изменения в данном ключе реестра.
  12. Изменить реестр, а как ещё? Именно этот ключ в автозагрузке
  13. У меня запрос на чтение, запись, создание, удаление выставлен на эту библиотеку для clt.exe. Как там она ещё используется для теста на KnownDlls? Никаких алертов при тестировании Injection: KnownDlls никогда не возникает. Это явно говорит о том, что CLT свободно обходит HIPS KIS.
  14. Эта библиотека читается clt.exe при запуске приложения, то есть вообще до начала тестирования. Если запретить чтение, получаем два алерта о том, что точка входа в процедуру не найдена. Прога CLT всё равно при этом запускается. Далее тест проходится в полном объёме. Если разрешить, будет та же самая уязвимость в инъекции KnownDlls. Отсюда вывод - это просто вспомогательная либа, позволяющая нормально отработать тестовому инструменту. Соответственно за объяснение вопроса это принять невозможно.
  15. ну что ж, приятно было познакомиться с таким уважаемым человеком)
  16. Хорошо. Допустим. Это нормально? Как тогда проверить, работает эта функция или нет? Пока очевидно, что в HIPS Comodo работает, а в HIPS KIS нет. Здесь свободно имитируется замена списка часто используемых системных Dll и "Контроль программ" не реагирует. Правильно я понимаю ситуацию?
  17. Вы вообще HIPS KIS когда-нибудь тестировали? Вы в курсе, что есть такие понятия, как цепочка запуска приложения, наследование ограничений? Если в курсе, то так же должны знать, что если в цепочке запуска имеется хотя бы одно ограниченное приложение, то неважно чем там оно манипулирует, на последующие объекты тоже будут наложены соответствующие ограничения.
  18. Запретил доступ к advapi32.dll обоим экзешникам CLT. В этом варианте тест пройден полностью. Спасибо ответившим за подсказки. Теперь возникает ещё более серьёзный вопрос. Что это всё значит? Получается, что KIS позволяет приложению с ограничениями манипулировать системной библиотекой как ему захочется? Что это за HIPS такой?
  19. Поменять что-то в advapi32.dll не выйдет, равно как и удалить её. Эта библиотека используется ключевыми процессами Windows. Я попробовал удалить её Iobit Unlocker, получил заставку Windows c ошибкой - отсутствует dll и невозможность войти в систему
  20. Я проверил Ваше предположение. Оно к сожалению абсолютно не подтвердилось. Всё очень просто. Отключил KSN и провёл тест ещё раз.
  21. Забыл добавить к вопросу. Естественно для теста я помещал clt.exe в группу "Слабых ограничений", где все права у меня выставлены на запрос. И в группу "Сильных ограничений", которая на умолчании. В первом случае во всех алертах кликал "Запретить". И в первом и во втором случаях результат один - по инъекции KnownDlls уязвимость.
  22. Вы можете понять, что для HIPS "Контроля программ" абсолютно всё равно, какой там статус библиотеки в облаке? Dll-библиотеки вообще этим компонентом не контролируются! Если выставлен запрос на действие приложения в группе с ограничениями, должен быть алерт. Если выставлен запрет на действие приложения в группе с ограничениями, должна быть блокировка действия. Причём тут какая-то доверенность библиотеки???
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.