Jump to content
d7447

поздняя загрузка касперского

Recommended Posts

КИС2011 грузится позже установки соединения и начала обмена информацией с интернетом других программ - сужу по отсутствию значка касперского и наличию ощутимого трафика до появления этого значка. Баг или фича? ОС Vista HP, аналогичная ситуация была и с прошлыми версиями КИС.

Edited by d7447

Share this post


Link to post

Сомневаюсь. Ни разу не удалось выйти в интернет до загрузки КИС. Специально пробовал на XP. (настройки КИС по умолчанию)

На Win 7 до загрузки КИС значок сети показывает ошибку соединения- нет доступа к интернету.

Так что у вас что-то не то. Чем трафик смотрите?

Да и теоретически такого не должно быть. Если у вас это подтвердится - баг. Заявляйте в техподдержку.

Share this post


Link to post

А вот это действительно фейл касперского, данный эффект 100% повторяется на моем компьютере под двумя ХР (на одной 2009, на второй 2010, системы сделаны методом зеркалирования, т.ч. почти не отличаются), если интересно попробую под Вин7 с 2011.

Написал самую простую программку, методом get дергает страничку моего сайта. Кидаю в обычную автозагрузку в меню "пуск". В программе простой таймер, раз в 2 секунды делает запрос. Перезагрузка, в поле ввода в окошке выводится лог, удачное выполнение операции. Ждем, ушло уже больше десятка запросов (интервал 2 секунды). Тут подгружается антивирус (это заметно по тому, как выскакивает нотификейшн "центра безопасности", там говорится что фаервол отключен, тут же меняется на "интернет секурити"), и касперский (2009 например) выдает желтый нотификейшн о том, разрешить ли программе выполняться, ограничить или можно запускаться (ах да, выполнял специально ребилд проекта, без запуска чтобы хипс ее не пометил раньше времени, типа новая программа). Внимание, пока запрос висит - программа успешно отправляет данные в сеть! Жму "нет" (завершить), чуть подумав и упустив еще пару запросов в программе в лог падает ошибка выполнения операции - сеть ей отрезана.

достаю ssh, читаю логи апача - запрос пришел.

 

Повторю - стабильно срабатывает и на 2009 и на 2010. То, что антивирус со своими руткитами грузится позже всего уже где-то упоминали. KAH такого себе не позволял, м/у прочим.

 

Система установлена три года назад, в ней поднято 3 рейда: два аппаратных, один программный на интел-матрикс. Именно последний, как мне кажется, очень сильно замедляет загрузку системы (это стало очень заметно после установки касперского, сама система стоит на зеркале из двух sas на 15K, до того как под ней был обычный 7200 я грешил на файл подкачки), потому что видно по индикатору активности ЖД на корпусе как идет сильная активность (от аппаратного светодиод не светится) и резко прекращается, в трее мигает уведомление от интел-матрикса, и начинают появляться иконки касперского.

Это фейл, и с этим трудно не согласиться.

Edited by antonn

Share this post


Link to post
А вот это действительно фейл касперского, данный эффект 100% повторяется на моем компьютере под двумя ХР (на одной 2009, на второй 2010, системы сделаны методом зеркалирования, т.ч. почти не отличаются), если интересно попробую под Вин7 с 2011.

 

Проблему подтверждаю для, как минимум, 32-хразрядных XP и Висты и KIS 11.0.2.556en, настройки методом "скачать дистрибутив-запустить-установить-настройки по умолчанию". Тестовый "зловред" был прописан в Userinit, при своем запуске, после рестарта ОС, успешно скачивает, например, индекс с example.com. Для второй попытки "зловред" был показан КИСу и "зарегистрирован" как "Terminate and make Untrusted". Вторая (и любая последующая) попытка прошла также "успешно" - после рестарта ОС "зловред" запустился и, как ни в чем не бывало, опять скачал нужную страницу.

 

Но это всё ягодки.

 

Цветочки заключаются в том, что совершенно пыонэрским способом, с помощью одного (!), совершенно безобидного системного вызова, тестовый "зловред" может, как минимум, приостановить запуск кисовского гуи на неопределенное (необходимое себе, любимому) время. Вернее, минимум один процесс на базе avp.exe запускается, но не функционирует. Естественно, при этом прекрасно списывается, копируется и запускается EICAR, все, кто хотят, пользуются интернетом в свое удовольствие и т.д. Через некоторое время интерактивный (правда, не в данном случае :laugh3: ) avp.exe, не говоря ни слова, завершается. Мало того, всё это время нельзя даже запустить обычный виндовый файрволл, точнее, запустить апплет контрольной панели чтобы его включить, ошибка инициализации, но можно совершенно спокойно, несмотря на "самозащиту", грохнуть, как минимум, касперовские подкаталоги в "All Users\Application Data", после чего КИС, если позволить ему запуститься, всё равно становится красный, как помидор. На XP это работает вообще без всяких дополнительных фокусов, на Висте требуется ещё пара строк по поводу секюрити-дескрипторов.

 

Интересно было бы услышать, что по этому поводу думают "начальники транспортного цеха". :angry2:

 

Share this post


Link to post
Но это всё ягодки.

 

Цветочки заключаются в том, что совершенно пыонэрским способом, с помощью одного (!), совершенно безобидного системного вызова, тестовый "зловред" может, как минимум, приостановить запуск кисовского гуи на неопределенное (необходимое себе, любимому) время. Вернее, минимум один процесс на базе avp.exe запускается, но не функционирует. Естественно, при этом прекрасно списывается, копируется и запускается EICAR, все, кто хотят, пользуются интернетом в свое удовольствие и т.д. Через некоторое время интерактивный (правда, не в данном случае :laugh3: ) avp.exe, не говоря ни слова, завершается. Мало того, всё это время нельзя даже запустить обычный виндовый файрволл, точнее, запустить апплет контрольной панели чтобы его включить, ошибка инициализации, но можно совершенно спокойно, несмотря на "самозащиту", грохнуть, как минимум, касперовские подкаталоги в "All Users\Application Data", после чего КИС, если позволить ему запуститься, всё равно становится красный, как помидор. На XP это работает вообще без всяких дополнительных фокусов, на Висте требуется ещё пара строк по поводу секюрити-дескрипторов.

 

Интересно было бы услышать, что по этому поводу думают "начальники транспортного цеха". :angry2:

Всё, что вы написали не имеет ни какого отношения к ранней или поздней загрузки антивируса.

Открою вам маленькую тайну, если зловред (нормально написанный) запустится, то ему "по барабану" запущен или нет антивирус, он его снесёт, выгрузит, уничтожит. Наблюдал подобное неоднократно. Вот, совсем недавно, имел удовольствие лучить от Win32.Sality.aa.

И не важно какой установлен антивирус, снесёт любой, более менее известный.

Поэтому и придумывают разные примочки: проактивную защиту, HIPS, эвристику, безопасную среду и так далее.

Главное нейтрализовать до того как он запустится, потом будет поздно.

То о чём вы пишите уже обсуждалось. И, моё мнение, не так уж это критично.

 

 

Share this post


Link to post
Всё, что вы написали не имеет ни какого отношения к ранней или поздней загрузки антивируса.

Имеет. Самое непосредственное.

 

Открою вам маленькую тайну, если зловред (нормально написанный) запустится, то ему "по барабану" запущен или нет антивирус, он его снесёт, выгрузит, уничтожит. Наблюдал подобное неоднократно. Вот, совсем недавно, имел удовольствие лучить от Win32.Sality.aa.

И не важно какой установлен антивирус, снесёт любой, более менее известный.

Поэтому и придумывают разные примочки: проактивную защиту, HIPS, эвристику, безопасную среду и так далее.

Главное нейтрализовать до того как он запустится, потом будет поздно.

Вы помните, мне Maratka на днях изо всех сил доказывал обратное? А я ему говорил, что нельзя запускать неизвестно кого, что нельзя кого попало пускать в автозапуск. К тому же это никакой не "зловред", он вообще никаких деструктивных действий не предпринимал. И был заблокирован правилами, прочитайте внимательно. И всё равно запустился, до запуска ГУИ.

 

То о чём вы пишите уже обсуждалось. И, моё мнение, не так уж это критично.

Что же тогда "критично"?....

Share this post


Link to post
Имеет. Самое непосредственное.

Вы помните, мне Maratka на днях изо всех сил доказывал обратное? А я ему говорил, что нельзя запускать неизвестно кого, что нельзя кого попало пускать в автозапуск. К тому же это никакой не "зловред", он вообще никаких деструктивных действий не предпринимал. И был заблокирован правилами, прочитайте внимательно. И всё равно запустился, до запуска ГУИ.

Что же тогда "критично"?....

Имеет - не имеет. Так и будем спорить? :rolleyes:

Если зловред запустится, то не имеет. Он снесёт антивирус.

А если не запустится - опять не имеет.

Теперь по поводу автозапуска. Помню я, как же. Производители антивирусов (в отличии от вирусописателей) вынуждены балансировать, как бы побольше и по жёстче контролировать и не мешать работе системы. Отсюда такие компромиссные решения. Не нужен такой антивирус который защищая будет блокировать программы. Не нужен. Впрочем это старая песня, уже обсуждалось.

Что критично? Прежде всего то, что находится между креслом и клавиатурой. такое может натворить, похлеще любого зловреда.

PS. Есть, конечно же есть проблемы, баги. Конечно же есть. Я не спорю. И ни кто не спорит.

Но то о чём пишите вы.

Нельзя кого попало пускать в автозапуск? Не проблема, легко настраивается.

Поздняя загрузка антивируса? И что?

Share this post


Link to post
Имеет - не имеет. Так и будем спорить? :rolleyes:

Если зловред запустится, то не имеет. Он снесёт антивирус.

А если не запустится - опять не имеет.

Теперь по поводу автозапуска. Помню я, как же. Производители антивирусов (в отличии от вирусописателей) вынуждены балансировать, как бы побольше и по жёстче контролировать и не мешать работе системы. Отсюда такие компромиссные решения. Не нужен такой антивирус который защищая будет блокировать программы. Не нужен. Впрочем это старая песня, уже обсуждалось.

Что критично? Прежде всего то, что находится между креслом и клавиатурой. такое может натворить, похлеще любого зловреда.

Это всё я уже читал. Можете не повторяться. :)

 

PS. Есть, конечно же есть проблемы, баги. Конечно же есть. Я не спорю. И ни кто не спорит.

В данном случае это не проблема и не баг. Это халтура. Это безграмотная инициализация системы безопасности. Безграмотная до такой степени, что создается впечатление, что это писал какой-то школьник.

 

Поздняя загрузка антивируса? И что?

То, что обещаная защита отсутствует до тех пор, пока не появится "заветная" буковка. Да и после этого - большой вопрос.

Share this post


Link to post

Не повторятся? Хорошо, не буду.

Но я пытаюсь конкретно объяснить (как я понимаю), ответить - почему именно так, а не по другому.

Вы же, только общие фразы, о безграмотности, халтуре, отсутствии защиты, до и после.

Не интересно.

Share this post


Link to post
Вы же, только общие фразы, о безграмотности, халтуре, отсутствии защиты, до и после.

Не интересно.

Drru, грамотная система безопасности, которая ставит с десяток драйверов, некоторые из них даже "хитрыми" способами, которая перехватывает всё, до чего может дотянуться, с хваленой "самозащитой", не может зависеть от запуска обычного оконного прложения. Особенно когда это приложение уставилось, как на новые ворота, на объект, который никак не может открыть. Нулевое кольцо не может зависеть от того, что происходит в третьем, это мир наизнанку. Вы говорите, мол, любой антивирус вынести ничего не стоит? Да как бы не так. Выбить грамотно окопавшуюся в нулевом кольце IPS, работая в третьем, чрезвычайно сложно. Практически невозможно, если бы не уязвимости её и ОС и ошибки в логике её поведения. А Вы говорите, "ничего критичного"...

Share this post


Link to post
Вы помните, мне Maratka на днях изо всех сил доказывал обратное? А я ему говорил, что нельзя запускать неизвестно кого, что нельзя кого попало пускать в автозапуск. К тому же это никакой не "зловред", он вообще никаких деструктивных действий не предпринимал. И был заблокирован правилами, прочитайте внимательно. И всё равно запустился, до запуска ГУИ.

Чтобы не путаться, давайте начнем с самого начала, а именно с сообщения уважаемого 'antonn'

Написал самую простую программку, методом get дергает страничку моего сайта. Кидаю в обычную автозагрузку в меню "пуск". В программе простой таймер,....
ну и дальше тра-ля-ля и описание всего того что программка делает...

 

Назовите мне хоть какую-то причину, почему антивирус должен мешать пользователю, а именно antonn'у, который осознанно хочет ручками прописать что-то в автозагрузке, и именно это и делает.

 

И давайте дружно попросим 'antonn'а проделаеть это же самое, но не ручками, а так чтобы его простенькая программа стала чуток сложнее, и сама "кинулась" в автозагрузку, в тот самый меню "Пуск", куда он положил программу ручками.

После чего доложить об проделанном.

 

Если просить у него не хочется - проделайте это самостоятельно пожалуйста.

 

Кстати для проверки именно этого сценария я настоятельно прошу использовать либо КАВ, либо КИС с отключенным ХИПСом, дабы не усложнять, и оставить настройку по умолчанию "принимать действия автоматически", дабы не усложнять еще больше.

Edited by Maratka

Share this post


Link to post

Идем далее :)

Добавляю в Вин7 программу в автозагрузку. Делаю это из под ХР! Т.е. я, по сути, сейчас добавляюсь в автозагрузку минуя механизмы Вин7, минуя ее антивирус, они и не в курсе, что я чтото сделал пока не запустится, и мои действия с точки зрения ОС Вин7 сейчас несколько подозрительны.

Барабанная дробь... запуск Вин7, ушло правда "всего" 4 запроса, после КИС2011 перекрыл ей кислород, это и понятно - система свежеустановленная, грузится быстро. Проблема осталась. Переношу программу на машину с Вин7 КИС2011+Комодо, последний в обучающем режиме (у кис2011 выключен сетевой экран). Ребут, программа в лог кидает ошибку доступа в сеть, после прогруза всплывает сообщение Комодо, что новая программа пытается получить доступ к внешней сети, появляется сообщение хипса КИС2011 что запущена новая программа.

 

А теперь к Маратке вернемся.

Назовите мне хоть какую-то причину, почему антивирус должен мешать пользователю, а именно antonn'у, который осознанно хочет ручками прописать что-то в автозагрузке, и именно это и делает.

Что мешает запуститься программе-автораннеру на завирусованной флешке, если именно я втыкаю ее в свой комп? Ведь я осознанно вставляю флешку в свой компьютер, не так ли?

Что мешает мне запустить неизвестную "картинку" hot_asian_ass.jpeg.exe из почты - ведь я осознанно хочу увидеть содержимое "картинки" и осознанно "дваждыкликаю" на нее?

Не кажется ли вам, что ударившись в буквоедство и занявшись софистикой, вы покрываете "правильностью" множество вредоносов, которые проводят свою деструктивную деятельность как раз потому что это "может быть не опасно"? Антивирус должен пресекать работу по другому принципу - это "может быть опасно", уведомлять посльзователя или делать собственный выбор исходя из настроек. Ведь КИС точно позиционируется как самый умный, способный за домохозяек думать. Самая обычная программа, написанная на коленке, путем копирования в обычную автозагрузку, способна передать в сеть данные до загрузки антивируса - это не смешно? Или стоит написать пару программок, которые этим воспользуются, чтобы мнение ЛК изменилось на этот счет? :)

Кстати, добавиться через ole в исключения виндового фаервола мне все так же получилось без проблем.

 

И давайте дружно попросим 'antonn'а проделаеть это же самое, но не ручками, а так чтобы его простенькая программа стала чуток сложнее, и сама "кинулась" в автозагрузку, в тот самый меню "Пуск", куда он положил программу ручками.

После чего доложить об проделанном.

А давайте сначала разберем, почему антивирус, который согласно маркетинговым лозунгам обеспечивает отличную защиту, но не может противостоять банальной тупой автозагрузке?

Винлокер - это тоже автозагрузка, ход моих мыслей понятен?

 

Кстати для проверки именно этого сценария я настоятельно прошу использовать либо КАВ, либо КИС с отключенным ХИПСом, дабы не усложнять, и оставить настройку по умолчанию "принимать действия автоматически", дабы не усложнять еще больше.

Проделав вчерашний опыт, я не удалил программу из автозагрузки, сегодня она опять загрузилась. Ушло 8 запросов, после ошибка - кис ее заблокировал после своего запуска, т.к. вчера я все же добавил ее в ограниченные и запретил сеть.

Share this post


Link to post

И да, господа, если кто еще не понял в чем соль такой "дырки" - я могу попытаться предотвратить запуск других программ. Что там перехватывать.. NtResumeThread()+NtQueryInformationThread(), LdrInitializeThunk()? Как думаете, дам я загрузиться тому, кто меня может убить?

Доступ в сеть до загрузки кис - это ерунда, по сравнению с тем, что можно сделать не дав загрузиться этому самому кис...

 

Буду честен, не проводил этих опытов на 2009-2011, вполне вероятно что я не настолько хитрож..пый и разработчики приготовили мне сюрприз, пока только теоретизирую.

Edited by antonn

Share this post


Link to post

Вы добавляете программу в автозагрузку, вы, а не сама программа. В этом всё дело.

Чтобы добавить себя программа должна сначала запуститься, то есть она должна запустится при работающем антивирусе и выполнить какие-то действия.

Что касается флешки, ну возможно, если вы воткнёте её до загрузки, то допускаю, что, возможно, что-то успеет запустится раньше. Надо будет попробовать. А так, вам же предлагают:

И давайте дружно попросим 'antonn'а проделаеть это же самое, но не ручками, а так чтобы его простенькая программа стала чуток сложнее, и сама "кинулась" в автозагрузку, в тот самый меню "Пуск", куда он положил программу ручками.

После чего доложить об проделанном.

Попробуйте, запустите такую программу, пропишется ли она сама в автозагрузку. Если получится, докажите Марату, что он не прав.

Share this post


Link to post

antonn

:D У меня сатовский контроллер тормозит загрузку хп раза в 2, дефолтный конфиг на нем это два двушных гнусмаса рейдом. Также в наличии сасовский с двумя винтами по 73, подключены страйпом. Кэп намекает что хп не место на таких машинах.

Возвращаясь к вопросу о каспере - неудаляемые объекты сабж _по_идее_ трет драйвером, который стартует вместе с системой, но находит их во время предыдущего сеанса работы системы. Если есть детект, то разная фигня типа данной будет сразу удалена. А то что антивирь дохлый пока не врубится гуй давно всем известно =)

Share this post


Link to post
А теперь к Маратке вернемся.

Ну чтож, давайте

Что мешает запуститься программе-автораннеру на завирусованной флешке, если именно я втыкаю ее в свой комп? Ведь я осознанно вставляю флешку в свой компьютер, не так ли?

Как минимум поиск уязвимостей системы, который аж покраснеет от того факта, что автозапуск на съемных накопителях не отключен.

 

Что мешает мне запустить неизвестную "картинку" hot_asian_ass.jpeg.exe из почты - ведь я осознанно хочу увидеть содержимое "картинки" и осознанно "дваждыкликаю" на нее?

 

Антивирус должен пресекать работу по другому принципу - это "может быть опасно", уведомлять посльзователя или делать собственный выбор исходя из настроек. Ведь КИС точно позиционируется как самый умный, способный за домохозяек думать.

Именно это он и делает, нет?

Вы уже написали программку, которая прописывается в автозагрузку минуя ХИПС/Проактивную защиту, в полном соответсвии с Вашими пожеланиями "уведомлять пользователя", либо "делать собственный выбор", исходя из настроек антвиируса?

 

Самая обычная программа, написанная на коленке, путем копирования в обычную автозагрузку, способна передать в сеть данные до загрузки антивируса - это не смешно? Или стоит написать пару программок, которые этим воспользуются, чтобы мнение ЛК изменилось на этот счет? :)

Кстати, добавиться через ole в исключения виндового фаервола мне все так же получилось без проблем.

Еще раз - напишите. И именно так, чтобы оно в автозагрузку попало само, а не Вашей помощью, и антивирус бы промолчал, в полном согласии с Вашим предложеним "уведомлять пользователя, либо принимать действие автоматически, в зависимости от настройки антивируса".

Share this post


Link to post
А то что антивирь дохлый пока не врубится гуй давно всем известно =)

 

Угу.

И то, что вредоносу нужно попасть в автозагрузку, и делать это ему придется как раз тогда, когда антивирус загружен.

Кстати, GUI тут не виноват совершенно - действия блокируются драйвером/сервисом.

Share this post


Link to post
Вы добавляете программу в автозагрузку, вы, а не сама программа. В этом всё дело.

Какая разница кто добавляет ее в автозагрузку, если программа при первом запуске должна "приостановиться", доступ в сеть не получать. Не важно как и кем запущена программа, она обязательно должна пройти "через антивирус", который вынесет вердикт (сам или через пользователя).

Второй момент - я добавил ее в автозагрузку другой ос.

 

Попробуйте, запустите такую программу, пропишется ли она сама в автозагрузку.

Хорошо, попробую

 

Как минимум поиск уязвимостей системы, который аж покраснеет от того факта, что автозапуск на съемных накопителях не отключен.

Он сделан не для того, чтобы быть отключенным. Его отключение - костыль, чтобы предотвратить автозапуск в условиях отсутствия антивируса.

 

Именно это он и делает, нет?

нет, он не пресек запуск программы, которая ко всему прочему в сеть данные отправляет.

 

Еще раз - напишите. И именно так, чтобы оно в автозагрузку попало само, а не Вашей помощью, и антивирус бы промолчал, в полном согласии с Вашим предложеним "уведомлять пользователя, либо принимать действие автоматически, в зависимости от настройки антивируса".

Если напишу, что следующее мне предложат сделать в доказательство? И почему я должен доказывать, если проблема есть и не только у меня? И почему я не должен быть спокоен пока не докажу, ведь это не мне надо дырки крыть, не так ли? :)

Share this post


Link to post
Вы уже написали программку, которая прописывается в автозагрузку минуя ХИПС/Проактивную защиту

 

Т.е. КИС не допускает молчаливого прописывания зловредов в автозапуск?

Кстати, можно узнать вашу должность, круг обязанностей в ЛК?

 

Share this post


Link to post
Т.е. КИС не допускает молчаливого прописывания зловредов в автозапуск?

Кстати, можно узнать вашу должность, круг обязанностей в ЛК?

И не только зловредов.

 

Я уже хотел ранее задать вопрос, но не задал: ИЕ имеет подпись МС и значит, по логике ЛК, он безопасен, ведь мы работаем на ОС от того же производителя - мы ей доверяем? Такой довод мне приводили. Вы живете в городе, в доме - вы доверяете каждому жителю своего дома/города? Вы ведь живете в этом городе...

Доверенная ранее программа может быть "обновлена" не из того репозитария, и при автозагрузке она полезет куда нибудь. Потому что ранее я сам ее вручную добавил в автозагрузку. Вопрос от антивируса о том, что делать с изменившейся программой я увижу уже после того, как она в сеть вылезет.

 

Пользователь - это сама по себе дырка в безопасности, если он молчаливо добавит "зловред" в автозагрузку (например по реадми), то этот "зловред" после перезагрузки сможет с сетью погооврить?

Edited by antonn

Share this post


Link to post

На все обилие вопрсов отвечу всего одним ответом:

 

Антивирус защищает систему от вредоносного (в случае ХИПС/Проактивной защиты - потенциально вредоносного) ПО.

Антивирус по умолчанию не защищает систему от администратора системы, который настраивает систему тем или иным способом, в т.ч. путем ручного добавления ПО в "Автозагрузку", что впрочем легко настраивается в ХИПСе, установкой привелегии "изменение объектов автозапуска" для "Доверенного", либо вообще любого ПО с "allow" на "ask", либо даже "block", в зависимости от Ваших предпочтений.

Edited by Maratka

Share this post


Link to post

>> круг обязанностей в ЛК?

Это поможет сабжу ? :D

 

antonn

Выплюнет вам хипс, что объект в автозагрузку пытается прописаться, AddPrintProvidor() в помошь - хипс не хендлит рпц и не контролит системные процессы =)

Share this post


Link to post
Выплюнет вам хипс, что объект в автозагрузку пытается прописаться, AddPrintProvidor() в помошь - хипс не хендлит рпц и не контролит системные процессы =)

нет, тут значительно проще, у КИС не весь список "автозагрузок" :)

уже проверяю

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.