Jump to content
d7447

поздняя загрузка касперского

Recommended Posts

А где должен быть значек "Protected by Kaspersky Lab" :wacko: , у меня на win7 в окне приветствия нет такого значка :pardon: и еще после установки KIS 11.0.2.556 утилита HijackThis обнаружила установленные KISом плагины в Internet Explorer, что это за плагины и почему они без уведомления установились?

Этот значок появляется только на XP. Уже в wist-е его нет.

Плагины - это модуль проверки ссылок и виртуальная клавиатура. А почему должно быть уведомление? Эти модули входят в состав КИС и устанавливаются вмести с ним.

Share this post


Link to post
Плагины - это модуль проверки ссылок и виртуальная клавиатура. А почему должно быть уведомление? Эти модули входят в состав КИС и устанавливаются вмести с ним.

еще в гаджеты добавляется и плугин в ФФ... тут скорее вопрос к тем кто делал инстралятор

Share this post


Link to post
Ах да, я неустанно повторяю: запрет изменения своей автозагрузки - это костыль. Т.к. добавить в автозагрузку можно минуя ОС.

 

А вот ntoskrnl утверждает, что запрет изменения автозагрузки - не костыль, а мегафича, которая должна быть в позапрошлом году.

Вы с ним уж как-нить договоритесь какое поведение правильное, потому как разрешать запись в автозагрузку методом запрещения записи вряд-ли выйдет.

 

А вот как договоритесь - тогда и расскажите что делать глупым разработчикам антивирусов, который без совета шагу сделать не могут.

Share this post


Link to post
Все механизмы активированы, кроме "рисования алертов".

А рисовалка действительно подргужается после логона.

Не обижайтесь, но это уже из серии "хоть кол на голове теши". Вам же русским языком пишут, запущеная вместе с винлогоном программа, не только может делать всё, что ей заблагорассудится пока не загрузился ГУИ, а это время может составлять минуты в некоторых случаях, она, при определенных условиях, даже может вообще воспрепятствовать загрузке касперовских процессов. Понимаете Вы это или нет? И это даже тогда, когда к ней явно применяется политика "запретить всё", т.е., при работающем КИСе она даже не запускается из-за отказа в доступе.

Share this post


Link to post

Оказывается плагины не только в Internet Explorer но и в Mozilla Firefox установились :o , обычно разработчики программ если предлагают ставить какие то тулбары в стороннее ПО то при установке есть уведомление и возможность снять галочку и не ставить дополнение. Какие именно функции дают эти плагины поставленные втихаря KISой? Могут ли они замедлять загрузку страниц :unsure: или может пофиксить их в HijackThis.

Share this post


Link to post
Не обижайтесь, но это уже из серии "хоть кол на голове теши". Вам же русским языком пишут, запущеная вместе с винлогоном программа, не только может делать всё, что ей заблагорассудится пока не загрузился ГУИ, а это время может составлять минуты в некоторых случаях, она, при определенных условиях, даже может вообще воспрепятствовать загрузке касперовских процессов. Понимаете Вы это или нет? И это даже тогда, когда к ней явно применяется политика "запретить всё", т.е., при работающем КИСе она даже не запускается из-за отказа в доступе.

 

Зачем Winlogon? Ну к чему сложности?

Давайте сразу драйвер. Он точно запуститься раньше сервиса антивируса.

Параметр "Start" только в нужно значение поставьте.

 

А вот "обычный" софт из "обычной" автозагрузки грузится позже сервсиа антивируса. На то MS сервисы и придумала.

И на этот обычный софт будут действовать явно прописанные запреты и без GUI.

Share this post


Link to post
А вот ntoskrnl утверждает, что запрет изменения автозагрузки - не костыль, а мегафича, которая должна быть в позапрошлом году.

Это мегафича, которая должна быть уже давно забыта ("в позапрошлом году"), насколько я его понял. Старо, т.е., типа сейчас старые методы не годятся.

М? Можно считать что мы с ним договорились?

 

Уточню, что я не против контроля записи в автозагрузку, мне показалось что вы так считаете. Не против, еще один рубеж защиты, именно из-за такого контроля я когда-то поставил КИС. Но я против того, чтобы полагаться только на него.

Share this post


Link to post
А вот "обычный" софт из "обычной" автозагрузки грузится позже сервсиа антивируса.

Download master, Intelmatrix console, три моих программки, stylexp, риватюнер. Вообще я вижу свой обычный рабочий стол с привычным заполненым треем еще до того, как там появится КИС. Грузится он после загрузки обычного софта, что я выше написал.

Еще я могу запустить процесс_експлорер до того, как avp.exe начнет действовать, с ярлычка на рабочем столе. Могу ворд открыть.

Share this post


Link to post
А вот "обычный" софт из "обычной" автозагрузки грузится позже сервсиа антивируса. На то MS сервисы и придумала.

И на этот обычный софт будут действовать явно прописанные запреты и без GUI.

Это такая шутка неудачная, да? Да большая часть всякой дряни грузится через Userinit и Notify. И потом, я не понял, Вы считаете, что запуск через Winlogon каким-то боком к сервисам? Userinit такая же "обычная" загрузка, как и "HKCU\Software\Microsoft\Windows\CurrentVersion\Run", это даже из названия понятно должно быть.

Share this post


Link to post
Это мегафича, которая должна быть уже давно забыта ("в позапрошлом году"), насколько я его понял. Старо, т.е., типа сейчас старые методы не годятся.

М? Можно считать что мы с ним договорились?

 

Уточню, что я не против контроля записи в автозагрузку, мне показалось что вы так считаете. Не против, еще один рубеж защиты, именно из-за такого контроля я когда-то поставил КИС. Но я против того, чтобы полагаться только на него.

 

И я не против контроля записи в автозагрузку.

Я против грубой блокировки записи в автозагрузку, (которую настойчиво предлагает ntoskrnl) на том лишь основании, что программа "неизвестна".

 

Потому как это очень сильно чревато очень большой несовместимостью с очень большой массой ПО, что в свою очередь очень не нравиться пользователям.

 

Подобная стратегия может подойти для большого офиса с соображающим админом.

Но там не особо нужен ХИПС, там вполне достаточно групповых политик, которыми можно разршить запуск того что нужно, а все остальное будет заблокировано изначально.

 

А вот для "домашних" антивирусов оно не прокатит.

Share this post


Link to post
И я не против контроля записи в автозагрузку.

Я против грубой блокировки записи в автозагрузку, (которую настойчиво предлагает ntoskrnl) на том лишь основании, что программа "неизвестна".

 

Потому как это очень сильно чревато очень большой несовместимостью с очень большой массой ПО, что в свою очередь очень не нравиться пользователям.

Maratka, Вы помните ту тему, где тоже говорили о некой "массе" "легального ПО", которому вынь да положь автозапуск по юзеринит/шелл и т.п.? Вы помните, что ничего, кроме астоншелла, Вы привести не смогли? Maratka, Я больше двадцати лет, начиная с ЕС ЭВМ, профессионально занимаюсь программированием, минимум половину этого времени - системным программированием под Windows NT, и я ещё не видел "нормального" "легального ПО", которое хотело бы беспардонно влезть в весьма специфичные ключи реестра, тот же "Winlogon\Userinit". Вам только в этой теме привели 1) Security Flaw, когда даже заблокированный софт может выполнять любые действия при определенных обстоятельствах, 2) Design Flaw, когда код работающий на нулевом уровне привилегий, и который обязан контролировать систему полностью, оказывается в беспомощном положении из-за незапустившегося вовремя оконного юзермодного приложения. Что Вы об этом думаете? Спросите у разработчиков, говорит ли им о чем-то слово "avp6syncbla-blalic". Очень надеюсь, что они поймут о чем речь.

Edited by ntoskrnl

Share this post


Link to post
Я против грубой блокировки записи в автозагрузку, (которую настойчиво предлагает ntoskrnl) на том лишь основании, что программа "неизвестна".

А можно указать посты в этой теме где он так говорил? Возможно то было в другой теме и в другом контексте. В этой теме речь не идет об ограничениях записи в автозагрузку вообще, тут проблема в том, что КИС начинает действовать "слишком поздно".

Share this post


Link to post

antonn, ntoskrnl

Возвращаясь к вопросу о дырках хипса и ко - до недавнего времени можно было добавить свой корневой сертефикат и запустив приложение с сертефикатом, который подписан только что добавленным корневым полностью избежать каких-либо алертов по причине дефолтной доверенной зоны для подписанных, дырку успешно нашел нынче отседова изгнанный gjf.

Каспер уж никак не может работать адекватно в случае работы с домохозяйкой, а т.к. продукт для оных, всем не оным предлагаю тему покинуть :D ведь всем понимающим суть сабжа тут и так всё ясно.

 

Share this post


Link to post
А можно указать посты в этой теме где он так говорил? Возможно то было в другой теме и в другом контексте. В этой теме речь не идет об ограничениях записи в автозагрузку вообще, тут проблема в том, что КИС начинает действовать "слишком поздно".

 

И кстати еще раз повторюсь, что антвирус действует вполне даже "вовремя".

 

Всех делов - соблюсти обычное правило - установить на логин пользователя (тем более администратора) пароль, хотя бы символом на 10, и разными цифрами/бувами/закорючками, да в разных регистрах, чтобы с налету вспомнить было сложно, и набрать - еще сложнее.

 

Сервис антивируса, как и вообще любой севрис в NT-системах грузится ДО логона пользователя, и работать начинает тоже ДО логона пользователя.

 

Но т.к. сервису нужно как минимум поднять с диска ~100 мегабайт баз, которые не факт что лежать кучкой, а обычно размазаны по всему терабайтному разделу - инициализация сервиса идет несколько секунд, у особо одаренных пользователей, в особенности на старом железе - может и секунд 20.

 

Если будет установлен пароль на вход систему - сервис вполне успеет проинициализироваться, и собственно присупить к своим прямым обязанностям - блокировать то, что указано "блокировать".

И уж точно он заблокирует активность программы, которая грузится из каталога автозапуска в меню "Пуск".

 

А если пароля на логон нет, то не вполне понятно про какую мы вообще "безопасность" говорим?

Любой первый попавшийся друг/приятель на очередном дне рождения у Вас дома сдуру снесет половину всего, что вообще на диске хранится, и что прикольно: на утро ни Вы, ни он ничегошеньки не вспомните :(

Share this post


Link to post
это другая тема.

 

Тема другая, а вопрос о блокировке записи в авторан по умолчаию для всего "неизвестного" тот же.

В данном случае предлагается как минимум зарезать все альтернативные оболочки/заменители стандартного Explorer.

Edited by Maratka

Share this post


Link to post
antonn, ntoskrnl

Возвращаясь к вопросу о дырках хипса и ко - до недавнего времени можно было добавить свой корневой сертефикат и запустив приложение с сертефикатом, который подписан только что добавленным корневым полностью избежать каких-либо алертов по причине дефолтной доверенной зоны для подписанных, дырку успешно нашел нынче отседова изгнанный gjf.

Каспер уж никак не может работать адекватно в случае работы с домохозяйкой, а т.к. продукт для оных, всем не оным предлагаю тему покинуть :D ведь всем понимающим суть сабжа тут и так всё ясно.

 

Т.е если я правильно понял:

1) подписанный софт, попадая в ограниченную группу по причине отсутсвия сертификата в хранилище системы прописывает этот самый сертификат, и запускает нечто, что далее попадает в доверенные, уже по причине подписи?

 

2) И при этом механизм наследования прав не работает, т.к. первая программа явно при старте в "доверенные" не попадает, т.к. на момент старта сертификата в системе еще нет, соответсвенно все что запускает первая программа работает с ограниченными правами?

Share this post


Link to post
И кстати еще раз повторюсь, что антвирус действует вполне даже "вовремя".

дада, как раз время произнести фразу навроде "а что вы хотели за такие-то деньги?"

 

А если пароля на логон нет, то не вполне понятно про какую мы вообще "безопасность" говорим?

Мы говорим про безопасность обычной системы. Например домашней. Например это сервер, с автологином, стоит в шкафу, автологин нужен (просто нужен, позже станция автоматически лочится), связь с сервером только по rdp. Примеров вообще много можно напридумывать. Зачем на домашнем компьютере пароль из 10 символов? На домашнем компьютере балбесов-пользователей, а не продвинутых, ведь на первых ориентируется ЛК.

 

а вопрос о блокировке записи в авторан по умолчаию для всего "неизвестного" тот же.

И вновь я вспоминаю как ограничивали порно-поиск на школьном сайте...

Не нужно надеяться на то, что вся гадость будет отшита при попытке показаться в автозагрузке, и поэтому все безопасно. Нужно проверять при запуске. И самому быть уже запущенным до того, как залогинится юзер. И тогда будет все равно что стоит в автозагрузке, оно все равно пройдет через антивирь.

А пока даже запрещенная программа имеет доступ в сеть пока гуй КИС не прогружен.

Share this post


Link to post
И кстати еще раз повторюсь, что антвирус действует вполне даже "вовремя".

 

Всех делов - соблюсти обычное правило - установить на логин пользователя (тем более администратора) пароль, хотя бы символом на 10, и разными цифрами/бувами/закорючками, да в разных регистрах, чтобы с налету вспомнить было сложно, и набрать - еще сложнее.

А-аа, то есть Вы уже начали понимать проблему, да? С автологоном, с частности.

 

Но т.к. сервису нужно как минимум поднять с диска ~100 мегабайт баз, которые не факт что лежать кучкой, а обычно размазаны по всему терабайтному разделу - инициализация сервиса идет несколько секунд, у особо одаренных пользователей, в особенности на старом железе - может и секунд 20.

Марат, это и есть Design Flaw, когда сервис сначала рыщщет по винту, а потом уже начинает заниматься безопасностью.

 

Если будет установлен пароль на вход систему - сервис вполне успеет проинициализироваться, и собственно присупить к своим прямым обязанностям - блокировать то, что указано "блокировать".

И уж точно он заблокирует активность программы, которая грузится из каталога автозапуска в меню "Пуск".

Повторяю, это и есть Design Flaw, когда винлогон, джина, юзеринит и т.п. вообще мэпаются в память до окончания инициализации системы безопасности. Иначе это не система безопасности, а клоунада.

 

А если пароля на логон нет, то не вполне понятно про какую мы вообще "безопасность" говорим?

Это стандартная конфигурация большинства покупателей продуктов ЛК. И Вы это прекрасно знаете.

Share this post


Link to post

Maratka

Примерно. Ограниченный софт спокойно прописывал это, как я уже написал - до недавнего времени (с последними патчами уже вылазит алерт хипса). Затем запускал аппликейшн подписанный сертификатом, корень которого был только что установлен.

Share this post


Link to post
Maratka

Примерно. Ограниченный софт спокойно прописывал это, как я уже написал - до недавнего времени (с последними патчами уже вылазит алерт хипса). Затем запускал аппликейшн подписанный сертификатом, корень которого был только что установлен.

 

Ну починили - тогда и хорошо...

В авторежиме софт и так на 80% доверенный, а для граммотных пользователей ХИПС поможет.

 

Спасибо!

Share this post


Link to post
А-аа, то есть Вы уже начали понимать проблему, да? С автологоном, с частности.

Эха... Устал я согодня.

Понимать дизайн? Зачем мне его понимать, я его просто знаю.

 

Марат, это и есть Design Flaw, когда сервис сначала рыщщет по винту, а потом уже начинает заниматься безопасностью.

Повторяю, это и есть Design Flaw, когда винлогон, джина, юзеринит и т.п. вообще мэпаются в память до окончания инициализации системы безопасности. Иначе это не система безопасности, а клоунада.

 

Честно сказать не особая и проблема.

У меня на основной и запасной машинах SSD стоят.

А у них понятия "фрагментация" отсутсвует как вид, время доступа к файлу стремится к нулю, потому сервис инициализируется быстрее, чем появляется даже пустой рабочий стол.

И без всяких паролей.

Да и не у меня одного. У соседа, кто рядом со мной сидит на работе на домашней машине тоже SSD.

И тоже на скорость загрузки системы вообще, и антивируса в частоности не жалуется.

 

А массовые SSD в свою очередь - есть не особо далекое будущее индустрии, и у этого типа накопителей вообще никаких мыслимых ограничений на скорость передачи нет, а время доступа мы уже обсудили чуть выше :)

Скажем фактически весь сегодняшний ширпотреб, в т.ч. и тот что у меня стоит уже давно уперся в лимит SATA-300, и рвануть по скорости чтения вдвое - всего то поставить не 10, а 20-и канальный контроллер.

Пока не ставят, потому как нет массовых материнок с поддержкой SATA-600, но думаю что через полгодика начнут :)

 

Это стандартная конфигурация большинства покупателей продуктов ЛК. И Вы это прекрасно знаете.

Ну не особенно и стандартная.

Я себе дома такого "стандарта" не позволяю, да и из десятка приятетелей точно помню что ставят такой режим только двое.

 

И помимо этого большинство покупателей продуктов ЛК не выключают/перезагружают свои компьютеры чаще, чем Windows Update того требует.

Ну просто банально нет смысла его выключать. Стоит- ну и пусть себе стоит. Долго к нему не подойду - уснет. А трону клавишу - проснется, и очччень быстро, гораздо быстрее чем "с нуля" грузиься.

Edited by Maratka

Share this post


Link to post
Понимать дизайн? Зачем мне его понимать, я его просто знаю.

Дизайн? Я про проблему писал. :) Ну, знаете, и прекрасно. :)

 

Честно сказать не особая и проблема.

У меня на основной и запасной машинах SSD стоят.

А у них понятия "фрагментация" отсутсвует как вид, время доступа к файлу стремится к нулю, потому сервис инициализируется быстрее, чем появляется даже пустой рабочий стол.

И без всяких паролей.

Это стандартная детская ошибка. :) Когда синхронизация строится на скорости железа. А потом, когда вылезают разные рейс-кондишены или локапы, начинаешь удивляться, что такая лабуда может быть в известном продукте. :)

 

И помимо этого большинство покупателей продуктов ЛК не выключают/перезагружают свои компьютеры чаще, чем Windows Update того требует.

Ну просто банально нет смысла его выключать. Стоит- ну и пусть себе стоит. Долго к нему не подойду - уснет. А трону клавишу - проснется, и очччень быстро, гораздо быстрее чем "с нуля" грузиься.

О! И это тоже, очевидно, нужно расценивать как решение проблем синхронизации. Понятно. :b_lol1: А с чего Вы взяли, что "не выключают/перезагружают свои компьютеры чаще, чем Windows Update того требует"? Многие, наоборот, включают это хозяйство раз в неделю и боятся оставлять включенным. :)

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.