Jump to content
d7447

поздняя загрузка касперского

Recommended Posts

Это стандартная детская ошибка. :) Когда синхронизация строится на скорости железа. А потом, когда вылезают разные рейс-кондишены или локапы, начинаешь удивляться, что такая лабуда может быть в известном продукте. :)

 

Меня больше интересует моя система.

На ней проблем нет, значит их нет.

 

А насчет детских ошибок понятия не имею.

Может их уже и правят, начиная с позапрошлого понедельника, 2 недели подряд, естесвенно при условии что это действительно ошибки.

Edited by Maratka

Share this post


Link to post

Вот трэйс загрузки моего второго, одноядерного компа с 1 гигом оперативки Win XP SP3.

Как видно, первый процесс AVP (704) грузится рано, двенадцатым по счёту, а вот второй процесс AVP (216), даже считать не буду, каким по счёту грузится.

Какой процесс за что отвечает, я не знаю, но вот может ли 704й процесс уже использовать правила? Если да, то тогда никаких вопросов больше нет, а если 216 процесс GUI и управление идёт только через него, как и применение правил, то тогда это совсем не хорошо.

Скажу только одно, что Miranda32.exe загрузилась значительно раньше процесса AVP.EXE (216) и успешно законнектилась с сервером.

Скрин трэйса приложен.

 

post-86692-1292207661_thumb.jpg

Share this post


Link to post
Какой процесс за что отвечает, я не знаю, но вот может ли 704й процесс уже использовать правила? Если да, то тогда никаких вопросов больше нет, а если 216 процесс GUI и управление идёт только через него, как и применение правил, то тогда это совсем не хорошо.

Скажу только одно, что Miranda32.exe загрузилась значительно раньше процесса AVP.EXE (216) и успешно законнектилась с сервером.

Скрин трэйса приложен.

Alex_Zot, а Вы это можете элементарно проверить, просто временно занесите миранду в недоверенные и посмотрите, запустится она после рестарта или нет.

 

А я пока постараюсь объяснить, что происходит, в картинках, что называется.

 

Вот лог загрузки от Процесс Монитора. Дело происходит на виртуальной XP SP3.

2222sr.th.png

Что мы здесь видим.

К исходу 18-й секунды операционная система полностью инициализировалась и запускает пользовательскую подсистему: первые три строчки и, наконец, Winlogon. Тот, в свою очередь, запускает хост-процесс служб, services.exe, который начинает запускать системные службы, Winlogon же параллельно запускает подсистему авторизации, пользовательский интерфейс для входа в систему (который "здрасьте, я виндовс") и, наконец, поскольку система настроена на автологон, запускает userinit и, внимание, тот самый testapp.exe, про который речь выше. И дальше начинается самое интересное. По логике вещей, к этому моменту система должна полностью контролироваться драйверами каспера, которые запустились в первые секунды и, весьма желательно, службой пользовательского режима. Фактически же ни один процесс КИСа еще не запущен, а драйвера полностью игнорируют политику безопасности (я напоминаю, тот самый testapp.exe явно указан для КИСа как запрещённое к запуску приложение). Дальше начинается вообще цирк, userinit запускает с правами вошедшего пользователя "проводник виндовс", а уже тот запускает avp.exe, но это тот avp.exe, который зеленый и с лампочками, службы еще нет даже в проекте. Services.exe продолжает запускать службы, но до КИСа время ещё не доходит, Самозащита КИСа при этом не работает, политики безопасности не применяются, а оставшийся без самозащиты avp.exe находится в полном распоряжении работающего с системными правами "зловреда" testapp.exe. Драйвера КИСа смотрят на всё это как на само собой разумеющееся, testapp.exe волен в любой момент, любым документированным способом остановить или завершить полностью беззащитный ГУИ каспера, который, в данном случае даже не думает начинать работать, он стоит и тупо пытается открыть синхрообъект, которым уже владеет и распоряжается наш "зловред". Фактически же, при данной загрузке я просто руками запускаю process explorer (на 52-й секунде) и прибиваю этот avp.exe без всякого сопротивления с его стороны. Наконец, практически самой последней, запускается служба КИСа, второй avp.exe с системными правами, на 59-й секунде. Но дело в том, что и теперь политики безопасности не применяются. Служба пребывает в абсолютно невменяемом состоянии в ожидании то ли графинтерфейса (которого уже нет) то ли того же "захваченного врагами" мютекса. В принципе, её тоже можно легко прибить процесс-эксплорером, драйвера на это по-прежнему не обращают никакого внимания. Наш "зловред" чуствует себя совершенно вольготно, пользуется ресурсами системы, включая сетевые, по своему усмотрению и продолжает, как это не удивительно, полностью контролировать "оптимальное решение для безопасной работы в интернете", будучи всего-навсего обычным консольным приложением, а не каким-нибудь TDL. К исходу второй минуты я запускаю интернет эксплорер, вместе с ним даже запускается касперовский тулбар, успешно списываю всем известный eicar.com и преспокойненько его запускаю (старт досовой машины в 3:45) И как быть? Лично я не понимаю, почему КИС устроен, фактически, то ли задом-наперед, то ли кверху ногами, а Maratka, например, озвучил такую позицию, мол, у него проблем нет, значит их нет.

Share this post


Link to post
Меня больше интересует моя система.

На ней проблем нет, значит их нет.

"я в домике!" =)))

 

Alex_Zot

а что это за утилита? а то процессэксплорером не так наглядно получается

 

Лично я не понимаю, почему КИС устроен, фактически, то ли задом-наперед, то ли кверху ногами

Могу предположить, что это результат обустройства программы вокруг HIPS, т.к. пока он не появляся в продукте вроде бы такой штуки небыло.

Edited by antonn

Share this post


Link to post
Мы говорим про безопасность обычной системы. Например домашней. Например это сервер, с автологином, стоит в шкафу, автологин нужен (просто нужен, позже станция автоматически лочится), связь с сервером только по rdp. Примеров вообще много можно напридумывать. Зачем на домашнем компьютере пароль из 10 символов? На домашнем компьютере балбесов-пользователей, а не продвинутых, ведь на первых ориентируется ЛК.

 

Сервер с автологином, стоящий в шкафу (в моем случае правда было "на шкафу") у меня не перезагружался около года.

На то и сервер, понимаете... :)

 

А зачем принципиально нужны пароли на заведомо домашних системах - вопрос хороший.

 

Наверное его стОит задать в MS, на ТехНете например...

Пусть уберут в Win8 Home всех видов, все равно дома ими не пользуются, а для офиса есть Бизнес-версии систем.

Share this post


Link to post
А я пока постараюсь объяснить, что происходит, в картинках, что называется.

 

У Вас очень много текста.

 

Начните с простого:

Как в Winlogon прописался Ваш тест, почему вы этот тест запустили не в песочнице, которая явным образом предназначена для запуска всего неизвесно/подозрительного, и почему Вы, будучи вне всякого сомнения опытным пользователем самостоятельно не запрещаете запись в автораны средствами ХИПСа.

Share this post


Link to post
Сервер с автологином, стоящий в шкафу (в моем случае правда было "на шкафу") у меня не перезагружался около года.

На то и сервер, понимаете...

А у меня довольно часто перегружается, например если я надолго отбываю из дома. Торренты они никуда не убегут.

Сервера же разные бывают.

 

А зачем принципиально нужны пароли на заведомо домашних системах - вопрос хороший.

зачем не нужен автологон, а не сами пароли :)

 

 

Share this post


Link to post
зачем не нужен автологон, а не сами пароли :)

 

Да нет уж..

Есть сервис и есть клиент. Клиент не пользуется сервисом.

 

Вопрос: зачем фирме-владельцу сервиса тратиться на него?

Т.е. если пользуются - то и отлично, за это можно стоимость некого товара/услугу на пяток баксов поднять.

А вот если не пользуются - то деньги брать не за что, а себе явный убыток: сервес нужно поддерживать, не имея с него отдачи.

Share this post


Link to post

Все уже съехали с темы, а Марат пытается держать на плаву тонущий корабль. Да, я кэп, ну и что ? :D

Как итог 5 страниц флуда - правила хипса по реестру дырявые настолько, что позволяют записать в автозагрузку любую фигню (даже с правами гостя).

Share this post


Link to post

Исходя из всего этого топика, вывод один - антиВИРУС не справляется со своей главной задачей. Контроль приложений, антибаннер, виртуальная клавиатура, родительский контроль, песочница, да, напихано много, но за всем этим... соседний топик, Борьба С Вирусами. Слишком самоуверенны Вы, Господа разработчики. ХИПС не панацея.

Share this post


Link to post

Полностью согласен: понтов много, а вирусы после "антивируса" вручную гоняем...

Share this post


Link to post
Да нет уж..

Есть сервис и есть клиент. Клиент не пользуется сервисом.

 

Вопрос: зачем фирме-владельцу сервиса тратиться на него?

Т.е. если пользуются - то и отлично, за это можно стоимость некого товара/услугу на пяток баксов поднять.

А вот если не пользуются - то деньги брать не за что, а себе явный убыток: сервес нужно поддерживать, не имея с него отдачи.

Можно расшифровать этот "поток сознания"? К чему этот текст?

У меня автологоны стоят, но с паролями, из сети без пароля не пробиться, есть потенциальная дырка изнутри (пароль в открытом виде) и какая нибудь коняжка троянская может этим воспользоваться. Потому ставится антивирус, для защиты изнутри. Автологон - это штатная возможность системы. Отсутствие пароля - это тоже вполне допустимая опция, а значит антивирусу придется защищать в тех условиях, в которых может работать ОС, а не ставить условия.

Share this post


Link to post
Исходя из всего этого топика, вывод один - антиВИРУС не справляется со своей главной задачей. Контроль приложений, антибаннер, виртуальная клавиатура, родительский контроль, песочница, да, напихано много, но за всем этим... соседний топик, Борьба С Вирусами. Слишком самоуверенны Вы, Господа разработчики. ХИПС не панацея.

 

Конечно не панацея.

Это инструмент для работы. И как работает инструмент - зависит уж извините, но не только от инструмента. :)

Share this post


Link to post

после обновления винды с microsoft, KIS 556 стал еще дольше запускаться :dash1:

Share this post


Link to post
Это инструмент для работы. И как работает инструмент - зависит уж извините, но не только от инструмента.

Поздняя загрузка кис и его запоздалое "включение" - исключительно наших кривых рук дело? Это вина пользователя?

Share this post


Link to post

Установил KIS 2011 Critical Fix 2 (версия 11.0.2.556) и после недели использования решил откатиться назад на KIS 2010(9.0.0.736) патчи(a,b,c,d,e,f) :) , сыроват еще KIS 2011, понятно что все баги новой версии сразу не обнаружишь и не исправишь,на KIS 2010 вон сколько фиксов выпустили и наверно не просто так что-бы букофки стояли :D , после отката на KIS 2010 система заработала стабильней :ay:

Share this post


Link to post

Мне интересно, а где разработчики? Хотя бы написали что нибудь в оправдание или опровержение! Я давно заметил что у меня на семерке(32) каспер запускается почти самым последним, но как то не придавал этому значения так как думал что это Аутпост его подтормаживает. Я вобще не могу понять по какому принципу ведется тестирование продукта до его выпуска в продажу, если тут такие приколы!!!

Share this post


Link to post
Конечно не панацея.

Это инструмент для работы. И как работает инструмент - зависит уж извините, но не только от инструмента. :)

 

 

Ваша же позиция - "ДЛЯ ДОМОХОЗЯЕК", поставил и забыл. А тут оказывается нужно "потанцевать с бубном", то сё, пятое-десятое. И, предположим, отошёл на секундочку (воды попить, в туалет) а какой-нибудь "дружок" подсунул чего-нибудь в автозагрузку и... Борьба С Вирусами, после рестарта. Вывод - как ты не настраивай инструмент если он кривой, то и результат соответствующий.

 

Немного о себе. Купил 11.02.2010 Windows 7 Home Premium и KIS 2010. "Танцевал с бубном" до 29.04.2010, BSODы, зависания, и много всякого, плюнул, переустановил систему, пошёл купил ESS 4 и удивился, никаких проблем, хоть и состоит он из Антивируса и Файервола и настраивать ничего не нужно.

Share this post


Link to post
Мне интересно, а где разработчики? Хотя бы написали что нибудь в оправдание или опровержение! Я давно заметил что у меня на семерке(32) каспер запускается почти самым последним, но как то не придавал этому значения так как думал что это Аутпост его подтормаживает. Я вобще не могу понять по какому принципу ведется тестирование продукта до его выпуска в продажу, если тут такие приколы!!!

 

Полностью согласен. Странно, что ни одного представителя ЛК в теме не отписалось.

Аргументы пользователя Maratka очень слабо выглядят.

Share this post


Link to post

А кто ни будь, читал полностью «Лицензионное соглашение ЗАО «Лаборатория Касперского» с конечным пользователем о предоставлении неисключительного права на использование программного обеспечения (ПО)».

Советую повнимательнее почитать особенно пункты 7 лицензионного соглашения.

 

Share this post


Link to post
А кто ни будь, читал полностью «Лицензионное соглашение ЗАО «Лаборатория Касперского» с конечным пользователем о предоставлении неисключительного права на использование программного обеспечения (ПО)».

Советую повнимательнее почитать особенно пункты 7 лицензионного соглашения.

7. Правообладатель не гарантирует Пользователю защиту компьютера по окончании срока, указанного в п. 4 настоящего соглашения.

4. После активации ПО (за исключением ПО, предназначенного для ознакомительных целей) вы приобретаете право в течение срока, указанного на упаковке (в случае приобретения ПО на материальном носителе) или указанного вами при оформлении покупки (в случае приобретения ПО через интернет), получать от Правообладателя или его партнеров:

- новые версии ПО, включая базы Антивируса, базы Сетевого экрана, базы Анти-Спама, по мере их выхода (через интернет);

- техническую поддержку (по телефону и/или через интернет);

- новые версии баз для лечения обнаруженного вами ранее неизвестного вируса. Изготовление обновления баз для лечения ранее неизвестного вируса выполняется в течение 48 часов после получения вируса Правообладателем.

Share this post


Link to post

Ну и как бы судами их не попугаешь, такой бизнес очень хорошо оберегается юристами. Привычно :)

Share this post


Link to post
Могу предположить, что это результат обустройства программы вокруг HIPS, т.к. пока он не появляся в продукте вроде бы такой штуки небыло.

Честно говоря, это был риторический вопрос, но раз уж Вы решили ответить, то вот что я думаю.

 

Могу предположить, что это результат обустройства программы вокруг HIPS

ИМХО, с точностью до наоборот. Это результат "впихивания" того, что ЛК гордо называет "хипсом" в давно сложившуюся и начинавшую устаревать уже лет пять назад архитектуру. Вместо того, чтобы потратить усилия на полнофункциональную IPS, работающую на уровне ядра ОС, они затолкали "что-то вроде HIPS" в службу.

 

пока он не появляся в продукте вроде бы такой штуки небыло

Должен Вас разочаровать и заодно немного "реабилитировать" КИС11. Кроме него и версии КИС 6,7,8,9 и, само собой, ХРЮстал:

1) стартуют и инициализируются аналогичным образом.

2) точно так же не в состоянии контролировать что-либо, запускающееся раньше.

3) выносятся вперед ногами аналогичным пионерским способом, про какие-то более мудреные я даже не вижу смысла говорить.

Более древних дистрибутивов я у себя не обнаружил, а искать не стал, в любом случае они представляют интерес разве что для палеонтологов.

 

На самом деле мне намного больше не понравилось вот что. Как говорится, чем дальше в лес... Для эксперимента на виртуалку с КИС11, билд 556, я поставил Апач, разумеется, в виде службы. Как я и ожидал, добавлять его в "untrusted" было пустой тратой времени. Его служба прекрасно запускалась. Никаких фокусов с "выносом тела" я в этот раз не предпринимал и настроил обычный вход в систему через экран приветствия. До входа в систему соединения вроде бы не проходили (хотя это стоит внимательно проверить), но после логона КИС начинал переинициализироваться или что он там делал и после этого "недоверенный" Апач начинал заливать access.log двухсотыми ответами (я "снаружи" запускал бесконечный цикл GET раз в секунду). Вырубить эту красоту удавалось только блокировкой траффика в КИСе, не помогали даже никакие переключения публичной/локальной сети, а КИС радостно показывал траффик "заблокированного" апача. Причем после этого (я не останавливал сервер), при остановке системы, апач успевал принять ещё несколько соединений (очевидно, после выгрузки КИСа). Кроме того, даже в режиме публичной сети, даже в случае блокировки апача, на машине всё равно светился, хоть и не отвечал, 80-й порт. Хотелось бы чтобы кто-то, кому это действительно нужно, потестировал этот вопрос, у меня нет ни времени, ни желания заниматься отладкой продуктов ЛК, тем более писать специальные тесты и поднимать сервер на физической машине, возможно я в данном случае наблюдал какие-то несовместимости с вмварью, или какие-то хитрости в настройке КИСа, или "особенности" пробной версии или что-то в этом роде. Может быть стоит озадачить этим саппорт, не знаю. К счастью, я этого сделать не могу так как не являюсь обладателем продукции ЛК. И, действительно, хотелось бы услышать какое-то компетентное мнение от ЛК. Вопрос нифига не смешной, а мараткина болтовня уже в печенках.

Edited by ntoskrnl

Share this post


Link to post

Давно ушел с антивируса Касперского, так как нынешний вариант продукта явно сделан не для защиты от зловредов, а для маркетинга и продажи. Последняя нормальная версия, пусть и с абсолютно самопальным и некрасивым скином, была 7.ххх.

 

По теме: да это не просто баг, а откровенная халтура в строении, архитектуре продукта. Привязывать запуск и действие служб к запуску gui к ним, это просто провал.

Share this post


Link to post
7. Правообладатель не гарантирует Пользователю защиту компьютера по окончании срока, указанного в п. 4 настоящего соглашения.

А в лицензии вообще ничего не сказано на счет того, что и как гарантирует ЛК. Т.е. ответственности нет вообще ни за что.

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.