Jump to content

Recommended Posts

Я удивлен тем, что батник стер безо всяких препятствий защищенный файл, при попытке удаления которого КИС должен выводить предупреждение.

Edited by DisableThem

Share this post


Link to post
Теперь я в Защите данных добавляю маску C:\test\*.*, создаю ранее удаленный С:\test\1.txt и заново запускаю C:\test\test.bat. Выбираю рекомендуемые КИС действия, последнее сообщение о попытке C:\test\test.bat прочесть C:\test\test.bat:

post-523907-1424964460_thumb.png

Нажимаю Разрешить, после чего защищенный файл С:\test\1.txt стирается без всякого предупреждения! Так и должно быть?

наверно да, ведь вы запускаете бат-файл, который сам по себе тоже подходит по защищаемую маску C:\test\*.*, (находится в каталоге), разрешили чтение, он и удалил

поместите бат-файл в другой каталог, и увидите запрос на удаление

Edited by kmscom

Share this post


Link to post

Да, при запуске батника из другого каталога появляется запрос на удаление. Получается, что если батник указан в "Персональных данных" (по маске каталога или прямому пути), то он может удалять вообще любые файлы на компьютере, включая системные, без запроса со стороны кис. Лично мне такой принцип работы не внушает доверия: во-первых, он не очевиден, во-вторых, допустим, я внес весь локальный диск D:\* в персональные данные в "Защите данных", т.к. у меня там хранится личная информация в сложной структуре каталогов.

 

На компьютер скачивается на диск D малварь (.exe или bat, удаляющий все файлы на жд) и запускается пользователем или скрытно. Касперский выдает предупреждения, среди них нет ни слова о попытке удаления данных. Пользователь со всем соглашается, после чего имеет пустой жесткий диск D. Лично мне кажется, что удаление - это операция с необратимыми последствиями, поэтому о любых попытках что-нибудь удалить нужно докладывать пользователю (в интерактивном режиме, разумеется).

Share this post


Link to post

а зачем создавать такие преграды, защитили все папки на диске (с подпапками, по маске), кроме одной куда закачиваете малварь.

Share this post


Link to post
а зачем создавать такие преграды, защитили все папки на диске (с подпапками, по маске), кроме одной куда закачиваете малварь.

Скачиваемые файлы - это лишь часть проблем. Вредоносы проникают и по-иному и речь не о флешках.

Share this post


Link to post
Да, при запуске батника из другого каталога появляется запрос на удаление. Получается, что если батник указан в "Персональных данных" (по маске каталога или прямому пути), то он может удалять вообще любые файлы на компьютере, включая системные, без запроса со стороны кис. Лично мне такой принцип работы не внушает доверия: во-первых, он не очевиден, во-вторых, допустим, я внес весь локальный диск D:\* в персональные данные в "Защите данных", т.к. у меня там хранится личная информация в сложной структуре каталогов.

 

На компьютер скачивается на диск D малварь (.exe или bat, удаляющий все файлы на жд) и запускается пользователем или скрытно. Касперский выдает предупреждения, среди них нет ни слова о попытке удаления данных. Пользователь со всем соглашается, после чего имеет пустой жесткий диск D. Лично мне кажется, что удаление - это операция с необратимыми последствиями, поэтому о любых попытках что-нибудь удалить нужно докладывать пользователю (в интерактивном режиме, разумеется).

Главное, чтобы в ваших защищаемых данных не было файла вредоноса. Это условие легко выдержать. Интересно, а где-нибудь есть мануал по пользованию ручными HIPSами? Неплохо бы разработчикам потрудится и написать.

Edited by Threat#47

Share this post


Link to post

да про вредоносы мы говорим косвенно, речь идет чтоб было видно кто что удаляет. а уж вредонос это или нет, это не так важно

Share this post


Link to post

Ах да, кстати. KIS 15 MR2 лишний раз выдаёт уведомления о добавлении ПО в группы, например регулярно пользуюсь Visual Studio и Word-ом 2013, так он через раз постоянно сигналит, что они перенесены в доверенную группу. Режим ИНТЕРАКТИВНЫЙ.

Share this post


Link to post

Вот такой отчет экспортируйте в файл. фаил приложите

post-328408-1425039762_thumb.jpg

уведомление можно успеть отключить, пока оно показывается

Edited by kmscom

Share this post


Link to post

Я почти каждый день включаю Word, надо подробнее узнать о проблеме мне, но пока прикладываю отчёт работы Контроля программ по Word-у 2013.

Как видим, зачем-то сегодня он добавил ПО в группу, хотя запуск был позавчера. Прикладываю пруф из OneDrive, что я действительно позавчера (25.02) юзал Word и у КР не было никаких оснований заново вносить ПО в группу (Word не обновлялся, хотя это не факт, вот это как раз даёт причину подтвердить происходящее дополнительно, т.е. изучить происходящее надо не только на примере Word-а, по Visual Studio повторений не увидел в журнале, наверное в группу добавлялись ранее не использованные мной элементы IDE, я посмотрю др. ПО, если будет что-то интересное - напишу).

d579490c6dcb.jpg

abb4d8b05a7e.jpg

Edited by Threat#47

Share this post


Link to post

Отсутствием в настройках проактивной защиты контроля доступа к любым файлам на жестком диске (а не только тем, которые в защите данных) лично я разочарован, т.к. воспринимал Касперского и как своего рода песочницу, полагая, что при запуске потенциально зловредного ПО это самое ПО не смогло бы удалить или модифицировать любые файлы на жестком диске без предупреждения со стороны КИС. Другими словами, воздействие зловреда не имело бы необратимых последствий. А теперь выходит, что с настройками по умолчанию любой зловред может хоть все папки на не системном жестком диске удалить, и касперский в интерактивном режиме не выдаст никакого предупреждения о попытке удаления.

 

Мне вообще такая избирательная защита файлов через списки в "Защите данных" не совсем понятна. Пример: в папке профиля фф в "Защиту данных" занесены файлы с расширением .db, то есть key3.db, имеющий отношение к паролям, Касперский защищает, а вот файл истории со всеми закладками places.sqlite уже нет. Добавили бы маску Firefox/Profiles/* и полностью защитили профиль от вирусов.

 

а зачем создавать такие преграды, защитили все папки на диске (с подпапками, по маске), кроме одной куда закачиваете малварь.

У меня в корне штук 30 каталогов, их по одному очень долго будет добавлять (кстати, вот и объективный недостаток ГУЯ).

 

Главное, чтобы в ваших защищаемых данных не было файла вредоноса. Это условие легко выдержать. Интересно, а где-нибудь есть мануал по пользованию ручными HIPSами? Неплохо бы разработчикам потрудится и написать.

Получается, что придется это правило выдерживать. Пока я такую политику придумал: заношу все папки на не системном диске в Контроль данных, у меня там исполняемых файлов в принципе нет. На системном диске полностью защищаю (\*) папки браузера, включая профиль. Есть еще большое искушение всю папку Windows и Program Files (x86) в защищаемые добавить, но мне почему-то кажется, что добром это не кончится :b_lol1:

 

Ах да, кстати. KIS 15 MR2 лишний раз выдаёт уведомления о добавлении ПО в группы, например регулярно пользуюсь Visual Studio и Word-ом 2013, так он через раз постоянно сигналит, что они перенесены в доверенную группу. Режим ИНТЕРАКТИВНЫЙ.

Тоже такая проблема была на MR1, прошла сама собой. Файрфокс одной и той же версии он у меня добавлял в доверенные при каждом новом запуске после перезагрузки. Если закрыть фф и снова открыть, не перезагружая компьютер, сообщения о добавлении не было.

 

Share this post


Link to post
(1) Мне вообще такая избирательная защита файлов через списки в "Защите данных" не совсем понятна. Пример: в папке профиля фф в "Защиту данных" занесены файлы с расширением .db, то есть key3.db, имеющий отношение к паролям, Касперский защищает, а вот файл истории со всеми закладками places.sqlite уже нет. Добавили бы маску Firefox/Profiles/* и полностью защитили профиль от вирусов.

 

У меня в корне штук 30 каталогов, их по одному очень долго будет добавлять (кстати, вот и объективный недостаток ГУЯ).

Получается, что придется это правило выдерживать. Пока я такую политику придумал: заношу все папки на не системном диске в Контроль данных, у меня там исполняемых файлов в принципе нет. На системном диске полностью защищаю (\*) папки браузера, включая профиль. Есть еще большое искушение всю папку Windows и Program Files (x86) в защищаемые добавить, но мне почему-то кажется, что добром это не кончится :b_lol1:

Тоже такая проблема была на MR1, прошла сама собой. Файрфокс одной и той же версии он у меня добавлял в доверенные при каждом новом запуске после перезагрузки. Если закрыть фф и снова открыть, не перезагружая компьютер, сообщения о добавлении не было. (2)

(1) Это вопрос производительности, чем больше файлов надо контролировать, тем больше суетится Контроль программ.

(2) Ок. Ну и ладно, не критично.

P.S. Песочница штука хорошая, но есть пару моментов. Если в антивирус добавлять слишком много подобных фич без особого смысла, кода больше, больше риска сделать свой же код уязвимым, т.е. это вопрос самозащиты антивируса уже, всё должно быть в меру, HIPS полностью покрывает все дополнительные требования к защите, удобнее реализации я не видел, скажите спасибо, что KSN имеет огромный белый список, алерты - явление не частое. В Касперском раньше была песочница, но есть ли смысл запускать ПО в ней? А как вы собираетесь узнать что по факту делает ПО? Может быть фейка или винлокера так можно спалить, а как насчёт Ramnit-а, Zeus-а и т.д.? В песке не всё полноценно может запустится, наверняка есть нюансы. Нужны не среды для защиты, а технологии фактического знания и мониторинга. Виртуальные среды помогут в других вещах, онлайн-банкинге например, или для размещения виртуальной ОС, изолированной от основной, и то если не вру, были зловреды, которые могут пройти через виртуалку до основной машины. В любом случае, если вы так сильно волнуетесь за свои данные, вы можете все опасные участки деятельности выполнять в виртуальной среде VmWare например, но KIS вполне достаточно.

Edited by Threat#47

Share this post


Link to post

Решил я тут ХИПС в других антивирусах посмотреть, и что вы думаете?

https://help.comodo.com/topic-72-1-451-4760-.html

Objects To Monitor Against Direct Access:

Determines whether or not Comodo Internet Security should monitor access to system critical objects on your computer. Using direct access methods, malicious applications can obtain data from a storage devices, modify or infect other executable software, record keystrokes and more. Comodo advises the average user to leave these settings enabled:

Disks: Monitors your local disk drives for direct access by running processes. This helps guard against malicious software that need this access to, for example, obtain data stored on the drives, destroy files on a hard disk, format the drive or corrupt the file system by writing junk data (Default = Enabled).

Комодо делает именно то, о чем я говорил: мониторит запись/чтения всех файлов на жд. Касперский же в интерактивном режиме проверяет только доступ к защищенным файлам, коих меньшинство, а все остальные файлы остаются без всякого контроля при попытке их модификации/удаления. В этом я убедился лично, создав и запустив батник, который удалял пользовательский файл (см. выше). Очевидно, что Касперский по функционалу уступает Комодо.

Share this post


Link to post
Правильно заметили, ваши аналогии приводят к флуду и вместо того чтобы говорить по теме все начинают обсуждать самолёты, автомобили и так далее. Поэтому, давайте без обид, согласен, я их буду просто удалять, не читая.

Кстати, повторяю вопрос, какие глюки в 2015-ой версии (ну кроме поправленного анти-баннера и тех самых графиков из этой темы) вам мешают работать?

 

Значит вам можно писать например то с чем я не согласен, а мои аналогии будете чистить?

К флуду приводят не мои аналогии, а ваше непонимание моих аналогий и большое кол-во ваших постов Drru на мой один.

 

Ну, а на счёт КИС 2015 это просто смех с вашей стороны спрашивать про это.

Объясняю почему...

У меня пока, что стоит КИС 2014, КИС2015 я сейчас не пользуюсь (т.к. с этой утилитой было много проблем). Вот когда поставлю КИС 2015 тогда и напишу конкретнее.

Но только фокус в том, что когда я поставлю КИС 2015 (после выхода КИС2016) вы Drru будете меня выспрашивать уже про КИС 2016 :laugh3:

 

P.S. Получается, что продвинутому юзеру windows (например Maratka) антивирус (в.т.ч. Касперского) и вовсе не нужен, а массового пользователя с настройками по дефолтам КИС совсем и не спасёт.

Тогда кому и накой нужны такие вот Антивирусы???

Edited by ALPHA TESTER

Share this post


Link to post
когда я поставлю КИС 2015 (после выхода КИС2016) вы Drru будете меня выспрашивать уже про КИС 2016 :laugh3:
естественно, 2016 будет актуальной версией и если есть ошибки в 2015, то попросят воспроизвести в 2016

 

Share this post


Link to post
........

P.S. Получается, что продвинутому юзеру windows (например Maratka) антивирус (в.т.ч. Касперского) и вовсе не нужен, а массового пользователя с настройками по дефолтам КИС совсем и не спасёт.

Так уж и совсем? А какой спасёт совсем? Или совсем не спасёт никакой?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.