Jump to content
SvL123

Самоуправство KIS в контроле программ

Recommended Posts

Не, это тоже редкий сценарий. Авторежим (самый желаемый для разработчиков) -- это когда пользователь нажал кнопку "установить", и больше туда не суется :).

Share this post


Link to post

Для работы в авторежиме не нужен KIS, по уши бесплатного KFA.
А в случае Windows 10 и KFA уже не нужен.

Share this post


Link to post

По продолжительности жизни отредактированного hipsdb5.xml: до ближайшего обновления баз, после чего значения возвращаются к дефолтным. Проставление опции "только для чтения" на результат не влияет (совершенно предсказуемо). 

Share this post


Link to post

Возможно сработают политики (забрать права у system на изменение файла).
Но это лишь заглушка: что делать, если файл будет изменен в ЛК (добавят ресурсы, или изменят тайминги ресканов)?

Ну вот как например было в 2010-2011-х годах.

А вот так стало опять, после сбоя:

 

Потом опять исправили на 120 минут.
В версии году так в 2014-м и вовсе поменяли на 6 часов (360 минут).

Share this post


Link to post

В общем после отправки всевозможных отчетов завели ошибку (баг) #3180060 по неработающим исключениям.

По вопросу вылета правил молчат как рыбы. Судя по сообщению Виталик1993, баг на него уже существует, но я все равно намерена их подергать. Если все, кто столкнулся с этим, тоже напишут запросы, возможно вероятность его решения слегка подрастет :).

В 08.01.2019 в 15:47, Maratka сказал:

вот как например было в 2010-2011-х годах.

Я кажется даже помню этот момент с периодическими тормозами, который потом разрулился сам собой :). Кстати, надо отдать должное, новые версии грузят машину меньше старых, и работают шустрее -- я это заметила еще на старом железе.

Интересно, что им мешает увеличить дефолтное время хранения хотя бы до пары недель/месяца -- уже проблема сильно потеряла бы в остроте. Править права и заморачиваться с hipsdb5.xml пока не буду, ибо восстанавливать правила приходится не так много. Что интересно, вылетают из Контроля не все программы, некоторые продолжают жить, несмотря на отсутствие запуска.

Share this post


Link to post
49 минут назад, SvL123 сказал:

Я кажется даже помню этот момент с периодическими тормозами, который потом разрулился сам собой :)

Ну не сам собой. ;)


Кто-то, активно читающий форум и работающий в ЛК на то время поднял проблему, завел багу (и попутно пообщался в личном порядке в курилке с людьми, от которых зависело принятие изменения), в результате чего таки пробил это самое изменение на 120 минут вместо 15.  Хотел пробить и на 360 (4 раза в сутки совершенно достаточно для 99% систем), но в качестве страховки согласился, что кто-то, кто включает ПК на несколько часов (прочитал новости, сиграл в игрушку и выключил) в этом случае останется без рескана вовсе, что плохо. Потом видать собрали статистику через KSN по использованию ПК, и выяснили, что таковых людей немного, да и у них есть несколько дней в месяце, когда ПК работает подряд более 6 часов (а-ля включил ПК, вышел на лестницу покурить, встретил соседа, и не вернулся ;) ), потому увеличили время еще в три раза.


Это кстати совершенно нормальный подход, сделать явное послабление проблемы, а потом, на основе статистики, решить ее по сути вовсе, при этом ровно ничего не меняя в коде, не выпуская пачтей и т.д. ;)

 

1 час назад, SvL123 сказал:

Интересно, что им мешает увеличить дефолтное время хранения хотя бы до пары недель/месяца

Ну а если представить, что эти данные антивирус вообще не считывает с xml-файла, либо считывая минуты, интерпретирует их как секунды? ;)

Share this post


Link to post

Похоже, как я и предполагала, толку от ТП будет, как с козла молока :).

Получила ответ по неработающим исключениям:

Цитата

В данном случае все корректно - настраиваются исключения по детектированию. Файл проверяться будет, т.к. это требуется для категоризации приложения в AC/HIPS.
Для исключения из обработки HIPS-ом есть доверенная зона - trusted applications. При добавлении в них все будет работать так, как вы ожидаете"

Т.е. нужно добавить приложение в Доверенные Приложения, если хотите, чтобы оно не проверялось Контролем Программ. 

Т.е. если у меня несколько десятков слайдшоу (или других элементов, желательных к исключению), то я должна прописывать их в trusted applications все по одному? :huh:

При этом возникает вопрос: где это явным образом указано, и видно пользователю? В окне настройки исключения видим следующее:

Спойлер

except.jpg.aab8d623e3c0475bd6074da5532313f5.jpg

В справке по продукту читаем следующее:

Отсюда: https://help.kaspersky.com/KIS/2019/ru-RU/68285.htm

Цитата

Компоненты защиты

В графе отображаются названия компонентов защиты, в работе которых учитывается исключение (например, Файловый Антивирус или Веб-Антивирус).

Если исключение учитывается в работе всех компонентов защиты, в графе отображается значение Любые.

Отсюда: https://help.kaspersky.com/KIS/2019/ru-RU/68316.htm

Цитата

В блоке Компоненты защиты можно указать компоненты защиты (например, Файловый Антивирус или Веб-Антивирус), в работе которых будет учитываться исключение.
По умолчанию новое исключение учитывается в работе всех компонентов защиты.

Получается, еще одна опция для красоты, ни на что не вляющая, как и учет цифровой подписи? Рудименты от старых версий? Уже молчу про полную статистику из KSN к каждой программе -- при том, что оно у меня отключено. Я прямо как с луны свалилась со своей 14-й версии -- столько вокруг нового и увлекательного, и всюду: "Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим" :unsure:

И ответ ТП по сбросу правил:

Цитата

По вопросу сброса правил, мы подняли приоритет бага. Пожалуйста, ожидайте нашего ответа.

 

Share this post


Link to post
33 минуты назад, SvL123 сказал:

Т.е. если у меня несколько десятков слайдшоу (или других элементов, желательных к исключению), то я должна прописывать их в trusted applications все по одному?

нуда, у вас же для неизвестных приложений включено помещение в группу Слабые исключения. Доверие к подписи, если оно есть у приложения отключено. Информация из KSN тоже отключена. При таких условия приложение должно быть помещено  в группу Слабые ограничения.

Исключение, которое вы настроили, работает только в случае какого-то объекта, которое обнаружено продуктом в вашем приложении, если с приложением все впорядке, то исключать нечего

Share this post


Link to post
51 минуту назад, kmscom сказал:

Доверие к подписи, если оно есть у приложения отключено. Информация из KSN тоже отключена.

Самое смешное, что они-то как раз и работают, несмотря на отключенность :D

Ну допустим, логика этого вида исключений мне теперь понятна, хотя на мой взгляд, неочевидна для юзера, по уши не погруженного в Каспера, и не живущего в нем. И все равно не понятно, почему нельзя исключить из проверки всю папку со всем содержимым, дабы не захламлять Контроль программ. При текущей ситуации проще регулярно чистить Контроль, чем плодить десятки никчемных правил.

Edited by SvL123

Share this post


Link to post
23 минуты назад, SvL123 сказал:

Самое смешное, что они-то как раз и работают, несмотря на отключенность

вот по поводу помещения utorren в группу Доверенные по причине анализа подписи и нужно решать проблему.
utorrent это стороння программа, то есть неизвестная, и по логике должна при запуске добавится в группу Слабые ограничения, или нужно уточнить у специалистов - что значит неизвестная программа

файлы самой программы (файлы в папках установки) известны антивирусному ПО, для них ваши настройки не действуют, они поместятся в Доверенные в любом случае

 

31 минуту назад, SvL123 сказал:

почему нельзя исключить из проверки всю папку со всем содержимым, дабы не захламлять Контроль программ

При запуске программы, она в любом случае будет помещена в какую-то группу или подгруппу и наследует правила группы или подгруппы, в которую она помещена.
Исключения тут не причем

Share this post


Link to post

В общем после месяца тяжелых и изнурительных боев переписок с ТП результаты следующие (как и предполагалось, нулевые).

1. По неработающим исключениям. Да, kmscom прав, они подтвердили, что это  by design, т.е. исключить из проверки полностью папку со всем содержимым нельзя.

Цитата

Приложение создаёт новые .exe, наш Контроль Программ их категоризирует. Если вы не хотите, чтобы это происходило, нужно каждый .exe добавлять в Доверенные. 

Изменить это как-то по-другому на данный момент никак нельзя.

2. По основной проблеме, собственно вылету программ из контроля и сбросу правил. Все-таки время хранения тут не при чем, это косяк.

Цитата

Что касается времени хранения информации о приложении и его правил. Оно составляет 2 месяца, если приложение не удалено, и 1 месяц если было удалено, то есть по идее, через месяц все эти ненужные правила для .exe из Temp будут удалены, поэтому они не будут бесконечно плодиться, а периодически будут чистится. 

По поводу основной проблемы из баги 2803117 - разработчики сообщили, что проблема будет решена в 2020 версии. Сейчас мы запросили у них более детальную информацию по проблеме и возможно ли предоставить какое-то временное решение вам.

Я задала вопрос по расшифровке коротких времен (больше из любопытства), но:

Цитата

К сожалению, в данный момент более подробно по ключам ответить не можем. Уточнять это сейчас не имеет смысла, так как разработчики признали, что есть проблема в реализации кода. Из-за этой ошибки как раз и происходит сброс правил.
В настоящий момент ожидаем исправление от разработчиков. Если все будет в порядке, возможно исправление выпустят в ближайшем патче 2019 версии.

Короче, то же самое, что и в ответе Виталику1993, есть лишь слабая надежда, что слегка подняли приоритет, как писали. И почти до слез растрогал и умилил их заключительный совет:

Цитата

Пока можем посоветовать установить маркеры:
-Доверять программам, имеющим цифровую подпись
-Загружать правила для программ из KSN

А я-то, темнота дремучая, столько времени сношала мозги себе и им, не догадавшись проставить эти галочки :lol:. Как обычно, ТП не разочаровала, и сработала должным образом :lol:.

Edited by SvL123

Share this post


Link to post
3 часа назад, SvL123 сказал:

Что касается времени хранения информации о приложении и его правил. Оно составляет 2 месяца, если приложение не удалено

То есть если даже приложением активно пользоваться, то спустя два месяца после добавления его в группу оно всё равно будет удалено? То есть бага только в том, что слетает через неделю, а не через 2 месяца?

*в смысле по их мнению бага только в этом?

Edited by regist

Share this post


Link to post
3 часа назад, SvL123 сказал:

Что касается времени хранения информации о приложении и его правил. Оно составляет 2 месяца, если приложение не удалено, и 1 месяц если было удалено

Интересно, почему тогда у меня правило программы, которая есть в системе исчезает примерно через неделю?

Share this post


Link to post
5 минут назад, Виталик1993 сказал:

Интересно, почему тогда у меня правило программы, которая есть в системе исчезает примерно через неделю?

Потому что у них косяк в коде, который они МОЖЕТ БЫТЬ исправят в следующем патче, а скорее всего в следующей версии (добавив кучу новых :))

Цитата

То есть если даже приложением активно пользоваться, то спустя два месяца после добавления его в группу оно всё равно будет удалено?

Из ТП выжать какую-либо информацию крайне сложно, ибо они сами ничего не знают, но по моим ощущениям, используемые программы не слетают (возможно, с каждым запуском идет обнуление этого срока). Но я прослежу за этим :).

Share this post


Link to post
7 часов назад, SvL123 сказал:

но по моим ощущениям, используемые программы не слетают

у меня проблема, что слетают как раз используемые :(

Share this post


Link to post

Ура, свершилось -- починили! 

Заметила, что как-то подозрительно долго ничего не отваливается, проверила версию -- так и есть, патч поменялся на е, и в ченджлоге действительно присутствует данный момент. Теперь можно жить :). Спасибо всем, кто приложил руку :)

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.