Jump to content

Recommended Posts

В свете грядущего выхода Kav Wks MP3 хотелось бы поделиться впечатлениями от использования сборки 6.0.3.818

 

Описанное ниже никаким образом не претендует на changelog вида "немигая уставившись в монитором, воочию наблюдал отрадный факт исправления лютой и досадной траблы (с леденящими кровь последствиями), имевшей место в следующих условиях..."

Просто впечатления за небольшой промежуток времени.

Ввиду скупости официальных changelog-ов, отчего бы и нет...

 

 

Исправлено

-------------------------------------------

 

1.) Старые баги с исключеними PDM:

 

 

1.1) Неработающие исключения для "Внедрения в процесс" (Invader)

Имели место, например, при использовании пакета Protector Suite QL (По для работы с датчиком отпечатка. Прилагается, например, к Sony Vaio).

Другой пример ранее неработавшего исключения: Console

Еще один общий пример: Thermite

 

Описание:

Невозможно было задать такое исключение, чтобы Kav не блокировал активность приложения.

Вариант: только добавление в доверенные с вердиктом "Не контролировать активность...".

 

Как было:

 

• несмотря на заданное исключение

post-14953-1190526054_thumb.png

 

• Kav блокировал активность:

post-14953-1190526044_thumb.png

 

post-14953-1190526050_thumb.png

 

 

На данной сборке указанное выше исправлено:

post-14953-1190526069_thumb.png

 

post-14953-1190526064_thumb.png

 

Просто порадовало. Аминь.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1.2) Невозможность использовать исключения события "Запуск браузера спараметрами" для ряда приложений

в сочетании с вердиктом "Запретить" для всех остальных.

 

Описания:

- Kav v6.0.1.401 pre TR - пункт IV

- еще раз: простыми человеческими словами

 

 

Аналогично:

одной анноящей вешью меньше, что Отрадно.

----------------------------------------------------------------------------------------------------------

 

2.) Мониторинг реестра

 

В целом сложились довольно приятные впечатления (баги - ниже)

За неделю не видел ни одного алерта, хотя по старой памяти на Kav MP2 помню, что на настроенной системе и без_установки_какого-либо софта/изменения настроек алерты периодически были.

Засомневался даже, шо оно работает. Проверил - таки работает и правила обрабатываются.

Может, конечно, это на моей "помойке так чисто", но, в любом случае, рад,

что "шум" удалось отфильтровать.

 

На мой взгляд, в плане сочетания назойливость/эффективность получилось отлично. Тем более, для Wks.

----------------------------------------------------------------------------------------------------------

 

3.) Добавлена возможность использовать переменные окружения (EnvironmentVariables) в пути к доверенному приложению.

("начало" см., например, здесь)

 

иллюстрация:

post-14953-1190526136_thumb.png

----------------------------------------------------------------------------------------------------------

 

4.) GUI

 

4.1) Добавлена возможность изменять порядок серверов обновления.

 

В картинках:

post-14953-1190526131_thumb.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

4.2) Что-то определенно добавлено в плане сохранения сортировки по колонкам.

Не берусь с уверенностью говорить, что это было сделано именно в последних сборках.

Но, по мне, так стало удобнее.

----------------------------------------------------------------------------------------------------------

 

 

А теперь- смежные баги/недочеты.

-------------------------------------------

 

5.1) Настройки "Анализа активности" PDM по-прежнему не подхватываются при использовании install.cfg

 

Описание:

AK 6.0.2.678 для Windows Workstations - пост #18

 

В картинках:

 

• вот такие настройки были сохранены (v6.0.3.830) и подлежали распространению на все вновь устанавливаемые экземпляры (v6.0.3.830 же):

post-14953-1192773942_thumb.png

 

• а вот так они "подцепились" при установке:

post-14953-1192773947_thumb.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

5.2) При переустановке драйверов (удаление+установка) для беспроводной сети

(Intel® PRO/Wireless 3945ABG Network Connection) Kav упал.

В принципе, опыт подсказывает, что не все и не всегда работает так, как того хочется : ) и в подобных случаях любой софт желательно выгружать.

Тем не менее...

 

Надо отдать должное, Kav сам успешно рестартанулся.

Правда, со сбоем во всех сетевых компонентах (что тоже понятно: NDIS-драйвер не "привязался" ни к чему).

 

Интернета на машине не было, поэтому дампы не отправлял.

Если они интересуют, то воспроизведу ситуацию.

 

К слову, спасибо за новый gui отправки такого рода дампов.

----------------------------------------------------------------------------------------------------------

 

6.1.) См. пункт 1.2. выше:

 

Поведение при наличии запущенного экземпляра браузера: "как оно было, так оно и есть.."

 

Описания:

- Топик "Исключения & Анализ активности" - пост #47

- Kav v6.0 MP1 - пост #9 - пункт 5.1.3.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

6.2.) В ключенном мониторинге реестра Kav по-прежнему входит в "ступор" при некоторых внешне невинных операциях с ключами HKLM\Run и RunOnce:

 

Примеры:

- установка "Codec Installation Package for Windows Media Player v*" при включенном RegMon невозможна.

Kav отъедает 100 % Cpu в качестве ответа на запись, насколько я понял, в RunOnce.

Лечится перезагрузкой и установкой кодеков при отключенном RegMon.

Данная пачка кодеков не является "самопальной", а разработана и распространяется MS:

Codec Installation Package for Windows Media Player...

 

post-14953-1191083185_thumb.png

 

Стабильно имеет место по крайней мере, с версии 6.0.2.614 (ранее просто не проверял)

Настройки RegMon - по умолчанию.

Трейсы и пр. предоставлял.

~~~

 

- отключение открытия файла посредством ассоц. приложения при помощи Autoruns и рядя других утилит аналогиного свойства.

Проще говоря, снятие данного флажка приводит Kav в страшное замешательство (100% cpu load до ребута).

post-14953-1191083167_thumb.png

 

Стабильно имеет место по крайней мере, с версии 6.0.2.614 (ранее просто не проверял)

Настройки RegMon - по умолчанию.

 

Трейсы и пр. предоставлял.

Могу предоставить все возможные сведения еше раз.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

6.3) Контроль дерева процессов радует,

но в отношении описанного выше становится возможной следующая ситуация:

 

если браузер запущен, например, как

[Приложение, которому это разрешено в исключениях] -> [cmd.exe] -> [браузер с параметрами командной строки],

то PDM молчит, трактуя цепочку как

[Приложение, которому это разрешено в исключениях] -> [браузер с параметрами командной строки]

 

 

В картинках:

 

- для приложения задано исключение (на примере оболочки TotalCmd)

post-14953-1190526481_thumb.png

 

- запускаем Ie

post-14953-1190526506_thumb.png

 

- при условии, что cmd является child-ом "исключения"

post-14953-1190526559_thumb.png

 

- переход на адрес заканчивается успешно (на скриншоте - адрес фиктивный, оттого "Not found"):

post-14953-1190526642_thumb.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

6.4) Как-то добавление в исключения "пом'якшало" : )

 

Т.е. есть приложение, инжектящее dll.

Есть реакция Kav на "Invader (loader)".

Есть запись в логе вида (т.е., предполагается, что "что к чему" Kav помнит):

post-14953-1190534546_thumb.png

 

Добавляем в исключения из лога (т.к. по дефалту все, что можно, душим):

post-14953-1190534625_thumb.png

 

Но отчего-то созданное таким макаром исключение не содержит даже указания на dll:

post-14953-1190534692_thumb.png

 

Не вполне осознал: к чему бы это? : )

----------------------------------------------------------------------------------------------------------

 

6.) GUI

 

7.1) В случае установки драйвера (Suspicious driver installation) в логах видна запись о том, что алерт - был.

Результата - не видать. Что_юзер-то_сказал??

С AK не проверял. Остается надеяться, что в его логах дело обстоит иначе.

 

иллюстрация:

post-14953-1190526961_thumb.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

7.2) Мелкий (но неприятный) баг гуя:

 

- при установке флажка "Показать/скрыть" для любой из колонок любого отчета

post-14953-1190527072_thumb.png

 

- появляется еще одно popup-меню:

post-14953-1190527105_thumb.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

7.3) Некорректная и сбивающая с толку подсветка (в логах) событий, полученных от модуля RegMon .

 

Иллюстрации:

- вот, например, логи для Invader-а, внесенного в исключения:

post-14953-1191082053_thumb.png

 

post-14953-1191082075_thumb.png

 

Всё "зачепись": в "общих" логах на вкладке "События" - "информационая" запись.

Мол, да: было, разрешено в соотв. с исключениями.

На вкладке "События" логов PDM - аналогично: в желто-зеленых цветах. Было. Разрешено. Потому что.

Отлично!

 

- теперь то же самое для события RegMon:

post-14953-1191082081_thumb.png

 

post-14953-1191082089_thumb.png

 

на вкладке "События" логов PDM - все нормально. В тех же привычных тонах.

А в логах "первого уровня" события выделены_красным, хотя соотв, правило в настройках RegMon есть.

 

Просто сбивает с толку.

----------------------------------------------------------------------------------------------------------

Edited by fp_post

Share this post


Link to post

Еще одна вещь:

i-Техноголии не применимы (по каким-то причинам) к *.chm и *.png файлам?

Что-то при операциях с ними тормоза просто недетские.

 

Например:

копирование туда-сюда 2-х метровой справки в *.chm формате приводит к полному ступору на минуту-полторы (на каждый Copy)

Дохнут все процессы, включая те, у которых High-приоритет.

 

Проверка Chm (размер 2 Mb, "внутри" - 6167 файлов):

post-14953-1191834558_thumb.png

 

Почему антивирус его "мусолит" первый раз - понятно. (Хотя эффект от проверки закл-ся в полном "замирании" вполне даже нестарого компьютера (Celeron 3,06/512 Mb) на минуту-полторы). А при обратном копировании?

 

Копирования нескольких дестяков png файлов:

post-14953-1191834758_thumb.png

 

 

Edited by fp_post

Share this post


Link to post

to Natalia Pasynkova:

Natalia, а можно ли узнать подробнее о сборках

• FS 6.0.3.818/FS 6.0.3.690

• WKS 6.0.3.829 (English only) / WKS 6.0.4.901:

 

что в них изменилось?

Share this post


Link to post
to Natalia Pasynkova:

Natalia, а можно ли узнать подробнее о сборках

• FS 6.0.3.818/FS 6.0.3.690

• WKS 6.0.3.829 (English only) / WKS 6.0.4.901:

 

что в них изменилось?

Вот тут я выложила release_notes к сборкам WKS и FS 6.0.3.830.

 

6.0.4.901 - это MP4, который начали делать.

Share this post


Link to post

В отношении корректного удаления Kav было сделано много. И за это - респект!

Из известных мне Av-продуктов процедура удаления Kav оставляет меньше всего "хвостов".

 

Тем не менее, они есть (v6.0.3.830):

 

• файлы %WinDir%\inf\oemN.inf

где N - некоторый порядковый номер.

 

Данные файлы в оригинале представляют собой Inf-ы NDIS-драйвера:

 

c:\WINNT\inf\oemN.inf
; -- klim5.INF --
;
; This file is based on Passthru driver INF file
; klim5 driver INF file - this is the INF for the service (protocol)
; part.
; 
; Copyright (c) 2006 , Kaspersky Lab
;
------------------------------------------------------------------------
c:\WINNT\inf\oemM.inf
; -- klim5.INF --
;
; This file is based on Passthru driver Miniport INF file
; this is the INF for the miniport
; 
; Copyright (c) 2006 , Kaspersky Lab
;
------------------------------------------------------------------------

 

наверное, их тоже, по хорошему, надо подчищать.

Edited by fp_post

Share this post


Link to post
Тем не менее, они есть (v6.0.3.830):

 

Это не под Windows 2000, случаем?

Share this post


Link to post

to LaRubin:

да. именно под Win2k SP4.

есть какие-либо технические сложности с удалением inf-ов именно в данной OC?

 

p.s. а остальные вещи известны и не интересны? ; )

Share this post


Link to post

Воспользовался новой фичей: автоматическая посылка дампов. Очень удобно, но последний раз выгрузка сервисной части у меня происходила на пятерке :(

 

Внесение в доверенную зону из отчетов - тоже супер (давно ждал!), но почему-то была блокирована мирная финансовая программа, которую 6.0.678 не трогала.

 

Вопросик еще: программы для удаленного управления в этой версии еще не работают?

Edited by Peskind

Share this post


Link to post

Еще проблема:

Переустановил в сетке взамен 6.0.678 (силами КИТа) и возникла проблема с настройками анти-спама: в опциях показывается правильный каталог, но почта не фильтруется. Если еще раз задать каталог, все работает (проверено на двух машинах)

Share this post


Link to post

to Natalia Pasynkova:

Natalia , просветите, пожалуйста,

какие исправления/изменения вошли в билд [kav 6.0.3.833 wks_ru], выложенный на [data2...\KAV4WKS]?

Edited by fp_post

Share this post


Link to post

При переходе с 6.0.2.678/690 на v6.0.3.837, если используется install.cfg,

не подцепляются настройки "Анализа Активности" PDM.

Вне зависимости от сохраненных настроек для каждого пункта выставляется "Запросить действие" + часть item-ов анчекнута.

Share this post


Link to post
При переходе с 6.0.2.678/690 на v6.0.3.837, если используется install.cfg,

не подцепляются настройки "Анализа Активности" PDM.

Вне зависимости от сохраненных настроек для каждого пункта выставляется "Запросить действие" + часть item-ов анчекнута.

 

install.cfg создавался на какой сборке?

для установки сборки c использованием install.cfg нужно создавать install.cfg продуктом той же версии что и устанавливаемый.

Share this post


Link to post
install.cfg создавался на какой сборке?

для установки сборки c использованием install.cfg нужно создавать install.cfg продуктом той же версии что и устанавливаемый.

ага. в данном случае install.cfg был создан на 6.0.2.678.

Жаль, что настройки от предыдущего MP не становятся целиком, но это можно понять.

~~~

 

Но настройки от одной 6.0.3.837 не подцепляются в полном объеме и к такой же точно 6.0.3.837.

Т.е. на "автомат" положиться нельзя, приходится подправлять. Что, мягко говоря, грустно.

По впечатлениям на данный момент ситуация на 837-ом билде аналогична описанной в п 5.1) выше.

 

1.) На одной Wks были сделаны такие настройки (указаны только отличия):

 

post-14953-1196359988_thumb.png

 

post-14953-1196359998_thumb.png

 

 

2.) А на следующие станции они подцепились в виде

 

post-14953-1196360095_thumb.png

 

post-14953-1196360117_thumb.png

~~~

Share this post


Link to post
to qtester:

просните, пожалуйста, следующее:

проблема (описание, описание - п 5.1, описание) вопроизводится?

 

Нужны какие-либо дополнительные сведения?

 

Не воспроизводится.

Используете ли AdminKit для управления этими рабочими станциями? Если да, то нет ли активной политики в группе в которую входит эта рабочая станция.

Share this post


Link to post
Не воспроизводится.

Используете ли AdminKit для управления этими рабочими станциями? Если да, то нет ли активной политики в группе в которую входит эта рабочая станция.

Нет, данные рабочие станции не подцеплены к AK (и в ближайшем будущем это не представляется возможным)

Сборки 678/830/837 устанавливались на ~чистую систему Win2k SP4 + офисный софт, в осутствие иных версий Kav.

в доступных мне случаях, на указанных сборках ситуация воспроизводится стабильно.

 

Какая информация с моей стороны могла бы помочь в решении проблемы?

Edited by fp_post

Share this post


Link to post
Нет, данные рабочие станции не подцеплены к AK (и в ближайшем будущем это не представляется возможным)

Сборки 678/830/837 устанавливались на ~чистую систему Win2k SP4 + офисный софт, в осутствие иных версий Kav.

в доступных мне случаях, на указанных сборках ситуация воспроизводится стабильно.

 

Какая информация с моей стороны могла бы помочь в решении проблемы?

 

Воспроизвели, спасибо.

Share this post


Link to post

to qtester:

Спасибо.

Можно надеяться, что этот момент не будет забыт к выходу сл. билда?

 

Share this post


Link to post

Исправлено

 

Вот это

ошибка выгрузки реестра после полной проверки на Win2k

более не воспроизводится на тех же рабочих станциях [Win2k SP4 / Kav v6.0.3.837].

 

Похоже, действительно

Версия 6.0.3.830 MP3 Дата выпуска: 8.10.2007

 

Исправлено:

 

...

7. Ошибка выключения компьютера под управлением Microsoft Windows 2000 после полной проверки.

 

прошу прощения, что не сразу обратил внимание: практически привык : )

Edited by fp_post

Share this post


Link to post

WKS v6.0.3.837:

при использовании [install.cfg] не "подцепляется" пассворд к почтовому аккаунту для отправки отчетов:

post-14953-1201031912_thumb.png

 

и еще один момент:

если в сохраненном [install.cfg] самозащита включена, а в [setup.ini] укзано [selfProtection=no], то, как я понял,

первое "главнее". Как-то не вполне очевидно.

Share this post


Link to post
WKS v6.0.3.837:

при использовании [install.cfg] не "подцепляется" пассворд к почтовому аккаунту для отправки отчетов:

post-14953-1201031912_thumb.png

 

и еще один момент:

если в сохраненном [install.cfg] самозащита включена, а в [setup.ini] укзано [selfProtection=no], то, как я понял,

первое "главнее". Как-то не вполне очевидно.

 

спасибо за коментарий, думаю, техподдержке неплохо бы добавить его в сответствующую статью базы знаний.

 

происходит это вот так:

setup.ini используется в момент запуска процесса инсталляции, в частности выключет самозащиту процесса инсталяции, по умолчанию она включена.

после окончания инсталляции происходит импорт файла настроек, и там самозащита включается.

Импорт производится стандартным механизмом импорта настроек и в нем не учитывается ни какой setup.ini

Share this post


Link to post

to qtester:

спасибо за пояснения.

 

 

1.) одна давно анноящая вещь:

Разная трактовка длинных и коротких (в формате 8.3) путей в настройках исключений и доверенных.

т.о после перехвата драйвером обращения к файлу сравнение его с заданным исключением может не привести к ожидаемым от настроек результатам.

 

Пример:

- вот исключение в виде FullPathName:

post-14953-1201487683_thumb.png

 

- заданное посредством кнопки "обзор":

post-14953-1201487833_thumb.png

 

- вот результат:

post-14953-1201487862_thumb.png

 

 

догадка, что антивирус "ожидает" короткого пути, не всегда приходит мгновенно.

Например, если речь идет об удаленном администрировании через AK.

---------------

 

Вот так - все работает ожидаемым макаром:

post-14953-1201488094_thumb.png

 

post-14953-1201488111_thumb.png

--------------------------------------------------------------------------------------------

 

 

2.) Не вполне ясна логика работы опции "Не проверять открываемые файлы" при помещении в доверенные.

 

Например, для приведенного выше случая:

 

- несмотря на создание "доверенного"

post-14953-1201488586_thumb.png

 

- открываемые данным сервисом логи все равно проверяются:

post-14953-1201488868_thumb.png

 

- хотя читает/пишет файлы именно данный [acs.exe];

post-14953-1201488596_thumb.png

 

Отчего бы так?

--------------------------------------------------------------------------------------------

Edited by fp_post

Share this post


Link to post
1.) одна давно анноящая вещь:

Разная трактовка длинных и коротких (в формате 8.3) путей в настройках исключений и доверенных.

т.о после перехвата драйвером обращения к файлу сравнение его с заданным исключением может не привести к ожидаемым от настроек результатам.

Ого! Я вот не знал... Это реально так?

У меня все пути в доверенных приложениях прописаны длинными путями. Или трактовка различается только в настройках исключений?

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.