Jump to content

Recommended Posts

Posted

Жаль нет общего форума, история про все без исключения продукты и персональные, и корпоративные

Пытаюсь добавить в исключение программу по маске объекта. Я, конечно, не пользуюсь, но для примера возьмем HackTool.Win32.KMSAuto

  • Прописывать исключения для пути к файлу не вариант. Программа создаёт другие файлы по временным путям, которые могут определяться как зловредные.
  • Добавлять программу в доверенные не хочется. Программа может потянуть за собой функционал из другой категории, например, adware, а этого не хочется пропустить
  • Прописать жесткие названия объекта тоже не вариант, возьмешь другую версию, и нужно всё заново.
  • В общем, видится, что самый лучший вариант - прописать маску имени объекта по классификации вирусной энциклопедии. При чем как можно точнее, но без версии

И тут начинаются сложности. Документация тут https://support.kaspersky.com/KSCloud/Win4.3/ru-RU/201385.htm говорит, что * заменяет любые несколько символов

  • Антивирус срабатывает на HackTool.Win32.KMSAuto.ayn. Прописываю HackTool.Win32.KMSAuto.*
  • Теперь срабатывает на HEUR:HackTool.Win32.KMSAuto.gen. Прописываю вместо предыдущего *HackTool.Win32.KMSAuto.*
  • Снова срабатывает первый шаблон. Прописываю оба правила.
  • Теперь срабатывает на UDS:HackTool.Win32.KMSAuto. Прописываю HackTool.Win32.KMSAuto*. Всё-равно срабатывает.

В общем, очень неочевидно работает * в маске объекта, срабатывает на  и более символов, но на 0 символов не срабатывает. У файлов и папок совсем иначе. Но вроде как именно так в документации и написано, не придерешься.

И тут получается нужно любое исключение прописывать 4 раза: *шаблон*, шаблон*, *шаблон, шаблон.

Но есть лайфхак. Откидывать ещё по одному символу с каждой стороны. Тогда для HackTool.Win32.KMSAuto, HackTool.Win32.HackKMS, RiskTool.Win32.HackKMS достаточно всего 2 правила *ackTool.Win32.KMSAut* и *kTool.Win32.HackKM*

Posted

срабатывают разные компоненты, у которых объект тоже разный

из примера объектов

1 час назад, Vadimon сказал:

HackTool.Win32.KMSAuto, HackTool.Win32.HackKMS, RiskTool.Win32.HackKMS

если уж говорить про маски, то нужно на написать *.Win32.* потому как это общая часть.
но лучше с точки зрения безопасности и практичнее, на каждый объект прописывать свое правило, не создавая масок.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...