ossa 12 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 здравствуйте, форумчане! у меня такой вопрос. почему Kaspersky Internet Security не может пройти один из пунктов теста Comodo Leak Test, а именно атаку на изменение системных модулей KnownDlls. этот пункт в "Контроле программ" на запросе, но алерт о попытке вторжения не появляется. аналогичная ситуация, если просто запретить изменения. как вообще можно проверить, функционирует эта функция в HIPS KIS или нет? использую KIS 18.0.0.405(j), ОС Windows 7 32б Цитата Ссылка на сообщение Поделиться на другие сайты
gecsagen 279 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Comodo Leak Test На сколько я знаю, тест уже давно устарел. использую KIS 18.0.0.405 Не пользуюсь антивирусом КИС, поэтому не знаю последняя это версия или нет, если нет то лучше свежую ставить. ОС Windows 7 32б Если так сильно зацикливаться на безопасности, что аж переживать за системных модулей KnownDlls (хотя 99% людей не думают об этом). То нужно ставить windows 10 со всеми последними обновлениями и 32 бит, у нее ниже защита. Мой антивирус четко понимает ,что я запускаю надежную программу для теста антивируса он ее просто игнорит, т.к по облаку он видит, что программу использует огромное количество людей, не вижу смысла в таких исследованиях, технологии дальше шагнули. Из моего опыта: самая последняя windows 10 (64 бит) сижу с обычной учетки без прав администратора, установлен надежный (по проф.тестам не зависимых компаний) антивирус. Итог: почти ни одной программы я тупо не смог даже запустить т.к либо антивирус блочет (после скачивания он автоматически эмулирует программу и замечает вредоносное поведение). Либо от самой windows пишет не достаточно прав. При таком раскладе я уверен, системе ни чего не грозит, и эти тесты даже не нужны. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Эта утилита точно работает? Она же у тебя даже ОС не смогла определить. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 8 октября, 2018 Автор Share Опубликовано 8 октября, 2018 Эта утилита точно работает? Она же у тебя даже ОС не смогла определить. работает вроде бы. прохождение всех остальных пунктов вызывает алерты HIPS. кликаешь в каждом "Запретить" и тест проходится нормально. единственная загвоздка в этом пункте на скриншоте @gecsagen, спасибо за отзыв. жаль только, что он никак не помогает решить проблему Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Предлагаю забить на инструмент, который не в состоянии узнать версию ОС. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 8 октября, 2018 Автор Share Опубликовано 8 октября, 2018 Предлагаю забить на инструмент, который не в состоянии узнать версию ОС. допустим, но сомнение то всё равно закралось! Цитата Ссылка на сообщение Поделиться на другие сайты
gecsagen 279 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 спасибо за отзыв. жаль только, что он никак не помогает решить проблему Да, но я рассказал почему это не проблема и ее не стоит решать. Есть публичные тесты авторитетных и не зависимых компаний. То что делают сами пользователи, это все на уровне дилетанта. Какая-то не рабочая программа из нулевых годов. Сейчас уровень защиты самой ОС решает большинство проблем с безопасностью, а антивирус прекрасно дополняет. Продукция ЛК это лучший бренд, все тесты это подтверждают, миллионы пользователей это подтверждают. Нет ни каких оснований не доверять антивирусу KIS. Если Вы сомневаетесь, возможно стоит обратиться в ЛК, однако есть сомнения, что там, что-то прояснят. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 Разберёмся, что не так. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 246 Опубликовано 8 октября, 2018 Share Опубликовано 8 октября, 2018 @ossa, @gecsagen, последняя версия сейчас -- 2019: https://support.kaspersky.ru/kis19 Запрет будет в настройках HIPS выглядеть иначе, на скриншоте стоит запрос действий. Прохождения данного теста зависит от настроек антивируса, по умолчанию он его не пройдет, как заметил @gecsagen, он в облаке (KSN) в доверенных. Согласен с @Umnik, что не стоит обращать на результаты данной утилиты.Есть еще такой старый тест 2ip Firewall Tester Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 8 октября, 2018 Автор Share Опубликовано 8 октября, 2018 (изменено) @Friend, да это понятно, что доверенный. в том то и дело, что у меня "Контроль программ" специально настроенный на контроль опасного поведения даже для группы "Доверенные"( см. скриншоты) . при запуске с рабочего стола HIPS реагирует даже на доверенные приложения @Friend, сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот) Есть еще такой старый тест 2ip Firewall Tester ну этот тест у меня должен сначала HIPS обойти, а потом уже добраться до файрволла (последний скриншот) Изменено 8 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
gecsagen 279 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 @ossa, Думаю стоит подождать, что скажет @Umnik, он сказал, разберется. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 @gecsagen, конечно, подождём, всё таки важная опция в "Контроле программ", хотелось бы прояснить ситуацию Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.» Как это понимать? Дело в том, что система контроля видит, что обращение происходит из глубин ОС (там, где живут драйверы, они живут глубже самих программ) и проверяет, можно ли доверять этому обращению. Для этого система проверяет драйвер, через который выполняются действия. И видит, что этот драйвер доверенный — мы знаем его в KSN, он имеет подпись доверенного издателя. Продукт принимает решение, что это безопасная операция и прекращает контроль. Если бы продукт проигнорировал доверие драйверу, вся ОС перестала бы работать, т.к. продукт начал бы блокировать всё вокруг. В общем, это правильное поведение. Если бы это был не известный нам драйвер, операция была бы заблокирована ещё до этапа попытки — на этапе обращения к драйверу. Я пробежался по внутреннему багтрекеру и нашёл ситуации, что тестовые версии KIS, в которых не было доверий, просто убивали процесс утилиты, не давая ей подцепиться к своим же компонентам и утилита просто падала, не ожидая этого. Такое же поведение ждёт любые вредоносные приложения — ведь KSN их никогда не пометит доверенными. В общем, красный результат здесь потому что эта утилита слишком безопасна сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот) Дело не в утилите, дело в драйвере, который она таскает. 1 1 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 246 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 @Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях Мне больше нравятся обзоры COMSS, там более реальные сценарии. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 @Friend, должно быть наследование. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.