Перейти к содержанию

вопрос по синтетическому тесту


Рекомендуемые сообщения

 

 


ossa, а что непонятного. clt пытается создать файл beep.sys. KIS не дает ему этого сделать. Да, это не блокировка запуска неизвестного драйвера. Это блокировка создания неизвестного драйвера.   Только вы не понимаете, что это реагирование на более раннем этапе?

это вы не понимаете, что создание файла и запуск драйвера - это совершенно разные вещи!!! одно контролируется на вкладке "Файлы и системный реестр", второе - на вкладке "Права". я вообще поражён, если честно, вашими знаниями по устройству продукта.


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.

 

конечно, он совершенно прав. эта опция должна работать только для 32-х битных систем Windows. именно там функция KnownDlls работает так, как задумано. это относится и к моей системе

post-50757-0-66356500-1543594083_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 155
  • Created
  • Последний ответ

Top Posters In This Topic

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

Top Posters In This Topic

Popular Posts

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.» Как это понимать? Дело в том,

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты

Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip       Так ты же даже не проверил её     Кто тебе сказал? То, что контекстное

Posted Images

 

 


создание файла и запуск драйвера - это совершенно разные вещи
а кто пытается с этим спорить?

Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует. 

Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

Ссылка на сообщение
Поделиться на другие сайты

а кто пытается с этим спорить? Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует.  Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

 

я разрешаю это действие - создание файла beep.sys. после чего вылетает алерт на попытку запуска службы beep. вот и думайте, что это за чепуха? вместо запуска драйвера, HIPS KIS считает, что запускается служба!

post-50757-0-58670500-1543596559_thumb.png

post-50757-0-79369900-1543596572_thumb.png

Изменено пользователем ossa
Ссылка на сообщение
Поделиться на другие сайты

У меня KIS ведет себя иначе.

 

При запуске теста DriverSupersede последовательно выдаются алерты на:

- создание beep.sys_old 

- изменение beep.sys_old

- создание beep.sys

- удаление beep.sys_old

Если все их последовательно разрешать, то CLT рапортует о прохождении теста.

Реально при этом происходит следующее:

- создается beep.sys_old

- beep.sys копируется в beep_sys.old

- файлы не изменяются

- beep.sys_old не удаляется

 

То есть, насколько я понимаю, на 3-м и 4-м этапе CLT пытается создать свой файл beep.sys, запустить его, потом восстановить исходный. Но KIS не дает ему это сделать. Что CLT справедливо считает прохождением теста. 

 

Замечу, что я предварительно изменил один байт в clt.exe, чтобы не дать ему попасть в доверенные. В результате он благополучно попадает в слабые ограничения.

Ссылка на сообщение
Поделиться на другие сайты

У меня KIS ведет себя иначе.

 

значит у вас неправильно работает HIPS. вот все алерты по порядку на тест подмены драйвера и его изменения. везде кликаю "Разрешить"

кстати, тест на подмену всё равно проходится. видимо запустить новый драйвер всё же CLT не удаётся

post-50757-0-96591900-1543602189_thumb.png

post-50757-0-98980900-1543602203_thumb.png

post-50757-0-58997300-1543602216_thumb.png

post-50757-0-36731500-1543602230_thumb.png

post-50757-0-60806500-1543602242_thumb.png

post-50757-0-94339400-1543602254_thumb.png

post-50757-0-38080800-1543602265_thumb.png

post-50757-0-03050900-1543602275_thumb.png

post-50757-0-85970800-1543602290_thumb.png

post-50757-0-42337700-1543602305_thumb.png

post-50757-0-75339400-1543602315_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
  • 9 months later...

 

 


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.
 

всё верно. дело в том, что для 32-разрядных динамических библиотек запись реестра KnownDlls влияет конкретно только на поиск неявно загруженных Dll-библиотек, то есть как раз таких, ссылки на которые возможно свободно подменить, что как раз не поддерживается в 64-битных системах.


 

 


Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи.

поменять хэш advapi32.dll не представляется возможным. HEX-редактор пишет - "невозможно открыть файл для записи". эта либа открыта в системных процессах, что здесь непонятного? я как-то пробовал её грохнуть с помощью IObit Unlocker. получилось, не спорю. только сразу я увидел синьку и система ушла на перезагрузку.


 

 


ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS.

то же самое, читайте ответ выше

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...