ossa 12 Опубликовано 30 ноября, 2018 Автор Share Опубликовано 30 ноября, 2018 ossa, а что непонятного. clt пытается создать файл beep.sys. KIS не дает ему этого сделать. Да, это не блокировка запуска неизвестного драйвера. Это блокировка создания неизвестного драйвера. Только вы не понимаете, что это реагирование на более раннем этапе? это вы не понимаете, что создание файла и запуск драйвера - это совершенно разные вещи!!! одно контролируется на вкладке "Файлы и системный реестр", второе - на вкладке "Права". я вообще поражён, если честно, вашими знаниями по устройству продукта. К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит. конечно, он совершенно прав. эта опция должна работать только для 32-х битных систем Windows. именно там функция KnownDlls работает так, как задумано. это относится и к моей системе Цитата Ссылка на сообщение Поделиться на другие сайты
andrew75 1 406 Опубликовано 30 ноября, 2018 Share Опубликовано 30 ноября, 2018 создание файла и запуск драйвера - это совершенно разные вещи а кто пытается с этим спорить?Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует. Не дает KIS создать этот драйвер, это же на вашем скриншоте видно. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 30 ноября, 2018 Автор Share Опубликовано 30 ноября, 2018 (изменено) а кто пытается с этим спорить? Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует. Не дает KIS создать этот драйвер, это же на вашем скриншоте видно. я разрешаю это действие - создание файла beep.sys. после чего вылетает алерт на попытку запуска службы beep. вот и думайте, что это за чепуха? вместо запуска драйвера, HIPS KIS считает, что запускается служба! Изменено 30 ноября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
andrew75 1 406 Опубликовано 30 ноября, 2018 Share Опубликовано 30 ноября, 2018 У меня KIS ведет себя иначе. При запуске теста DriverSupersede последовательно выдаются алерты на: - создание beep.sys_old - изменение beep.sys_old - создание beep.sys - удаление beep.sys_old Если все их последовательно разрешать, то CLT рапортует о прохождении теста. Реально при этом происходит следующее: - создается beep.sys_old - beep.sys копируется в beep_sys.old - файлы не изменяются - beep.sys_old не удаляется То есть, насколько я понимаю, на 3-м и 4-м этапе CLT пытается создать свой файл beep.sys, запустить его, потом восстановить исходный. Но KIS не дает ему это сделать. Что CLT справедливо считает прохождением теста. Замечу, что я предварительно изменил один байт в clt.exe, чтобы не дать ему попасть в доверенные. В результате он благополучно попадает в слабые ограничения. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 30 ноября, 2018 Автор Share Опубликовано 30 ноября, 2018 У меня KIS ведет себя иначе. значит у вас неправильно работает HIPS. вот все алерты по порядку на тест подмены драйвера и его изменения. везде кликаю "Разрешить" кстати, тест на подмену всё равно проходится. видимо запустить новый драйвер всё же CLT не удаётся Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 10 сентября, 2019 Автор Share Опубликовано 10 сентября, 2019 К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит. всё верно. дело в том, что для 32-разрядных динамических библиотек запись реестра KnownDlls влияет конкретно только на поиск неявно загруженных Dll-библиотек, то есть как раз таких, ссылки на которые возможно свободно подменить, что как раз не поддерживается в 64-битных системах. Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи. поменять хэш advapi32.dll не представляется возможным. HEX-редактор пишет - "невозможно открыть файл для записи". эта либа открыта в системных процессах, что здесь непонятного? я как-то пробовал её грохнуть с помощью IObit Unlocker. получилось, не спорю. только сразу я увидел синьку и система ушла на перезагрузку. ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS. то же самое, читайте ответ выше Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.