Перейти к содержанию

вопрос по синтетическому тесту


Рекомендуемые сообщения

здравствуйте, форумчане! у меня такой вопрос. почему Kaspersky Internet Security не может пройти один из пунктов теста Comodo Leak Test, а именно атаку на изменение системных модулей KnownDlls. этот пункт в "Контроле программ" на запросе, но алерт о попытке вторжения не появляется. аналогичная ситуация, если просто запретить изменения. как вообще можно проверить, функционирует эта функция в HIPS KIS или нет?

использую KIS 18.0.0.405(j), ОС Windows 7 32б

post-50757-0-15041900-1538982940_thumb.png

post-50757-0-58749500-1538982947_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

 

 


Comodo Leak Test

На сколько я знаю, тест уже давно устарел.

 

 


использую KIS 18.0.0.405

Не пользуюсь антивирусом КИС, поэтому не знаю последняя это версия или нет, если нет то лучше свежую ставить.

 

 


ОС Windows 7 32б

Если так сильно зацикливаться на безопасности, что аж переживать за

 

 


системных модулей KnownDlls

(хотя 99% людей не думают об этом). То нужно ставить windows 10 со всеми последними обновлениями и 32 бит, у нее ниже защита.

Мой антивирус четко понимает ,что я запускаю надежную программу для теста антивируса он ее просто игнорит, т.к по облаку он видит, что программу использует огромное количество людей, не вижу смысла в таких исследованиях, технологии дальше шагнули.

Из моего опыта: самая последняя windows 10 (64 бит) сижу с обычной учетки без прав администратора, установлен надежный (по проф.тестам не зависимых компаний) антивирус. Итог: почти ни одной программы я тупо не смог даже запустить т.к либо антивирус блочет (после скачивания он автоматически эмулирует программу и замечает вредоносное поведение). Либо от самой windows пишет не достаточно прав. При таком раскладе я уверен, системе ни чего не грозит, и эти тесты даже не нужны.

Ссылка на комментарий
Поделиться на другие сайты

Эта утилита точно работает? Она же у тебя даже ОС не смогла определить.

 

 работает вроде бы. прохождение всех остальных пунктов вызывает алерты HIPS. кликаешь в каждом "Запретить" и тест проходится нормально. единственная загвоздка в этом пункте на скриншоте 

@gecsagen

спасибо за отзыв. жаль только, что он никак не помогает решить проблему

Ссылка на комментарий
Поделиться на другие сайты

 

 


спасибо за отзыв. жаль только, что он никак не помогает решить проблему

Да, но я рассказал почему это не проблема и ее не стоит решать. Есть публичные тесты авторитетных и не зависимых компаний. То что делают сами пользователи, это все на уровне дилетанта. Какая-то не рабочая программа из нулевых годов. Сейчас уровень защиты самой ОС решает большинство проблем с безопасностью, а антивирус прекрасно дополняет. Продукция ЛК это лучший бренд, все тесты это подтверждают, миллионы пользователей это подтверждают. Нет ни каких оснований не доверять антивирусу KIS. Если Вы сомневаетесь, возможно стоит обратиться в ЛК, однако есть сомнения, что там, что-то прояснят.

Ссылка на комментарий
Поделиться на другие сайты

@ossa, @gecsagen,  последняя версия сейчас -- 2019:  https://support.kaspersky.ru/kis19

Запрет будет в настройках HIPS выглядеть иначе, на скриншоте стоит запрос действий. Прохождения данного теста зависит от настроек антивируса, по умолчанию он его не пройдет, как заметил @gecsagen, он в облаке (KSN) в доверенных. Согласен с @Umnik, что не стоит обращать на результаты данной утилиты.
Есть еще такой старый тест 2ip Firewall Tester :coffee:

Ссылка на комментарий
Поделиться на другие сайты

@Friend,

да это понятно, что доверенный. в том то и дело, что у меня "Контроль программ" специально настроенный на контроль опасного поведения даже для группы "Доверенные"( см. скриншоты) . 

при запуске с рабочего стола HIPS реагирует даже на доверенные приложения


@Friend,

сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот)


Есть еще такой старый тест 2ip Firewall Tester  :coffee:

ну этот тест у меня должен сначала HIPS обойти, а потом уже добраться до файрволла

(последний скриншот)

post-50757-0-16203200-1539029650_thumb.png

post-50757-0-05984800-1539029663_thumb.png

post-50757-0-59735800-1539029674_thumb.png

post-50757-0-35234400-1539029684_thumb.png

post-50757-0-48855800-1539030531_thumb.png

post-50757-0-99649600-1539031164_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.»

Как это понимать? Дело в том, что система контроля видит, что обращение происходит из глубин ОС (там, где живут драйверы, они живут глубже самих программ) и проверяет, можно ли доверять этому обращению. Для этого система проверяет драйвер, через который выполняются действия. И видит, что этот драйвер доверенный — мы знаем его в KSN, он имеет подпись доверенного издателя. Продукт принимает решение, что это безопасная операция и прекращает контроль.

Если бы продукт проигнорировал доверие драйверу, вся ОС перестала бы работать, т.к. продукт начал бы блокировать всё вокруг.

 

В общем, это правильное поведение. Если бы это был не известный нам драйвер, операция была бы заблокирована ещё до этапа попытки — на этапе обращения к драйверу. Я пробежался по внутреннему багтрекеру и нашёл ситуации, что тестовые версии KIS, в которых не было доверий, просто убивали процесс утилиты, не давая ей подцепиться к своим же компонентам и утилита просто падала, не ожидая этого. Такое же поведение ждёт любые вредоносные приложения — ведь KSN их никогда не пометит доверенными.

 

В общем, красный результат здесь потому что эта утилита слишком безопасна :)


 

 


сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот)

Дело не в утилите, дело в драйвере, который она таскает.

  • Спасибо (+1) 1
  • Улыбнуло 1
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

@Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях ;)

Мне больше нравятся обзоры COMSS, там более реальные сценарии. :coffee:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года подходит к концу. В завершении года мы позвали на интервью эксперта по тому продукту, которым пользуются многие участники клуба – Kaspersky Password Manager.
       
      Какие новые функции в менеджере паролей появились в последнее время? Сколько аккаунтов хранит в Kaspersky Password Manager среднестатистический пользователь? Без какого функционала, предложенного в ходе форумного бета-тестирования, сегодня невозможно представить менеджер паролей?
       
      Ответы на эти и многие другие вопросы знает Алексей Тодираш, менеджер продукта Kaspersky Password Manager.
       
      @Алексей Тодираш готов отвечать на вопросы участников клуба по 20 декабря 2024 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • wumbo12
      От wumbo12
      Тестирование Kaspersky Standard (19.09.2024):
      Это последняя версия Касперского Standard.
      Протестировано на 500 образцах вредоносного ПО из разных источников:
      Образцы не старше 30 и не новее 10 дней.
      Все образцы имеют не менее 15 обнаружений на VirusTotal по состоянию на 18 сентября 2024 г.
      Все примеры представлены в формате .exe, предназначенном для работы в 64-разрядной и 11-разрядной версиях Windows.
      Все настройки установлены по умолчанию, имитируя установку по принципу «установил и забыл».
      Статистика обнаружения:
      Обнаружение файлов при статическом сканировании: 360/500 (коэффициент обнаружения 72,0%)
      Обнаружено выполненных файлов: 438/500 (коэффициент обнаружения 87,6%)
      Сканеры второго мнения после очистки временных файлов:
      Sophos/HitmanPro — 17 обнаружений + 20 PUA
      Emsisoft — 13 обнаружений
      Norton PE — 35 обнаружений
      Полная проверка Касперского — 0 обнаружений после заражения
       
      Видео отчет :
       
      https://dosya.co/kux5af99wt76/Kaspersky_Test_Final_9-19-2024.mp4.html
       
    • igrok52
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года возобновляется
       
      На прошедшей в стенах "Лаборатории Касперского"  встрече , приуроченной к 18-летию Kaspersky Club, участники клуба пообщались с Еленой Лесных, старшим продуктовым маркетологом в подразделении мобильных продуктов в продуктовом маркетинге B2C. Елена рассказала о том, как была усилена защита от киберугроз и мошенников в последних обновлениях мобильной версии Kaspersky и Kaspersky Who Calls.
       
      Выступление Елены и её коллеги Никиты вызвало большой интерес у участников клуба. Не все присутствующие на встрече смогли задать свои вопросы, не говоря уже про тех, кто не смог посетить офис "Лаборатории Касперского". Именно поэтому мы пригласили Елену ещё раз пообщаться с участниками клуба, на этот раз в формате онлайн
       
      @Lena_Lesnykh готова отвечать на вопросы участников клуба по 18 октября 2024 года включительно. Традиционно интервьюируемой будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
×
×
  • Создать...