вопрос по синтетическому тесту

[ossa]

здравствуйте, форумчане! у меня такой вопрос. почему Kaspersky Internet Security не может пройти один из пунктов теста Comodo Leak Test, а именно атаку на изменение системных модулей KnownDlls. этот пункт в "Контроле программ" на запросе, но алерт о попытке вторжения не появляется. аналогичная ситуация, если просто запретить изменения. как вообще можно проверить, функционирует эта функция в HIPS KIS или нет?

использую KIS 18.0.0.405(j), ОС Windows 7 32б

[gecsagen]

 

 

Comodo Leak Test

На сколько я знаю, тест уже давно устарел.

 

 

использую KIS 18.0.0.405

Не пользуюсь антивирусом КИС, поэтому не знаю последняя это версия или нет, если нет то лучше свежую ставить.

 

 

ОС Windows 7 32б

Если так сильно зацикливаться на безопасности, что аж переживать за

 

 

системных модулей KnownDlls

(хотя 99% людей не думают об этом). То нужно ставить windows 10 со всеми последними обновлениями и 32 бит, у нее ниже защита.

Мой антивирус четко понимает ,что я запускаю надежную программу для теста антивируса он ее просто игнорит, т.к по облаку он видит, что программу использует огромное количество людей, не вижу смысла в таких исследованиях, технологии дальше шагнули.

Из моего опыта: самая последняя windows 10 (64 бит) сижу с обычной учетки без прав администратора, установлен надежный (по проф.тестам не зависимых компаний) антивирус. Итог: почти ни одной программы я тупо не смог даже запустить т.к либо антивирус блочет (после скачивания он автоматически эмулирует программу и замечает вредоносное поведение). Либо от самой windows пишет не достаточно прав. При таком раскладе я уверен, системе ни чего не грозит, и эти тесты даже не нужны.

[Umnik]

Эта утилита точно работает? Она же у тебя даже ОС не смогла определить.

[ossa]

Эта утилита точно работает? Она же у тебя даже ОС не смогла определить.

 

 работает вроде бы. прохождение всех остальных пунктов вызывает алерты HIPS. кликаешь в каждом "Запретить" и тест проходится нормально. единственная загвоздка в этом пункте на скриншоте 

@gecsagen, 

спасибо за отзыв. жаль только, что он никак не помогает решить проблему

[Umnik]

Предлагаю забить на инструмент, который не в состоянии узнать версию ОС.

[ossa]

Предлагаю забить на инструмент, который не в состоянии узнать версию ОС.

допустим, но сомнение то всё равно закралось!

[gecsagen]

 

 

спасибо за отзыв. жаль только, что он никак не помогает решить проблему

Да, но я рассказал почему это не проблема и ее не стоит решать. Есть публичные тесты авторитетных и не зависимых компаний. То что делают сами пользователи, это все на уровне дилетанта. Какая-то не рабочая программа из нулевых годов. Сейчас уровень защиты самой ОС решает большинство проблем с безопасностью, а антивирус прекрасно дополняет. Продукция ЛК это лучший бренд, все тесты это подтверждают, миллионы пользователей это подтверждают. Нет ни каких оснований не доверять антивирусу KIS. Если Вы сомневаетесь, возможно стоит обратиться в ЛК, однако есть сомнения, что там, что-то прояснят.

[Umnik]

Разберёмся, что не так.

[Friend]

@ossa, @gecsagen,  последняя версия сейчас -- 2019:  https://support.kaspersky.ru/kis19

Запрет будет в настройках HIPS выглядеть иначе, на скриншоте стоит запрос действий. Прохождения данного теста зависит от настроек антивируса, по умолчанию он его не пройдет, как заметил @gecsagen, он в облаке (KSN) в доверенных. Согласен с @Umnik, что не стоит обращать на результаты данной утилиты.
Есть еще такой старый тест 2ip Firewall Tester

[ossa]

@Friend,

да это понятно, что доверенный. в том то и дело, что у меня "Контроль программ" специально настроенный на контроль опасного поведения даже для группы "Доверенные"( см. скриншоты) . 

при запуске с рабочего стола HIPS реагирует даже на доверенные приложения

@Friend,

сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот)

Есть еще такой старый тест 2ip Firewall Tester 

ну этот тест у меня должен сначала HIPS обойти, а потом уже добраться до файрволла

(последний скриншот)

Изменено 8 октября, 2018 пользователем ossa

[gecsagen]

@ossa, Думаю стоит подождать, что скажет @Umnik, он сказал, разберется.

[ossa]

@gecsagen,

конечно, подождём, всё таки важная опция в "Контроле программ", хотелось бы прояснить ситуацию

[Umnik]

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.»

Как это понимать? Дело в том, что система контроля видит, что обращение происходит из глубин ОС (там, где живут драйверы, они живут глубже самих программ) и проверяет, можно ли доверять этому обращению. Для этого система проверяет драйвер, через который выполняются действия. И видит, что этот драйвер доверенный — мы знаем его в KSN, он имеет подпись доверенного издателя. Продукт принимает решение, что это безопасная операция и прекращает контроль.

Если бы продукт проигнорировал доверие драйверу, вся ОС перестала бы работать, т.к. продукт начал бы блокировать всё вокруг.

 

В общем, это правильное поведение. Если бы это был не известный нам драйвер, операция была бы заблокирована ещё до этапа попытки — на этапе обращения к драйверу. Я пробежался по внутреннему багтрекеру и нашёл ситуации, что тестовые версии KIS, в которых не было доверий, просто убивали процесс утилиты, не давая ей подцепиться к своим же компонентам и утилита просто падала, не ожидая этого. Такое же поведение ждёт любые вредоносные приложения — ведь KSN их никогда не пометит доверенными.

 

В общем, красный результат здесь потому что эта утилита слишком безопасна

 

 

сейчас перенёс clt.exe в "Сильные ограничения" принудительно, всё равно та же самая картина(предпоследний скриншот)

Дело не в утилите, дело в драйвере, который она таскает.

[Friend]

@Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях

Мне больше нравятся обзоры COMSS, там более реальные сценарии.

[Mark D. Pearlstone]

@Friend, должно быть наследование.