Перейти к содержанию

вопрос по синтетическому тесту

ossa

Автор ossa
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

Umnik

Umnik

Опубликовано
Опубликовано

Я согласен, что дизайн спорный в теории. С этим я не спорю совсем. И эту мнение я высказывал тестировщику. Но его ответ таков, что такой дизайн устраивает отдел антивирусных исследований. То есть парни, которые знают обо всех малварях мира, говорят, что такой дизайн вполне приемлем в данном конкретном случае.

  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

Топ авторов темы

Популярные посты

Umnik
Umnik

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.» Как это понимать? Дело в том,

Umnik
Umnik

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты

Umnik
Umnik

Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip       Так ты же даже не проверил её     Кто тебе сказал? То, что контекстное

Изображения в теме

ossa

ossa

Опубликовано
  • Автор
Опубликовано

при этом надо отметить, что и в далёком 2009 году эта фича в KIS не работала

 

 

post-50757-0-57117000-1540627259_thumb.png

post-50757-0-18542400-1540627274_thumb.png

post-50757-0-42865900-1540627282_thumb.png

Friend

Friend

Опубликовано
Опубликовано (изменено)

@ossa, любой компонент антивируса в идеале настраивается человеком  вручную, с 2009 года HIPS у продуктов не сильно изменился.

Изменено пользователем Friend
ossa

ossa

Опубликовано
  • Автор
Опубликовано (изменено)

@Friend,

 объясняю простые истины  :)  при запуске неизвестного приложения (то есть которое неизвестно в KSN и на которое нет детекта), оно автоматически попадает в группу "Слабые ограничения". в этой группе по умолчанию данное действие вообще блокируется. это кстати единственная блокировка в правах этой группы. так что реакция HIPS должна быть в обязательном порядке (имеется ввиду поведенческий блокиратор PDM)

post-50757-0-84937000-1540635224_thumb.png

post-50757-0-74888900-1540635238_thumb.png

post-50757-0-02086200-1540635249_thumb.png

Изменено пользователем ossa
ossa

ossa

Опубликовано
  • Автор
Опубликовано

@Friend,

спасибо за совет, в будущем обязательно проверю. а пока у меня большое желание пользоваться именно финальной стабильной версией KIS 

Umnik

Umnik

Опубликовано
Опубликовано

С чего это должно меняться в 2020? Такое поведение сделано осмысленно.

  • Согласен 2
andrew75

andrew75

Опубликовано
Опубликовано

@Friend, возможно вы не полностью читали тему.

ТС на двух форумах пытались обьяснить, что именно такая логика работы продукта заложена разработчиками.

Плохо это или хорошо это уже другой вопрос.

ossa

ossa

Опубликовано
  • Автор
Опубликовано

@andrew75,

причём тут логика работы? KIS в интерактиве не контролирует доступ к защищённым COM-интерфейсам. а без этого не защитить секцию \KnownDlls от модификации. вот и вся логика.

Umnik

Umnik

Опубликовано
Опубликовано

Я, видимо, заикаюсь, раз не понятно, что я говорю. Если замена происходит на библитеку, которой мы доверяем, то никаких действий не применяется к тому, кто делает замену. Если замена происходит на библиотеку, которой доверния нет, будут сработаны правила из таблицы.

Говорил же, батник напишите или хелловорд, который бы сам делал замену на вашу собственную либу — правила должны сработать.

ossa

ossa

Опубликовано
  • Автор
Опубликовано (изменено)

@Umnik,

я видимо вообще говорю по китайски, потому что начинаю уже повторять одно и то же

 

post-50757-0-51523800-1540820618_thumb.png

Изменено пользователем ossa

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...