Перейти к содержанию

вопрос по синтетическому тесту

ossa

Автор ossa
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

ossa

ossa

Опубликовано
  • Автор
Опубликовано

 

 


ossa, а что непонятного. clt пытается создать файл beep.sys. KIS не дает ему этого сделать. Да, это не блокировка запуска неизвестного драйвера. Это блокировка создания неизвестного драйвера.   Только вы не понимаете, что это реагирование на более раннем этапе?

это вы не понимаете, что создание файла и запуск драйвера - это совершенно разные вещи!!! одно контролируется на вкладке "Файлы и системный реестр", второе - на вкладке "Права". я вообще поражён, если честно, вашими знаниями по устройству продукта.


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.

 

конечно, он совершенно прав. эта опция должна работать только для 32-х битных систем Windows. именно там функция KnownDlls работает так, как задумано. это относится и к моей системе

post-50757-0-66356500-1543594083_thumb.png

  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Umnik
Umnik

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.» Как это понимать? Дело в том,

Umnik
Umnik

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты

Umnik
Umnik

Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip       Так ты же даже не проверил её     Кто тебе сказал? То, что контекстное

Изображения в теме

andrew75

andrew75

Опубликовано
Опубликовано

 

 


создание файла и запуск драйвера - это совершенно разные вещи
а кто пытается с этим спорить?

Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует. 

Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

ossa

ossa

Опубликовано
  • Автор
Опубликовано (изменено)

а кто пытается с этим спорить? Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует.  Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

 

я разрешаю это действие - создание файла beep.sys. после чего вылетает алерт на попытку запуска службы beep. вот и думайте, что это за чепуха? вместо запуска драйвера, HIPS KIS считает, что запускается служба!

post-50757-0-58670500-1543596559_thumb.png

post-50757-0-79369900-1543596572_thumb.png

Изменено пользователем ossa
andrew75

andrew75

Опубликовано
Опубликовано

У меня KIS ведет себя иначе.

 

При запуске теста DriverSupersede последовательно выдаются алерты на:

- создание beep.sys_old 

- изменение beep.sys_old

- создание beep.sys

- удаление beep.sys_old

Если все их последовательно разрешать, то CLT рапортует о прохождении теста.

Реально при этом происходит следующее:

- создается beep.sys_old

- beep.sys копируется в beep_sys.old

- файлы не изменяются

- beep.sys_old не удаляется

 

То есть, насколько я понимаю, на 3-м и 4-м этапе CLT пытается создать свой файл beep.sys, запустить его, потом восстановить исходный. Но KIS не дает ему это сделать. Что CLT справедливо считает прохождением теста. 

 

Замечу, что я предварительно изменил один байт в clt.exe, чтобы не дать ему попасть в доверенные. В результате он благополучно попадает в слабые ограничения.

ossa

ossa

Опубликовано
  • Автор
Опубликовано

У меня KIS ведет себя иначе.

 

значит у вас неправильно работает HIPS. вот все алерты по порядку на тест подмены драйвера и его изменения. везде кликаю "Разрешить"

кстати, тест на подмену всё равно проходится. видимо запустить новый драйвер всё же CLT не удаётся

post-50757-0-96591900-1543602189_thumb.png

post-50757-0-98980900-1543602203_thumb.png

post-50757-0-58997300-1543602216_thumb.png

post-50757-0-36731500-1543602230_thumb.png

post-50757-0-60806500-1543602242_thumb.png

post-50757-0-94339400-1543602254_thumb.png

post-50757-0-38080800-1543602265_thumb.png

post-50757-0-03050900-1543602275_thumb.png

post-50757-0-85970800-1543602290_thumb.png

post-50757-0-42337700-1543602305_thumb.png

post-50757-0-75339400-1543602315_thumb.png

  • 9 месяцев спустя...
ossa

ossa

Опубликовано
  • Автор
Опубликовано

 

 


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.
 

всё верно. дело в том, что для 32-разрядных динамических библиотек запись реестра KnownDlls влияет конкретно только на поиск неявно загруженных Dll-библиотек, то есть как раз таких, ссылки на которые возможно свободно подменить, что как раз не поддерживается в 64-битных системах.


 

 


Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи.

поменять хэш advapi32.dll не представляется возможным. HEX-редактор пишет - "невозможно открыть файл для записи". эта либа открыта в системных процессах, что здесь непонятного? я как-то пробовал её грохнуть с помощью IObit Unlocker. получилось, не спорю. только сразу я увидел синьку и система ушла на перезагрузку.


 

 


ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS.

то же самое, читайте ответ выше

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...