Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

 

 


ossa, а что непонятного. clt пытается создать файл beep.sys. KIS не дает ему этого сделать. Да, это не блокировка запуска неизвестного драйвера. Это блокировка создания неизвестного драйвера.   Только вы не понимаете, что это реагирование на более раннем этапе?

это вы не понимаете, что создание файла и запуск драйвера - это совершенно разные вещи!!! одно контролируется на вкладке "Файлы и системный реестр", второе - на вкладке "Права". я вообще поражён, если честно, вашими знаниями по устройству продукта.


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.

 

конечно, он совершенно прав. эта опция должна работать только для 32-х битных систем Windows. именно там функция KnownDlls работает так, как задумано. это относится и к моей системе

post-50757-0-66356500-1543594083_thumb.png

  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

Опубликовано

 

 


создание файла и запуск драйвера - это совершенно разные вещи
а кто пытается с этим спорить?

Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует. 

Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

Опубликовано (изменено)

а кто пытается с этим спорить? Я до вас другое пытаюсь донести - нельзя контролировать запуск драйвера, которого не существует.  Не дает KIS создать этот драйвер, это же на вашем скриншоте видно.

 

я разрешаю это действие - создание файла beep.sys. после чего вылетает алерт на попытку запуска службы beep. вот и думайте, что это за чепуха? вместо запуска драйвера, HIPS KIS считает, что запускается служба!

post-50757-0-58670500-1543596559_thumb.png

post-50757-0-79369900-1543596572_thumb.png

Изменено пользователем ossa
Опубликовано

У меня KIS ведет себя иначе.

 

При запуске теста DriverSupersede последовательно выдаются алерты на:

- создание beep.sys_old 

- изменение beep.sys_old

- создание beep.sys

- удаление beep.sys_old

Если все их последовательно разрешать, то CLT рапортует о прохождении теста.

Реально при этом происходит следующее:

- создается beep.sys_old

- beep.sys копируется в beep_sys.old

- файлы не изменяются

- beep.sys_old не удаляется

 

То есть, насколько я понимаю, на 3-м и 4-м этапе CLT пытается создать свой файл beep.sys, запустить его, потом восстановить исходный. Но KIS не дает ему это сделать. Что CLT справедливо считает прохождением теста. 

 

Замечу, что я предварительно изменил один байт в clt.exe, чтобы не дать ему попасть в доверенные. В результате он благополучно попадает в слабые ограничения.

Опубликовано

У меня KIS ведет себя иначе.

 

значит у вас неправильно работает HIPS. вот все алерты по порядку на тест подмены драйвера и его изменения. везде кликаю "Разрешить"

кстати, тест на подмену всё равно проходится. видимо запустить новый драйвер всё же CLT не удаётся

post-50757-0-96591900-1543602189_thumb.png

post-50757-0-98980900-1543602203_thumb.png

post-50757-0-58997300-1543602216_thumb.png

post-50757-0-36731500-1543602230_thumb.png

post-50757-0-60806500-1543602242_thumb.png

post-50757-0-94339400-1543602254_thumb.png

post-50757-0-38080800-1543602265_thumb.png

post-50757-0-03050900-1543602275_thumb.png

post-50757-0-85970800-1543602290_thumb.png

post-50757-0-42337700-1543602305_thumb.png

post-50757-0-75339400-1543602315_thumb.png

  • 9 месяцев спустя...
Опубликовано

 

 


К слову. Пообщался на днях с архитектором продукта и узнал такую интересную вещь. CLT в принципе технически не способен что-то сделать в KnownDlls на 7x64 и более новых ОС. То есть любые реакции на запись в эту ветку реестра от любых продуктов на Win7 x64 и Win8+ — это бесполезные срабатывания на то, чего на самом деле не происходит.
 

всё верно. дело в том, что для 32-разрядных динамических библиотек запись реестра KnownDlls влияет конкретно только на поиск неявно загруженных Dll-библиотек, то есть как раз таких, ссылки на которые возможно свободно подменить, что как раз не поддерживается в 64-битных системах.


 

 


Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи.

поменять хэш advapi32.dll не представляется возможным. HEX-редактор пишет - "невозможно открыть файл для записи". эта либа открыта в системных процессах, что здесь непонятного? я как-то пробовал её грохнуть с помощью IObit Unlocker. получилось, не спорю. только сразу я увидел синьку и система ушла на перезагрузку.


 

 


ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS.

то же самое, читайте ответ выше

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • wumbo12
      Автор wumbo12
      Тестирование Kaspersky Standard (19.09.2024):
      Это последняя версия Касперского Standard.
      Протестировано на 500 образцах вредоносного ПО из разных источников:
      Образцы не старше 30 и не новее 10 дней.
      Все образцы имеют не менее 15 обнаружений на VirusTotal по состоянию на 18 сентября 2024 г.
      Все примеры представлены в формате .exe, предназначенном для работы в 64-разрядной и 11-разрядной версиях Windows.
      Все настройки установлены по умолчанию, имитируя установку по принципу «установил и забыл».
      Статистика обнаружения:
      Обнаружение файлов при статическом сканировании: 360/500 (коэффициент обнаружения 72,0%)
      Обнаружено выполненных файлов: 438/500 (коэффициент обнаружения 87,6%)
      Сканеры второго мнения после очистки временных файлов:
      Sophos/HitmanPro — 17 обнаружений + 20 PUA
      Emsisoft — 13 обнаружений
      Norton PE — 35 обнаружений
      Полная проверка Касперского — 0 обнаружений после заражения
       
      Видео отчет :
       
      https://dosya.co/kux5af99wt76/Kaspersky_Test_Final_9-19-2024.mp4.html
       
    • dexter
      Автор dexter
      Доброго времени суток уважаемые волшебники и кудесники ЛК , ответственные за дизайн и интерфейс продуктовой линейки .
       
      При каждом обновлении происходит сверка файлов программы на предмет цифровой подписи и (или ) хеш-кода (поправьте если не так выразился). Это ясно. Но это касается непосредственно файлов программы.
       
      Вот после принятия  некоторого количества кофейку, назрел такой вопрос : а если изменять кое-какие файлы (кроме тех которые обще признаны к редактированию) , отвечающие за кое-какую информацию по расположению кое-каких элементов интерфейса при использовании альтернативной темы оформления - будут или не будут при очередном обновлении проверяться на предмет цифровой подписи и (или ) хеш-кода (или что-то там около этого) ?
       
       
    • Vseslavs
      Автор Vseslavs
      Здравствуйте!
      Я даже как-то пользовался платной версией. Сейчас тоже вновь готов заплатить, но 1 проблема. Время выходит, а ребёнок продолжает все равно играть. Интернет у него есть и игры запускаются. Хотя в разрешённых при блокированном телефоне у него только ватсап календарь, звонки по телефону. Почему, когда время выходит телефон, не блокируется, он все равно продолжает играть? Спасибо
    • igrok52
      Автор igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • AnnaB
      Автор AnnaB
      Здравствуйте!
      Извините, возник вопрос. Ситуация такая. Мама решила посмотреть фильм Оппенгеймер, нашла его на Ютубе, фильм оказался не полным (да там и не Оппенгеймер оказался вовсе), чтоб посмотреть полный фильм надо было перейти по ссылке в комментарии, которая редиректнула на ещё один сай.
      Для просмотра там требовалась регистрация, которая просто перенаправила на главную страницу Google, не фейковую, судя по всему, потому что там не требовалась входить в аккаунт, там было уже войдено.
      Всё происходило с телефона.
      Вопрос. В чём подвох и можно ли как-то просто переходя по таким ссылкам позволить украсть какие-то данные?
      Спасибо!

×
×
  • Создать...