Перейти к содержанию

Рекомендуемые сообщения

  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

Опубликовано

@ossa, при чём тут загадки? Ключевое слово вашего поста он выделил жирным.

Опубликовано

@regist,

и что? я это отлично вижу. модифицированная dll. а какая ещё должна внедряться в тесте на работоспособность HIPS? 

а, ну да. я же совсем забыл! супердоверенная. так ведь смешней тестировать! :facepalm:

Опубликовано

Да ну блин. CLT ставит ссылку на доверенную библиотеку. Не на модифицированную. Не на самописную. Не на ту, которую с собой таскает. На доверенную.

Опубликовано (изменено)

@Umnik,

зачем??? зачем это нужно, если такой тест будет провален в любом случае??? у вас логика работает вообще???

вам SpyShelter ясно показывает - ввод удалённой dll. причём тут доверенная???

ещё раз, с Хабра объяснение техники внедрения. dll.dll - либа с вредоносным кодом. понимаете? с заведомо вредоносным, неизвестная антивирю!

post-50757-0-69372600-1541076070_thumb.png

Изменено пользователем ossa
Опубликовано (изменено)

@ossa, зачем это вопрос к Comodo. Возможно это проще было реализовать. Возможно, и скорее всего, они считают, что это все равно не должно допускаться файерволом.

 

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.»

ЛК считает, что алгоритм замены доверенной библиотеки на доверенную же не может быть реализован вредоносом и следовательно его бессмысленно детектировать.

Вам это написали еще в 13-м сообщении. Но вы до сих пор продолжаете переливать из пустого в порожнее.

 

Что еще вам непонятно?

Изменено пользователем andrew75
Опубликовано

 

 


Что еще вам непонятно?

это вы Умника спрашиваете что-ли? потому что такого я не говорил)

Опубликовано

@ossa,чего вы не говорили? Вы начали с вопроса почему файервол KIS пропускает этот тест. Вам это обьяснили, причем уже давно.

Ваша последняя цитата, насколько я понимаю, не имеют никакого отношения к реализации этого теста в СLT.

Опубликовано (изменено)

@andrew75,

то что мне объяснили настолько нелепо, что не лезет ни в какие ворота. потому что мне здесь начали рассказывать про ненормальных разработчиков Comodo, которые специально сделали тест, чтобы его не прошёл HIPS антивируса Kaspersky Internet Security. если вам хочется, можете верить в эту несуразицу. я в это поверить, извините, никак не смогу!  

учитывая отсутствие контроля за установкой, загрузкой и запуском драйверов в том же HIPS KIS, я не удивлюсь, если и фича с KnownDlls здесь никогда и не работала.

Изменено пользователем ossa
Опубликовано

@ossa, не надо смешивать все в одну кучу. Вам обьяснили, почему KIS не проходит этот тест.

Про мотивы разработчиков Comodo это предположение отдельных людей и никак не связано с исходным вопросом.

 

Но согласитесь, очень странно было бы, если бы HIPS Comodo не проходил их собственный тест. Поэтому разумеется тест писался с учетом возможностей их файервола.

Опубликовано (изменено)

@andrew75,

вы можете понять, что в тесте CLT внедряется либа dll.dll, которая находится в папке с самим экзешником? она неизвестная в KSN. эти объяснения - полная чепуха!

post-50757-0-56416400-1541079171_thumb.png

Изменено пользователем ossa
Опубликовано

@ossa, я все могу понять ) Но я провел простой тест - удалил эту библиотеку. И выяснил, что она имеет отношение только к этим тестам:
17. Injection: CreateRemoteThread Error
18. Injection: APC dll injection
Поскольку без нее эти тесты выдают ошибку.
А тест 15. Injection: KnownDlls без нее прекрасно проходится.

 

Можете сами проверить.

Опубликовано

у меня возник вопрос по протоколу заседания. Если перекинуть тему в Беседку? она заглохнет? или наличие попкорна будет еще актуально?

Опубликовано

 

 


формить как баг на форуме бета-теста,
так нету никакого бага.

 

 


там бы вам уж разработчики все объясняли.
скорее всего просто бы закрыли багу с пометкой "by design". И уж точно не стали бы столько раз повторять и объяснять как здесь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

×
×
  • Создать...