regist Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 @ossa, при чём тут загадки? Ключевое слово вашего поста он выделил жирным.
ossa Опубликовано 1 ноября, 2018 Автор Опубликовано 1 ноября, 2018 @regist, и что? я это отлично вижу. модифицированная dll. а какая ещё должна внедряться в тесте на работоспособность HIPS? а, ну да. я же совсем забыл! супердоверенная. так ведь смешней тестировать!
Umnik Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 Да ну блин. CLT ставит ссылку на доверенную библиотеку. Не на модифицированную. Не на самописную. Не на ту, которую с собой таскает. На доверенную.
ossa Опубликовано 1 ноября, 2018 Автор Опубликовано 1 ноября, 2018 (изменено) @Umnik, зачем??? зачем это нужно, если такой тест будет провален в любом случае??? у вас логика работает вообще??? вам SpyShelter ясно показывает - ввод удалённой dll. причём тут доверенная??? ещё раз, с Хабра объяснение техники внедрения. dll.dll - либа с вредоносным кодом. понимаете? с заведомо вредоносным, неизвестная антивирю! Изменено 1 ноября, 2018 пользователем ossa
andrew75 Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 (изменено) @ossa, зачем это вопрос к Comodo. Возможно это проще было реализовать. Возможно, и скорее всего, они считают, что это все равно не должно допускаться файерволом. Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.»ЛК считает, что алгоритм замены доверенной библиотеки на доверенную же не может быть реализован вредоносом и следовательно его бессмысленно детектировать. Вам это написали еще в 13-м сообщении. Но вы до сих пор продолжаете переливать из пустого в порожнее. Что еще вам непонятно? Изменено 1 ноября, 2018 пользователем andrew75
ossa Опубликовано 1 ноября, 2018 Автор Опубликовано 1 ноября, 2018 Что еще вам непонятно? это вы Умника спрашиваете что-ли? потому что такого я не говорил)
andrew75 Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 @ossa,чего вы не говорили? Вы начали с вопроса почему файервол KIS пропускает этот тест. Вам это обьяснили, причем уже давно. Ваша последняя цитата, насколько я понимаю, не имеют никакого отношения к реализации этого теста в СLT.
ossa Опубликовано 1 ноября, 2018 Автор Опубликовано 1 ноября, 2018 (изменено) @andrew75, то что мне объяснили настолько нелепо, что не лезет ни в какие ворота. потому что мне здесь начали рассказывать про ненормальных разработчиков Comodo, которые специально сделали тест, чтобы его не прошёл HIPS антивируса Kaspersky Internet Security. если вам хочется, можете верить в эту несуразицу. я в это поверить, извините, никак не смогу! учитывая отсутствие контроля за установкой, загрузкой и запуском драйверов в том же HIPS KIS, я не удивлюсь, если и фича с KnownDlls здесь никогда и не работала. Изменено 1 ноября, 2018 пользователем ossa
andrew75 Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 @ossa, не надо смешивать все в одну кучу. Вам обьяснили, почему KIS не проходит этот тест. Про мотивы разработчиков Comodo это предположение отдельных людей и никак не связано с исходным вопросом. Но согласитесь, очень странно было бы, если бы HIPS Comodo не проходил их собственный тест. Поэтому разумеется тест писался с учетом возможностей их файервола.
ossa Опубликовано 1 ноября, 2018 Автор Опубликовано 1 ноября, 2018 (изменено) @andrew75, вы можете понять, что в тесте CLT внедряется либа dll.dll, которая находится в папке с самим экзешником? она неизвестная в KSN. эти объяснения - полная чепуха! Изменено 1 ноября, 2018 пользователем ossa
andrew75 Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 @ossa, я все могу понять ) Но я провел простой тест - удалил эту библиотеку. И выяснил, что она имеет отношение только к этим тестам:17. Injection: CreateRemoteThread Error18. Injection: APC dll injectionПоскольку без нее эти тесты выдают ошибку.А тест 15. Injection: KnownDlls без нее прекрасно проходится. Можете сами проверить.
kmscom Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 у меня возник вопрос по протоколу заседания. Если перекинуть тему в Беседку? она заглохнет? или наличие попкорна будет еще актуально?
Friend Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 @ossa, давно могли установить 2020 версию и оформить как баг на форуме бета-теста, там бы вам уж разработчики все объясняли. @kmscom, не нужно, тема потеряется.
regist Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 формить как баг на форуме бета-теста, так нету никакого бага. там бы вам уж разработчики все объясняли. скорее всего просто бы закрыли багу с пометкой "by design". И уж точно не стали бы столько раз повторять и объяснять как здесь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти