вопрос по синтетическому тесту

[ossa]

 

 

Вот

вы начали говорить загадками?

[regist]

@ossa, при чём тут загадки? Ключевое слово вашего поста он выделил жирным.

[ossa]

@regist,

и что? я это отлично вижу. модифицированная dll. а какая ещё должна внедряться в тесте на работоспособность HIPS? 

а, ну да. я же совсем забыл! супердоверенная. так ведь смешней тестировать!

[Umnik]

Да ну блин. CLT ставит ссылку на доверенную библиотеку. Не на модифицированную. Не на самописную. Не на ту, которую с собой таскает. На доверенную.

[ossa]

@Umnik,

зачем??? зачем это нужно, если такой тест будет провален в любом случае??? у вас логика работает вообще???

вам SpyShelter ясно показывает - ввод удалённой dll. причём тут доверенная???

ещё раз, с Хабра объяснение техники внедрения. dll.dll - либа с вредоносным кодом. понимаете? с заведомо вредоносным, неизвестная антивирю!

Изменено 1 ноября, 2018 пользователем ossa

[andrew75]

@ossa, зачем это вопрос к Comodo. Возможно это проще было реализовать. Возможно, и скорее всего, они считают, что это все равно не должно допускаться файерволом.

 

Ответ от тестировщика HIPS: «Причина тут в том, что в тесте используется доверенный драйвер - поэтому мы скипаем детект. Если сбить доверенность - тест будет проходить.»

ЛК считает, что алгоритм замены доверенной библиотеки на доверенную же не может быть реализован вредоносом и следовательно его бессмысленно детектировать.

Вам это написали еще в 13-м сообщении. Но вы до сих пор продолжаете переливать из пустого в порожнее.

 

Что еще вам непонятно?

Изменено 1 ноября, 2018 пользователем andrew75

[ossa]

 

 

Что еще вам непонятно?

это вы Умника спрашиваете что-ли? потому что такого я не говорил)

[andrew75]

@ossa,чего вы не говорили? Вы начали с вопроса почему файервол KIS пропускает этот тест. Вам это обьяснили, причем уже давно.

Ваша последняя цитата, насколько я понимаю, не имеют никакого отношения к реализации этого теста в СLT.

[ossa]

@andrew75,

то что мне объяснили настолько нелепо, что не лезет ни в какие ворота. потому что мне здесь начали рассказывать про ненормальных разработчиков Comodo, которые специально сделали тест, чтобы его не прошёл HIPS антивируса Kaspersky Internet Security. если вам хочется, можете верить в эту несуразицу. я в это поверить, извините, никак не смогу!  

учитывая отсутствие контроля за установкой, загрузкой и запуском драйверов в том же HIPS KIS, я не удивлюсь, если и фича с KnownDlls здесь никогда и не работала.

Изменено 1 ноября, 2018 пользователем ossa

[andrew75]

@ossa, не надо смешивать все в одну кучу. Вам обьяснили, почему KIS не проходит этот тест.

Про мотивы разработчиков Comodo это предположение отдельных людей и никак не связано с исходным вопросом.

 

Но согласитесь, очень странно было бы, если бы HIPS Comodo не проходил их собственный тест. Поэтому разумеется тест писался с учетом возможностей их файервола.

[ossa]

@andrew75,

вы можете понять, что в тесте CLT внедряется либа dll.dll, которая находится в папке с самим экзешником? она неизвестная в KSN. эти объяснения - полная чепуха!

Изменено 1 ноября, 2018 пользователем ossa

[andrew75]

@ossa, я все могу понять ) Но я провел простой тест - удалил эту библиотеку. И выяснил, что она имеет отношение только к этим тестам:
17. Injection: CreateRemoteThread Error
18. Injection: APC dll injection
Поскольку без нее эти тесты выдают ошибку.
А тест 15. Injection: KnownDlls без нее прекрасно проходится.

 

Можете сами проверить.

[kmscom]

у меня возник вопрос по протоколу заседания. Если перекинуть тему в Беседку? она заглохнет? или наличие попкорна будет еще актуально?

[Friend]

@ossa,  давно могли установить 2020 версию и оформить как баг на форуме бета-теста, там бы вам уж разработчики все объясняли. 

@kmscom, не нужно, тема потеряется.

[regist]

 

 

формить как баг на форуме бета-теста,

так нету никакого бага.

 

 

там бы вам уж разработчики все объясняли.

скорее всего просто бы закрыли багу с пометкой "by design". И уж точно не стали бы столько раз повторять и объяснять как здесь.