-
Сообщение от
p2u
Про обход самозащиты - это не баг в КИСе или КАВе, а баг в системе пользовательских разрешений Windows. Пользователь под админ всемогущий. Ничего не поделаешь.
Паул, root в *nix тоже всемогущ и даже поболее чем в Windows. И это никто не отрицает. В данном случае я веду речь об отсутствии контроля за сверхкритическими областями для защитной программы - родная папка и ветвь реестра этой программы.
PS: Остался открытым вопрос о отслеживании политик ограниченного использования программ
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
ALEX(XX)
Паул, root в *nix тоже всемогущ и даже поболее чем в Windows. И это никто не отрицает. В данном случае я веду речь об отсутствии контроля за сверхкритическими областями для защитной программы - родная папка и ветвь реестра этой программы.
PS: Остался открытым вопрос о отслеживании политик ограниченного использования программ
Я не имел в виду лично ваш пример, а миф про самозащиту вообще - это просто невоможно. Не трудно придумать способов 10 с ходу, и никакой из этих приложений 'защиты' стоять не будет.
Paul
-
Сообщение от
p2u
Про обход самозащиты - это не баг в КИСе или КАВе, а баг в системе пользовательских разрешений Windows. Пользователь под админ всемогущий. Ничего не поделаешь.
Так уж и ничего? Неужели из-под админа можно убить папку каспера? Или переименовать? Или снести какой-то файл? Или убить процесс? А ведь не дает самозащита даже самому - страшно сказать! - всемогущему админу это сделать. Юзермодно, разумеется. Или как?
Сообщение от
p2u
P.S.2: Утешение - большинство зловредов, которые такие вещи умеет Касперский уже давно знает, и вовремя остановит если МЫ правильно читаем алерты. Все за работу!
Не о том разговор. Давным-давно известен баг с батником, несколько _версий_. И никто, насколько мне известно, им не пользовался. Но дырка, признанная разработчиком, была. И что интересно, каспер выигрывал во всех тестах самозащиты, потому что этим батником не пользовались. Не факт, что будут пользоваться возможностью отбирания прав - возможно, найдут что-то другое...
-
Сообщение от
borka
Так уж и ничего?
Неужели из-под админа можно убить папку каспера? Или переименовать? Или снести какой-то файл? Или убить процесс?
А ведь не дает самозащита даже самому - страшно сказать! - всемогущему админу это сделать. Юзермодно, разумеется. Или как?
Не тот форум здесь, чтобы это открыто обсудить. Не обязательно атаковать напрямую для того, чтобы обезвредить файл.
Paul
-
Сообщение от
p2u
Не обязательно атаковать напрямую для того, чтобы обезвредить файл.
Не очень понял...
-
Сообщение от
borka
Не очень понял...
Paul
-
Поясните или прекратим прения?
-
Сообщение от
borka
Так уж и ничего?
Неужели из-под админа можно убить папку каспера? Или переименовать? Или снести какой-то файл? Или убить процесс?
А ведь не дает самозащита даже самому - страшно сказать! - всемогущему админу это сделать. Юзермодно, разумеется. Или как?
убивать АВ имхо палево, лучше обмануть его, чтобы юзер видел что АВ работает, иконка в трее горит, но при этом на самом деле ничего не проверяется. все довольны, и вирусописатели и юзеры А про кернел мод.., там и так все ясно если туда попал вирус, то исход известен в большинстве случаев.
-
-
Сообщение от
devon
убивать АВ имхо палево, лучше обмануть его, чтобы юзер видел что АВ работает, иконка в трее горит, но при этом на самом деле ничего не проверяется. все довольны, и вирусописатели и юзеры
А! То-то я смотрю - совсем нет тем, в которых обсуждается, как вирь выносит АВ как класс.
-
Сообщение от
borka
Поясните или прекратим прения?
В личке.
Paul
-
Сообщение от
p2u
В личке.
Как скажете. Жду.
-
Наваял я тута реализацию мной сказанного, тупой батник в несколько строк. Реализация корявая, но действительная. КИС выдал всего лишь один алерт, что мой батник допущен в low stricted или что-то в этом духе.
Left home for a few days and look what happens...
-
-
ALEX(XX), вышлите мне этот батник в личку
-
-
Сообщение от
DVi
ALEX(XX), вышлите мне этот батник в личку
ЛовИте
Left home for a few days and look what happens...
-
-
Сообщение от
DVi
ALEX(XX), вышлите мне этот батник в личку
Воспроизвелось?
-
-
-
А чего там интересного? алерты на то,что программа X пытается удалить файл входящий в группу "Защищенные системные файлы" там есть
-
-
Цитирую ...А теперь самое интересное. Zero Day снабжен безопасной оболочкой инсталлятором, на основе self-extract RAR. На неё КИС не ругнулся. Но после перезагрузки началось удаление винды... b_lol1.gif ....
-
-
Сообщение от
SDA
Цитирую ...А теперь самое интересное. Zero Day снабжен безопасной оболочкой инсталлятором, на основе self-extract RAR. На неё КИС не ругнулся. Но после перезагрузки началось удаление винды... b_lol1.gif ....
Существование юзеров, которые не только запустят неподписанный инсталлятор, скачанный из файлопомойки, но и при необходимости выключат антивирус (если поставить очень хочется), никто не отменял.
-
-
У меня с включенным КИС не закачиваются большие файлы на rapidshare.com Индикатор прогресса не двигается и через какое-то время получаю тайм-аут.
Дополнительная проблема - если начать закачку с включенным КИС и закрыть окно браузера, то она продолжается до отключения КИС. Кто-нибудь может подтвердить?
-