3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
19

3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
Мой телефон 89039861223

Интересно теперь выслушать, мнения специалистов...

Добрый день, Николай.

3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)

Продемонстрируйте, пожалуйста, не прибегая к фразе "а фиг знает как".



5 Закрытие процесса методом/функцией CloseHande

Пришлите мне в личку пример такого кода.



7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)

А должен? Эти вирусы действительно могут быть запущены из "ПО secdir(Secure Folder)"?



10 Не проверяет процессы с отрицательным

С отрицательным "чем"? В чем заключается "проверка" процесса в Вашем эксперименте?



11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"

Что значит "неконтроллируется"? Напишите список действий, которые необходимо совершить, чтобы воспроизвести Ваш опыт.



12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)

А должен? Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?



13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)

Что означают эти цифры? Откуда Вы их взяли?



15 Убивание процесса утилитой gmer

Вы уже разобрались, как работает утилита gmer?



17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)

А должна контролироваться?



18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)

А должна контролироваться?


Мой телефон 89039861223
Kaspersky Lab Ltd,
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Phone: +7(495)797-8700
http://www.kaspersky.com (http://www.kaspersky.com/)

P.S. Где остальные цифры приведенного Вами перечня?


Добавлено через 3 часа 48 минут


Интересно теперь выслушать, мнения специалистов...
Я списался с NikolayFirsov в привате. В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: http://www.wasm.ru/article.php?article=apihook_3

В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: http://www.wasm.ru/article.php?article=apihook_3
То есть с 7.0.1.321 это никак не связано?

То есть с 7.0.1.321 это никак не связано?

Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) :) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.

Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) :) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.

Не все мультики связаны с wasm.ru.
Вот! я про нулевое кольцо в основном, т.к нулевое кольцо--- это полный доступ к системе, к примеру есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует.

часть модулей в доверенную зону--ты про hook.dll? так этот хук от программы camstudio, с помощью неё я записываю мультики.Если не веришь могу переделать мультик и увидешь что за hook.dll
А я знаю что под 7.0.1.321 неработает (т.е не контроллирует)

Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п

Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?параноики вас не поймут :)

Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п
Из нулевого кольца можно сделать вообще всё.


есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует
1. Это до тех пор, пока вирусописатели не обращают внимание на это программку :wink_3:
2. Так вот чье окно всплывало на мультике поверх КИСа :smile: Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.

параноики вас не поймут :)

Я сам делал троян, 2 файла 2 1 файл
хошь тебе на мыло пришлю?
В этом файле 2 файла в виде ресурса
Когда его запускаешь, ресурсы извлекаются в виде файла r_server.exe и admdll.dll в %systemroot%\system32

Добавлено через 2 минуты


Из нулевого кольца можно сделать вообще всё.


1. Это до тех пор, пока вирусописатели не обращают внимание на это программку :wink_3:
2. Так вот чье окно всплывало на мультике поверх КИСа :smile: Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.

Так надо заранее делать, нужно обогнать вирусописателей
Скажите Адресс электронной почту разработчика(программиста) который пишет модуль "Проактная защита" или который создаёт файл klif.sys
Он мультики мои поймёт

Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.

Писал DVI
"Из нулевого кольца можно сделать вообще всё"

Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д

И ещё старт драйвера klif.sys позже чем драйвер safemon.sys (Это означает что можно создать вирус и он будет загружаться быстрее и блокировать антивирусный драйвер)
так как у klif.sys стоит start=1 (system) а у safemon.sys стоит start=0 (boot)
Если это непонятно то можно прочитать в книге Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows... 4-е изд. 2005г. 992 стр. ISBN.djv или в хэлпе команде sc create там про параметр старт
Разработчики Касперского знает программу System Safety Monitor? Она по проактивке мощнее и лучше

Добавлено через 1 минуту


Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.

Это куда дай ссылку обращусь, я просто тут навичок, вот нашёл только человека DVi и больше никог онезнаю
подскажи пожалуйста

Это здесь http://www.kaspersky.ru/support

Это здесь http://www.kaspersky.ru/support


там нужно как то зарегистрироваться. Как получить код активации
https://activation.kaspersky.com/
Я ввожу любой пишет неверно
а какой писать тогда?

Писал DVI
"Из нулевого кольца можно сделать вообще всё"
Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д
Ага, и весить как полвинды при этом... И тормозить так же.

Ага, и весить как полвинды при этом... И тормозить так же.

Вот System Safety Monitor что она весит как пол винды?, она мега 5 6 весит, и не тормазит а очень быстро грузиться и реагирует
Качните её протестируйте много нового узнаете

Как получить код активации на
https://activation.kaspersky.com/ ?
подскажите

Укажите "Проблема с ключом", тогда он не потребуется. Дальше расскажите о своих намерениях, мол не пользуюсь вашим антивирусом, в результате таких-то тестов нашел такие-то уязвимости.

Сорри, но эта тема напоминает "звонок хакера в ЛК". Ходила такая mp3-шка.

System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.

System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.

Это не возможно. Для домохозяек нужно чтоб антивирус все на автомате делал... то есть без алертов. Но проактивная зашита как рас и рассчитана на действия от пользователя. В итоге получаем, что если пользователь разбирается то и получает более качественную защиту, а если нет то стандартную "на автомате". Для домохозяйки сейчас и так "Базовая защита" введена, в ней проактивная защита на половину отключена.

Ага, и весить как полвинды при этом... И тормозить так же.на то он и каспер :biggrinsanta:

на то он и каспер :biggrinsanta:


Да я вам говорю тормозить он не будет, программа system safety monitor всё это выполняет и мало в памяти вешает, и не тормазит, также и каспер

Про файловый антивирус
1) В Norton Internet Security 2007 есть технология BloodHound в модуле файлового антивируса, а в KIS 7.0.1.321 нету технологии.
И скажите пожалуйста что за технология BloodHound?


23 Не сканирует файлы файловой системы NTFS, т.е. $MFT и т.д их штук 6-15 непомню. (Т.е можно скрыть свои троянские файлы этим методом)
Приложение 12 к 23 Зайди на диск С: и попробуй создай файл $MFT, если у тебя на диске c: NTFS, то врятли создашь... (т.е это означает существует файл $MFT, и он каким то образом скрытый, как скрыть свои файлы, этим методом и как получить доступ к этим файлам?)
Важно!! это означает даже если мы будем загружать Операционную систему с компак диска и потом будем сканить жёсткие диски то всё равно мы не обнаружим трояны, которые скрываются этим методом

Про файловый антивирус
1) В Norton Internet Security 2007 есть технология BloodHound в модуле файлового антивируса, а в KIS 7.0.1.321 нету технологии.
И скажите пожалуйста что за технология BloodHound?

Ответ простой, bloodhound = эвристика

MFT это всего-лишь таблица размещения файлов, это не файл =)

на то он и каспер :biggrinsanta:
Спасибо на добром слове :mad:

23 Не сканирует файлы файловой системы NTFS
жесть :megalol:

ТС прикалывается?

Есть метод сокрытия гораздо круче: записывать тело вируса в свободное место на диске – ни одна собака не засечёт. Работает на всех файловых системах.

откуда знаешь? что за метод можно поподробней?
а запускаться он будет из биоса?

maXmo
ТС видимо имел ввиду потоки НТФС, просто выражается он в странной манере )))

в свободное место непохек, вдруг дефраг будет или еще какая файловая активность и все потрется, если конечно как бэды те кластеры не пометить

пс
а вообще на харде есть еще куча места куда инфу можно записать )

;177619']ТС видимо имел ввиду потоки НТФСмфт ни с чем не спутать.


;177619']в свободное место непохекзато скрытие – практически абсолютное, а от затирания страхует дублирование, можно – многократное.

Ну и что, такие файлы запустить невозможно как я понимаю, тогда толк ?

Прекращайте, а? Тема еще не в "Юморе", а я уже смеяться устал.

Тема еще не в "Юморе"

Это поправимо. :)

Ну и что, такие файлы запустить невозможно как я понимаю, тогда толк ?такие файлы запускаются легко.

такие файлы запускаются легко.
Какие файлы? "Свободное место на диске" - это ни разу не файл.

сегодня пришла домохозяйка, просила обновление баз Касперского скинуть, спрашиваем Вам на 5 версию или 7, ответ: на 5, я седьмого удалила, очень он глючный, постоянно что то спрашивает))).

сегодня пришла домохозяйка, просила обновление баз Касперского скинуть, спрашиваем Вам на 5 версию или 7, ответ: на 5, я седьмого удалила, очень он глючный, постоянно что то спрашивает))).
Это очень правильно - написать в форум технически безграмотную анонимку, не имеющую никакого отношения к теме обсуждения. Обновления к антивирусу раздаются на соответствующие серверах обновления, и антивирус их скачивает автоматически - домохозяйке вообще не надо ни к кому ходить за "обновлениями" - ведь она уже умудрилась самостоятельно установить, попробовать, удалить, и снова поставить другой продукт.
Маркетологам ESET'а пламенный привет!

Это очень правильно - написать в форум технически безграмотную анонимку, не имеющую никакого отношения к теме обсуждения. Обновления к антивирусу раздаются на соответствующие серверах обновления, и антивирус их скачивает автоматически - домохозяйке вообще не надо ни к кому ходить за "обновлениями" - ведь она уже умудрилась самостоятельно установить, попробовать, удалить, и снова поставить другой продукт.
Маркетологам ESET'а пламенный привет!
Уважаемый DVI, анонимка конечно, но c ESET перебор, что то у Вас в каждом они мерещатся. На счёт безграмотной - ну посудите сами, есть ключ лицензионный на 7 и не совсем лицензионный на 5. Базы можно обновлять на 7 только на одном компе (иначе чёрный список), на других приходится извращаться, про 5 версию она просто не подумала что можно обновлять из инета, обновляет так же с извращениями.
Слова её пересказаны мной слово в слово, я с ней не согласен, ведь всё же по-русски написано, читать уже разучились наверное или просто мозги напрягать не хотят.

сегодня пришла домохозяйка, просила обновление баз Касперского скинуть, спрашиваем Вам на 5 версию или 7, ответ: на 5, я седьмого удалила, очень он глючный, постоянно что то спрашивает))).

Мне нравятсся такие домохозяйки.. " у меня компьютер ошибку выдает" -"какую"-"не знаю, я все стерла нафик.. что мне делать?"
касперский у нее спрашивает что-то.. гы.. ну и скажите ему что-нибудь.

Сколько берете за консультации и обновления, уважаемый Друг форума, если не секрет? Неужели меньше 81 рубля 67 копеек в месяц?
Официальный работоспособный ключ на KAV7, не задающий лишних вопросов, не имеющий проблем с черным списком и самостоятельно обновляющийся с официальных серверов обновления стоил бы ей именно эту сумму. Подробности здесь: http://www.kaspersky.ru/store

Передавайте привет своей домохозяйке :D

Добавлено через 1 минуту


Мне нравятсся такие домохозяйки.. " у меня компьютер ошибку выдает" -"какую"-"не знаю, я все стерла нафик.. что мне делать?"
касперский у нее спрашивает что-то.. гы.. ну и скажите ему что-нибудь.
Я тоже обожаю таких виртуальных домохозяек.

Какие файлы? "Свободное место на диске" - это ни разу не файл.но запустить можно :D


Неужели меньше 81 рубля 67 копеек в месяц?ну дак то вы поди за каждый месяц берёте. А тут получаешь обновления сразу на год вперёд и ни жу-жу.

но запустить можно :D
А для этого нужен файл. ;)

так в итоге про баги я прав оказался в кис 454 больше половины закрыли баги .... делайте итоги я спец тестер

Добавлено через 4 минуты

нифига просмотров 2500, рекорд?

Да, вы очень круты, потому тему и передвинули в раздел "Юмор" ...

только почему в юмор что тут смешного? если я прав был.. или так специально делают люди типа фигня это всё а на самой деле баги та записали и дыры залотили..

Николай, самое главное чтоб как Вы верно заметили залатывали ;) А остальное уже мелочи :)