Во-первых, это не мой тест, а общепринятый.Сообщение от Гриша
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не хотите не верьте,KIS заносит в группу "Доверенные" не по названию файла а по наличию копирайта или известного хеша.
А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вы хотите сказать, что преименовывая тестовую программу в IE Вы делаете её md5 идентичной настоящему IE?подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат
При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?
Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил.
Во-вторых, какое это вообще имеет отношение к работе фаервола, если пользователем создано запрещающее правило на выход этого приложения в интернет?
Добавлено через 1 минуту
Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.
Последний раз редактировалось aleksdem; 21.05.2008 в 18:47. Причина: Добавлено
@
drongo
Прикол тут в том что,запускаем этот файл,делаем для него запрещающее правило,как показано у меня на скриншотах,затем переименовываем его,во что-нибудь что имеет доступ в интернет и фаер KIS 2009 его пропускает
Добавлено через 1 минуту
Я ни кого не считаю дилентантами,мы с вами пытаемся разобраться с этим тестом и всеКод:Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.
Последний раз редактировалось Гриша; 21.05.2008 в 18:49. Причина: Добавлено
Теперь ясно
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи/ копирайту и имени . И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.Код:Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?
Спасибо. А я думал опять будет Грише "спасибо" и KIS-а хороший..Теперь ясно
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи и имени. И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.
Добавлено через 3 минуты
Повторюсь, если даже это так, то причем тут работа фаервола после моего запрещающего правила на выход в интернет этого "доверенного приложения"?
Последний раз редактировалось aleksdem; 21.05.2008 в 19:07. Причина: Добавлено
Ладно закроем наш спорпосле того как мы сделали этот файл недоверенным и запретили ему выход в инет,переименовывать его можно во что угодно хеш при этом не меняется и он снова попадает в "Доверенные" с разрешением сетевой активности,и в правилах фильтрации он стоит дважды только с разными именами,одному запрещено со старым именем выход в интернет,а с новым именем разрешен.
Последний раз редактировалось Гриша; 21.05.2008 в 19:15.
Это Ваше личное мнение. Мое диаметрально противоположное: KIS2009 (техрелиз) - плохой. Одна из немаловажных причин такого вывода - непрохождение элементарных тестов его фаерволом.Ладно закроем наш спор
Всем удачи.
Если под "общепринятым" тестом имеется в виду
http://2ip.ru/files/FireWallTest.exe
то я не очень понимаю, почему я прохожу этот тест вполне успешно при ВЫГРУЖЕННОМ КИС8...
Думаю как будет минутка - проверю этот тест при ДЕИНСТАЛЛИРОВАНОМ КИСе
**************
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
http://2ip.ru/files/FireWallTest.exe (под которым через 15 минут может находиться все что угодно.
В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.
В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск
кис хороший- установки по умолчанию оставляют желать лучшего в плане безопасности.
По умолчанию есть определённый белый список программ который уже есть в кис.
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
Поэтому я лично никогда не пользовался данной палочкой-облегчалочкой ни в каком фаэрволе.С другой стороны, не все такие как я
В любом случае, по моему путь надо проверять как дополнительную меру.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Опишите как это сделать пожалуйста...
Это простите как? Как вы собираетесь подменить хэш, если он уникален? Вы знаете по какой методике КИСа их считает?
Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
Поэтому прошу принять это во внимание и как дополнительную меру проверять отдельно полный путь, в дополнение. КИС ведь позиционируется как комплексная защита, поэтому по моему должен не только охранять сами файлы, но и контролировать их местоположение на диске.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А можно попросить линку, где почитать?
про md5 давно писали, например http://news.zdnet.co.uk/security/0,1...9163876,00.htm
Именно про кис- не видел, но это пока
Лучше по моему предпринимать какие-то меры до того как, чем потом.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Почему, в этом случае, фаер спрашивает, выпустить прогу в интернет или нет, если она действует под своим именем, и без всяких вопросов (не в режиме "домохозяйки"), без всяких алертов мгновенно выпускает её в интернет, переименованную, скажем, в IE? (Если, конечно, IE разрешен выход).
Последний раз редактировалось aleksdem; 21.05.2008 в 21:28.
Ваши права в разделе
Ответить с цитированием
