-
Kaspersky не дает запустится программе
Собственно на офицальном форуме не ответили , может здесь найдутся добрые люди
Вот предистория
http://forum.kaspersky.com/index.php?showtopic=36774&st=0&p=330687
Суть - касперский не даёт запуститься клиент-серверному античиту.
Эта проблема наблюдается только у юзеров 6-го касперского.
У меня тоже он не запускается.
Из секурного софта :
ZA Pro 5.5
KIS 6 (без антихакера)
Что делать ?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в довереную не пробовали добавить? может проактивка балуеться?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Только попробовал - не помогает , оно и понятно , конфликт драйверов или ещё что. Полная выгрузка касперского тоже не помогает. Совместимость тоже.
-
-
Попробуйте отключить самозащиту. Скорее всего Ваш античит инжектится во всем подряд процессы, и при первом же отлупе вывешивает ошибку. Если это так, то легкий рефакторинг античита решит эту проблему.
-
-
Сообщение от
Surfer
Полная выгрузка касперского тоже не помогает.
А ZA выключить пробовали?
-
-
Самозащиту выключил - таже ошибка (не перезагружался правда)
Rene-gad
Естественно я пробовал , даже весь софт выгружал - не помогло.
-
-
@Surfer
Сорри, я по-испански только Hola и Buenos Dias знаю , но может быть Вам зто пригодится? http://foros.3dgames.com.ar/showthre...353663&page=23
-
-
Сообщение от
Surfer
Самозащиту выключил - таже ошибка (не перезагружался правда)
Rene-gad
Естественно я пробовал , даже весь софт выгружал - не помогло.
Я эту штуку моему анализатору скормил. Вот некоторые интересные моменты:
1. У него есть Kernel Mode компонента, размещается в C:\Program Files\sXe Injected\ddsxei.sys, регистрируется в реестре как ddsxeiservice, имя линка для обмена - \\.\DDSXEI. Собственно работа EXE этого античита сводится к загрузке этого драйвера в момент старта и выгрузке при выходе.
2. Драйвер перехватывает функции NtCreateSection, NtCreateThread, NtOpenFile, NtQuerySystemInformation, NtWriteVirtualMemory классическим способом - правкой адреса в KiST. Драйвер вешает NotifyRoutine на запуск/останов процессов. Снятие перехватов отправляет ПК на перезагрузку, видимо это своего рода агрессивная защита от отключения драйвера или просто кривизна его реализации. Анализ кода подтверждает отчасти эту гипотезу - в драйвере есть функция-анализатор, проверяющая, на месте ли перехваты. Кроме того, драйвер шалит с KiST Shadow
3. У него есть sxe.dll, которая инжектится в процессы с заданными именами EXE (имена открытым текстом забиты в драйвере - можно посмотреть). Внедряясь, DLL ведет что-то типа дебаг-лога вида
2007/05/08 14:58:05 - - Unexpected module found [comctl32.dll]
2007/05/08 14:58:05 - - Unexpected module found [ole32.dll]
2007/05/08 14:58:05 - - Unexpected module found [13]
Имя файла протокола - "sXe Injected.txt". Вывод - стоит поискать на диске такие файлы и посмотреть, что он там пишет ... файлы создаются в каталоге EXE, в которые он внедрился. Важно, что инжект идет только в избранные EXE, т.е. в память KAV судя по драйверу он лезть не должен. Если DLL что-то не нравится, то она блокирует запуск EXE
4. Если в системе есть защитное ПО, то он говорит "Ошибка при загрузке, попробуйте заново". Эта ситуация легко эмулируется даже на чистом ПК - запускаем AVZ, включаем AVZGuard и запускаем эту штуку как доверенное приложение. AVZGuard мешать в этом случае ему не будет, но ошибка тем не менее выдается.
Короче говоря, штука это весьма капризная и очень чувствительная к другим защитным системам, особенно если они сами перехватывают функции в ядре и восстанавливают перехваты.
Последний раз редактировалось Зайцев Олег; 08.05.2007 в 19:28.
-
-
Зайцев Олег
Может она сама себя блокирует ?
Вот логи
2007/05/08 15:19:44 - sXe Injected starting...
2007/05/08 15:19:44 - Win XP (5.1.2600 Service Pack 2)
2007/05/08 15:19:44 - version: 3.3
2007/05/08 15:19:44 - Starting Device Driver
2007/05/08 15:19:44 - service [C:\Program Files\sXe Injected\ddsxei.sys]
2007/05/08 15:19:44 - GetLastError(87)(Параметр задан неверно.)
2007/05/08 15:19:44 - Start service error [C:\Program Files\sXe Injected\ddsxei.sys]
2007/05/08 15:19:44 - Load error, try again -----------
2007/05/08 15:19:44 - * Cleaning
2007/05/08 15:19:44 - service [C:\Program Files\sXe Injected\ddsxei.sys]
2007/05/08 15:19:44 - GetLastError(1072)(Указанная служба была отмечена для удаления.)
2007/05/08 15:19:44 - Craete service error [C:\Program Files\sXe Injected\ddsxei.sys]
2007/05/08 15:19:44 - Error starting Device Driver
Из лога не понятно что ему мешает запуститься
-
-
Если эта штука запускается, то лог имеет вид:
2007/05/08 15:45:04 -
2007/05/08 15:45:04 - sXe Injected starting...
2007/05/08 15:45:04 - Win XP (5.1.2600 Service Pack 2)
2007/05/08 15:45:04 - version: 3.3
2007/05/08 15:45:04 - Starting Device Driver
2007/05/08 15:45:04 - service [C:\Program Files\sXe Injected\ddsxei.sys]
2007/05/08 15:45:04 - [C:\WINDOWS\system32\ntdll.dll]
2007/05/08 15:45:04 - [35][7C90D7D2]
2007/05/08 15:45:04 - [32][7C90D793]
2007/05/08 15:45:04 - [115][7C90EA32]
2007/05/08 15:45:04 - [74][7C90DCFD]
2007/05/08 15:45:04 - [AD][7C90E1AA]
2007/05/08 15:45:04 - Waiting for game...
Я обнаружил интересную штуку - он даже сам с собой конфликтует - при закрытии EXE не может (не хочет, баг ?) выгрузить драйвер и оставляет его в памяти (и перехваты есть), и не грузится повторно - ошибка и лог - как в посте 9, ошибка 1072. Если в этом случае прехваты снять, то ПК не виснет, но и античит не работает. Еще тонкость - в драйвере есть вывод DbgPrint - его обычно из релиза убирают, а тут он натыкан по всему драйверу ...
-
-
Итак, уважаемые: мигу ли я отозвать запрос из нашего тестлаба и не напрягать больше тестеров этим античитом?
-
-
Думаю всё-таки стоит добить его , ибо согнать всех юзеров на бету 7-ки вряд ли получится. А выйдет она неизвестно когда. Хотя решать вам.
-
-
Сообщение от
Зайцев Олег
Я обнаружил интересную штуку - он даже сам с собой конфликтует - при закрытии EXE не может (не хочет, баг ?) выгрузить драйвер и оставляет его в памяти (и перехваты есть), и не грузится повторно - ошибка и лог - как в посте 9, ошибка 1072. Если в этом случае прехваты снять, то ПК не виснет, но и античит не работает. Еще тонкость - в драйвере есть вывод DbgPrint - его обычно из релиза убирают, а тут он натыкан по всему драйверу ...
Подробнее пожалуйста про конфликт, ничего не замечал, когда тестили античит.
P.S. Про драйвер все правильно сказанно, т.к. он вгружает его в тот момент, когда вы включаете сам античит.
Здесь не надо быть профессионалом, чтобы этого не заметить.
Тем более это информация официальна.
-
-
Lexxus
С касперским проблема решена , релиз 7-ки вышел , с ним конфликтов нет.
-
-
Еще бы позволить запускать его под АнтиХакером.
тьфу что т туплю в последнее время - все решается обновлением продукта.
Последний раз редактировалось Lexxus; 31.05.2007 в 21:39.
-