Антивирус

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Что Каспер плох? Ответ - нет не плох, хорошая защита за смешные деньги.
вы, вероятно, его реверсили и инжект в винлогон для вас ерунда? :))) Впрочем, зачем его реверсить, если его исходники по сети несколько лет гуляют.
Вы еще скажите, что у каспера эвристика развита и эмулятор супер пупер :))

В Последнем номере Computer Bild прошла такая проверка. Каспер в лидерах
вы лучше форумы почитайте и поспрашивайте, кто больше всего геморою доставляет. И это отнюдь не каспер. А все эти проверки от журналов можно засунуть в одно место. На сайте каждого ав висит, что именно он лучший, занял первое место и вообще. Вот научится киса ловить инжекты и запрещать загрузку драйверов, тогда я поверю, что он хорош. А пока из хорошего у него только свистелки-мигалки.

На virusinfo каспер помечен как рекомендованый. Или там то де ничего не соображают?
а на kaspersky.ru его аж джеки чан рекламирует! Неужели старина джеки ошибся? :) Вы лучше по приведенному мной коду возразите что-нибудь. А то аргументы в стиле "где же миллионы разоблачающих тем" и "на вирусинфо написано..." мне совершенно не интересны. Аутпост и зоналарм на голову превосходят каспера в плане проактивной защиты (поэтому у меня первый стоит), а антивирусная составляющая не важна, ибо у каспера она ужасна.

Добавлено спустя 8 минут 46 секунд:

ищем винлогон:
MRm6V4we.png


открываем его процесс, причем с любыми правами - ну а чо, гулять так гулять. И на запись права, и на исполнение... Россия - щедрая душа
3zfn2DAx.png


а вот и удаленный поток создали, хендл получили, все отлично. Подумаешь, мелочи какие. Все ж безопасно, ептить. Киса так и пишет - компутер защищен, джеки чан подтверждает. Спите спокойно, товарищи, удаленный поток в винлогоне - это не страшно. На вирусинфо вас защитять )))))
ZJZTtJsM.png


Добавлено спустя 10 минут 49 секунд:

всем защита, посоны:
http://www.youtube.com/watch?v=bHxyHlFZ778

П.С.: не подумайте ничего лишнего, касперский хорош, но только по факту заражения. Его преимущество в том, что он быстро обновляет свои базы. Если у вас засела зараза и вы живете в россии, очень высока вероятность того, что в течение недели она будет в базах у касперского. А винлокеры он ловит мгновенно. Но вот в плане защиты от новых неизвестных угроз он полное гавно, уж извините. Лучше поставить сторонний фаервол, чем надеяться на кису.

Добавлено спустя 37 минут 3 секунды:

только что попробовал сделать запись в avp.exe - получилось. Интересно, а в приложение с безопасным браузером получится? :) Ха! безопасные платежи и выполняются в avp.exe. Это клиника. Это просто клиника.
 

dign

Заблокирован
Сообщения
2.498
Адрес
Херсон
MSoft
Если открывать чужой процесс для записи в user mode, каспер разве об этом не говорит?

Я одно время пользовался Оутпостом. Так он такие вещи отслеживает. При желании можно создавать правила каким приложениям можно внедряться в другие приложения с кучей дополнительных опций.

Я предполагаю, что и каспер должен также себя вести.
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Если открывать чужой процесс для записи в user mode, каспер разве об этом не говорит?
неа, я ж о чем и толкую

вот что у меня получилось сделать:
jTSAquRU.png


я вместо пустых данных записал в avp.exe команду int3. Киса начал ловить исключения своим сехом, но перешагнуть через команду не смог. В итоге исключения накапливались и произошло переполнение памяти с вот такой вот картинкой в конце.

После многочисленных опытов киса все-таки додумался защитить собственный процесс - уж не знаю, как у него это получилось. Но винлогон по-прежнему доступен для записи. И исполнение все той же int3 вызвало ожидаемый бсод без каких-либо предупреждений со стороны кисы.

одно время пользовался Оутпостом. Так он такие вещи отслеживает
я ж о чем и говорю. Все должны уметь такое отслеживать. Если проактивка дает права на запись и исполнение в любом процессе, такую проактивку можно выкинуть

Добавлено спустя 3 минуты 4 секунды:

DUmkUWxi.png

а вот внедрение такого же кода в браузер. Думайте, что хотите, но это просто пушной зверек
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
WIN 7 + киса13 + эвристический анализ на максимум. Попробуйте такое потестить
вин 7 и без кисы неплохо защищен. Какой смысл в самой кисе тогда? Системные ресурсы жрать? Образная аналогия: залезь в танк и накройся бумажной салфеткой. Ага, пуля из пистолета тебя не убила? Вывод: бумажная салфетка защищает от пистолета. Вот киса - это бумажная салфетка в танке вин7. Убираем танк - и киса вас больше не защищает от пули.

а насчет эвристики: поставил на максимум, киса молчит. Эвристика, кстати, это анализ файла по внешним признакам, я уже писал это. Где у него проактивку посильнее сделать, я не нашел.
 

Andy

Активный участник
Сообщения
1.697
Адрес
Германия
Все критичное типа online banking делаю через knoppix, все некритичное - через win7 и microsoft security essentials...

То, что операционная система так запросто дает одному процессу писать в память другого процесса - убило наповал :Shok: век живи, век учись.....
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
То, что операционная система так запросто дает одному процессу писать в память другого процесса - убило наповал век живи, век учись.....
так это ж хп дает. Она каких годов выпуска? Виста уже не дает. А семерка, емнип, даже с админскими правами не даст открыть системный процесс. И привилегии отладчика получить тот еще геморой.

Поэтому, имея винду семерку со всеми обновками + сторонний фаервол, можно спать спокойно. Вероятность нарваться на рабочий эксплоит и получить последствия крайне низка.
 

marinel

Активный участник
Сообщения
26.489
Адрес
Санкт-Петербург
MSoft написал(а):
вы, вероятно, его реверсили и инжект в винлогон для вас ерунда?
Вы меня правильно поймите, мне все равно куда инверсили и какой внлогон. я в этом ни черта не понимаю. Зато я вижу результат подкрепленный весьма авторитетным форумом virusinfo.
MSoft написал(а):
А все эти проверки от журналов можно засунуть в одно место
А ведь так можно и про ваши посты сказать.
MSoft написал(а):
На вирусинфо вас защитять )
Кстати именно по их совету после чистки компа AVZ и HightJack, я поставила КИС года 4 назад. Вы можете что угодно писать, но есть факт - результат. Ноу проблем как говорится.
MSoft написал(а):
Ха! безопасные платежи и выполняются в avp.exe. Это клиника. Это просто клиника.
Вы талант. :-D
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Зато я вижу результат
не сочтите за наглость или грубость, но что же вы видите, если в теме не разбираетесь? :) А смотреть нужно не на журнал вот почему: все те тесты, которые проводятся на предмет эвристики в журналах к реальной жизни не имеют никакого отношения. Я кучу таких статей видел на сайтах типа хакер.ру и т.д. Там проверяют совершенно не те методы, которые применяются на практике. Вирусинфо можно рассматривать в качестве аналога угарной силы, только в ит-технологиях. Да и было бы странно видеть другое мнение на этом ресурсе, учитывая, что его основатели, как я понял из описание - лаборатория дяди жени и доктор веб.

А ведь так можно и про ваши посты сказать.
я код привел, файл привел, методику тестирования привел, описал опасность инжектов и как с ними борятся нормальные ав, когда появилась техника инжектов и в каких журналах о ней можно почитать расписал. Все мои выводы можно взять и просто проверить самому. А на вирусинфо тупо написали "мы супер пупер, наш ав круче всех". А проверить эту информацию как? Критерии сравнения какие? Глубина эмуляции? Сложность виртуальной машины? Логика распознавания мусора? Как проверить? Никак? Значит засунуть их мнение куда поглубже

Ноу проблем как говорится
я вот тоже презерватив не надеваю и женщинами в контакт не вступаю - и еще никто не забеременел. Вывод: презервативы не являются средством предохранения :)

Ваши 4 года опыта - это конечно круто, но они, уж извините, не научат кису ловить инжекты. А что такое инжекты и в чем их опасность, я описал. Блажен, кто верует. Нет, мой аутпост несомненно тоже можно обойти, есть методики. Я их не знаю, но они есть. Но эти методики на 2 порядока сложнее, чем инжект, практикуемый всеми подряд.

стараюсь :)))

п.с.: я бы советовал кав + сторонний фаервол, но не кис
 

X2X

Активный участник
Сообщения
5.658
Адрес
Россия. Северо-Запад.
marinel написал(а):
но есть факт - результат.
Какой? Как он выглядит? Как он пахнет? Он сексуален?

Добавлено спустя 2 минуты 41 секунду:

marinel написал(а):
я поставила КИС года 4 назад. Вы можете что угодно писать, но... ...Ноу проблем как говорится.
Да, проверьте свой комп наконец-то. Проверьте тщательно, основательно.Как проверить? За пошаговой инструкцией к Msoft-у.
P.S.А то у Вас, наверное, уже 3,5 года злодеи секретную инфу тырят, а Вы - ни сном, ни духом. Надеюсь, что эротические фото по электронке не пересылаете? А то могут быть неприятности...
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Да, проверьте свой комп наконец-то. Проверьте тщательно, основательно.Как проверить?
да проверить можно тем же каспером. Я ж говорю, он быстро обновляется и это его плюс. Если зараза и есть на компе, каспер через неделю ее увидит. Каспер плох тем, что реагирует только на зараженные компы. Предотвратить заражение он практически не может. Как я уже показал кодом - автозагрузка, выход в инет, все это вирусу доступно. Если вирус не заблокирует обновление каспера, через неделю он (вирус) умрет.

Единственная претензия к касперу - он почти бесполезен против новых угроз. Именно поэтому я рекомендую кав (или нод) и сторонний фаервол. Нормальный фаервол не даст разгуляться с инжектами (чему каспер не способен противостоять), а кав/нод в течение недели найдут почти любую заразу.

Правда, если заразу писали конкретно под ваш компьютер, то и кав, и нод бесполезны. Остаются только утилиты-антитрояны. В остальном же, коллега, вы правы - если не знать технологий ав, то и оценивать их невозможно. Это как утверждать про 144:0 :)
 

Phaeton

Активный участник
Сообщения
4.980
Адрес
Владивосток
MSoft на форуме кашперского и сибнете шказали что не разбираетесь как раз вы. Хорошо хоть земляным червяком не обозвали :-D
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Phaeton написал(а):
MSoft на форуме кашперского и сибнете шказали что не разбираетесь как раз вы. Хорошо хоть земляным червяком не обозвали :-D

ну слава богу, а то я уж испугался. А как они прокоментировали свою политику относительно открытия любого процесса на запись?
 

Phaeton

Активный участник
Сообщения
4.980
Адрес
Владивосток
MSoft ссылки кинул в ЛС, если хотите пообщаться, я в их и в ваших терминах и премудростях не разбираюсь
facepalm.gif
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
за ответ спасибо, их позиция мне понятна, но я с ней не согласен (а я знаменит походу :)))
если хотите мой ответ чуть более развернуто, могу отписать в личку. Что касается форума дяди жени, не вижу смысла там отписываться, ибо их код это не изменит, мою позицию тоже. А на сибнете вообще ничего не понял из ответа, кроме "танки рулят" :)

Добавлено спустя 20 минут 8 секунд:

п.с.: они (на форуме дяди жени) правы в одном - я не знаю технологий винлокеров. Но вот возможность внедрения в другие процессы меня не радует совершенно. Я не сомневаюсь, что это не последний рубеж обороны, но давать заразе ТАКИЕ возможности уже на старте я категорически не согласен.
 

Phaeton

Активный участник
Сообщения
4.980
Адрес
Владивосток
MSoft написал(а):
а я знаменит походу
благодаря моей упрямости :-D
MSoft написал(а):
если хотите мой ответ чуть более развернуто, могу отписать в личку.
Я бы хотел холиварчик,
popcorm2.gif
но не здесь, здесь специалистов нет, надо на форуме дяди Жени или на сибнете.
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
благодаря моей упрямости
за мной скоро выедут? :)

Я бы хотел холиварчик, но не здесь, здесь специалистов нет, надо на форуме дяди Жени или на сибнете.
а какой холиварчик? Они фактически признали, что инжект есть. Наши мнения расходятся только в том, насколько это опасно. Я считаю это очень опасным. У вируса не должно быть ни малейшего шанса даже в сеть выходить. У дяди жени другое мнение насчет риска. Поэтому при всем желании холивара не выйдет :)
 

Andy

Активный участник
Сообщения
1.697
Адрес
Германия
а почему ссылки в личку, я бы почитал с удовольствием, к примеру :think:
 
Сверху