Антивирус

[MSoft]

Что Каспер плох? Ответ - нет не плох, хорошая защита за смешные деньги.

вы, вероятно, его реверсили и инжект в винлогон для вас ерунда? )) Впрочем, зачем его реверсить, если его исходники по сети несколько лет гуляют.
Вы еще скажите, что у каспера эвристика развита и эмулятор супер пупер )

В Последнем номере Computer Bild прошла такая проверка. Каспер в лидерах

вы лучше форумы почитайте и поспрашивайте, кто больше всего геморою доставляет. И это отнюдь не каспер. А все эти проверки от журналов можно засунуть в одно место. На сайте каждого ав висит, что именно он лучший, занял первое место и вообще. Вот научится киса ловить инжекты и запрещать загрузку драйверов, тогда я поверю, что он хорош. А пока из хорошего у него только свистелки-мигалки.

На virusinfo каспер помечен как рекомендованый. Или там то де ничего не соображают?

а на kaspersky.ru его аж джеки чан рекламирует! Неужели старина джеки ошибся? Вы лучше по приведенному мной коду возразите что-нибудь. А то аргументы в стиле "где же миллионы разоблачающих тем" и "на вирусинфо написано..." мне совершенно не интересны. Аутпост и зоналарм на голову превосходят каспера в плане проактивной защиты (поэтому у меня первый стоит), а антивирусная составляющая не важна, ибо у каспера она ужасна.

Добавлено спустя 8 минут 46 секунд:

ищем винлогон:

открываем его процесс, причем с любыми правами - ну а чо, гулять так гулять. И на запись права, и на исполнение... Россия - щедрая душа

а вот и удаленный поток создали, хендл получили, все отлично. Подумаешь, мелочи какие. Все ж безопасно, ептить. Киса так и пишет - компутер защищен, джеки чан подтверждает. Спите спокойно, товарищи, удаленный поток в винлогоне - это не страшно. На вирусинфо вас защитять )))))

Добавлено спустя 10 минут 49 секунд:

всем защита, посоны:
http://www.youtube.com/watch?v=bHxyHlFZ778

П.С.: не подумайте ничего лишнего, касперский хорош, но только по факту заражения. Его преимущество в том, что он быстро обновляет свои базы. Если у вас засела зараза и вы живете в россии, очень высока вероятность того, что в течение недели она будет в базах у касперского. А винлокеры он ловит мгновенно. Но вот в плане защиты от новых неизвестных угроз он полное гавно, уж извините. Лучше поставить сторонний фаервол, чем надеяться на кису.

Добавлено спустя 37 минут 3 секунды:

только что попробовал сделать запись в avp.exe - получилось. Интересно, а в приложение с безопасным браузером получится? Ха! безопасные платежи и выполняются в avp.exe. Это клиника. Это просто клиника.

 

[dign]

MSoft
Если открывать чужой процесс для записи в user mode, каспер разве об этом не говорит?

Я одно время пользовался Оутпостом. Так он такие вещи отслеживает. При желании можно создавать правила каким приложениям можно внедряться в другие приложения с кучей дополнительных опций.

Я предполагаю, что и каспер должен также себя вести.

 

[MSoft]

Если открывать чужой процесс для записи в user mode, каспер разве об этом не говорит?

неа, я ж о чем и толкую

вот что у меня получилось сделать:

я вместо пустых данных записал в avp.exe команду int3. Киса начал ловить исключения своим сехом, но перешагнуть через команду не смог. В итоге исключения накапливались и произошло переполнение памяти с вот такой вот картинкой в конце.

После многочисленных опытов киса все-таки додумался защитить собственный процесс - уж не знаю, как у него это получилось. Но винлогон по-прежнему доступен для записи. И исполнение все той же int3 вызвало ожидаемый бсод без каких-либо предупреждений со стороны кисы.

одно время пользовался Оутпостом. Так он такие вещи отслеживает

я ж о чем и говорю. Все должны уметь такое отслеживать. Если проактивка дает права на запись и исполнение в любом процессе, такую проактивку можно выкинуть

Добавлено спустя 3 минуты 4 секунды:

а вот внедрение такого же кода в браузер. Думайте, что хотите, но это просто пушной зверек

 

[Phaeton]

WIN 7 + киса13 + эвристический анализ на максимум. Попробуйте такое потестить

 

[Rand0m]

Win2008 :grin: :grin: :grin:

 

[MSoft]

WIN 7 + киса13 + эвристический анализ на максимум. Попробуйте такое потестить

вин 7 и без кисы неплохо защищен. Какой смысл в самой кисе тогда? Системные ресурсы жрать? Образная аналогия: залезь в танк и накройся бумажной салфеткой. Ага, пуля из пистолета тебя не убила? Вывод: бумажная салфетка защищает от пистолета. Вот киса - это бумажная салфетка в танке вин7. Убираем танк - и киса вас больше не защищает от пули.

а насчет эвристики: поставил на максимум, киса молчит. Эвристика, кстати, это анализ файла по внешним признакам, я уже писал это. Где у него проактивку посильнее сделать, я не нашел.

 

[Andy]

Все критичное типа online banking делаю через knoppix, все некритичное - через win7 и microsoft security essentials...

То, что операционная система так запросто дает одному процессу писать в память другого процесса - убило наповал век живи, век учись.....

 

[MSoft]

То, что операционная система так запросто дает одному процессу писать в память другого процесса - убило наповал век живи, век учись.....

так это ж хп дает. Она каких годов выпуска? Виста уже не дает. А семерка, емнип, даже с админскими правами не даст открыть системный процесс. И привилегии отладчика получить тот еще геморой.

Поэтому, имея винду семерку со всеми обновками + сторонний фаервол, можно спать спокойно. Вероятность нарваться на рабочий эксплоит и получить последствия крайне низка.

 

[marinel]

вы, вероятно, его реверсили и инжект в винлогон для вас ерунда?

Вы меня правильно поймите, мне все равно куда инверсили и какой внлогон. я в этом ни черта не понимаю. Зато я вижу результат подкрепленный весьма авторитетным форумом virusinfo.

А все эти проверки от журналов можно засунуть в одно место

А ведь так можно и про ваши посты сказать.

На вирусинфо вас защитять )

Кстати именно по их совету после чистки компа AVZ и HightJack, я поставила КИС года 4 назад. Вы можете что угодно писать, но есть факт - результат. Ноу проблем как говорится.

Ха! безопасные платежи и выполняются в avp.exe. Это клиника. Это просто клиника.

Вы талант.

 

[MSoft]

Зато я вижу результат

не сочтите за наглость или грубость, но что же вы видите, если в теме не разбираетесь? А смотреть нужно не на журнал вот почему: все те тесты, которые проводятся на предмет эвристики в журналах к реальной жизни не имеют никакого отношения. Я кучу таких статей видел на сайтах типа хакер.ру и т.д. Там проверяют совершенно не те методы, которые применяются на практике. Вирусинфо можно рассматривать в качестве аналога угарной силы, только в ит-технологиях. Да и было бы странно видеть другое мнение на этом ресурсе, учитывая, что его основатели, как я понял из описание - лаборатория дяди жени и доктор веб.

А ведь так можно и про ваши посты сказать.

я код привел, файл привел, методику тестирования привел, описал опасность инжектов и как с ними борятся нормальные ав, когда появилась техника инжектов и в каких журналах о ней можно почитать расписал. Все мои выводы можно взять и просто проверить самому. А на вирусинфо тупо написали "мы супер пупер, наш ав круче всех". А проверить эту информацию как? Критерии сравнения какие? Глубина эмуляции? Сложность виртуальной машины? Логика распознавания мусора? Как проверить? Никак? Значит засунуть их мнение куда поглубже

Ноу проблем как говорится

я вот тоже презерватив не надеваю и женщинами в контакт не вступаю - и еще никто не забеременел. Вывод: презервативы не являются средством предохранения

Ваши 4 года опыта - это конечно круто, но они, уж извините, не научат кису ловить инжекты. А что такое инжекты и в чем их опасность, я описал. Блажен, кто верует. Нет, мой аутпост несомненно тоже можно обойти, есть методики. Я их не знаю, но они есть. Но эти методики на 2 порядока сложнее, чем инжект, практикуемый всеми подряд.

Вы талант.

стараюсь ))

п.с.: я бы советовал кав + сторонний фаервол, но не кис

 

[X2X]

но есть факт - результат.

Какой? Как он выглядит? Как он пахнет? Он сексуален?

Добавлено спустя 2 минуты 41 секунду:

я поставила КИС года 4 назад. Вы можете что угодно писать, но... ...Ноу проблем как говорится.

Да, проверьте свой комп наконец-то. Проверьте тщательно, основательно.Как проверить? За пошаговой инструкцией к Msoft-у.
P.S.А то у Вас, наверное, уже 3,5 года злодеи секретную инфу тырят, а Вы - ни сном, ни духом. Надеюсь, что эротические фото по электронке не пересылаете? А то могут быть неприятности...

 

[MSoft]

Да, проверьте свой комп наконец-то. Проверьте тщательно, основательно.Как проверить?

да проверить можно тем же каспером. Я ж говорю, он быстро обновляется и это его плюс. Если зараза и есть на компе, каспер через неделю ее увидит. Каспер плох тем, что реагирует только на зараженные компы. Предотвратить заражение он практически не может. Как я уже показал кодом - автозагрузка, выход в инет, все это вирусу доступно. Если вирус не заблокирует обновление каспера, через неделю он (вирус) умрет.

Единственная претензия к касперу - он почти бесполезен против новых угроз. Именно поэтому я рекомендую кав (или нод) и сторонний фаервол. Нормальный фаервол не даст разгуляться с инжектами (чему каспер не способен противостоять), а кав/нод в течение недели найдут почти любую заразу.

Правда, если заразу писали конкретно под ваш компьютер, то и кав, и нод бесполезны. Остаются только утилиты-антитрояны. В остальном же, коллега, вы правы - если не знать технологий ав, то и оценивать их невозможно. Это как утверждать про 144:0

 

[Phaeton]

MSoft на форуме кашперского и сибнете шказали что не разбираетесь как раз вы. Хорошо хоть земляным червяком не обозвали

 

[MSoft]

MSoft на форуме кашперского и сибнете шказали что не разбираетесь как раз вы. Хорошо хоть земляным червяком не обозвали

ну слава богу, а то я уж испугался. А как они прокоментировали свою политику относительно открытия любого процесса на запись?

 

[Phaeton]

MSoft ссылки кинул в ЛС, если хотите пообщаться, я в их и в ваших терминах и премудростях не разбираюсь

 

[MSoft]

за ответ спасибо, их позиция мне понятна, но я с ней не согласен (а я знаменит походу ))
если хотите мой ответ чуть более развернуто, могу отписать в личку. Что касается форума дяди жени, не вижу смысла там отписываться, ибо их код это не изменит, мою позицию тоже. А на сибнете вообще ничего не понял из ответа, кроме "танки рулят"

Добавлено спустя 20 минут 8 секунд:

п.с.: они (на форуме дяди жени) правы в одном - я не знаю технологий винлокеров. Но вот возможность внедрения в другие процессы меня не радует совершенно. Я не сомневаюсь, что это не последний рубеж обороны, но давать заразе ТАКИЕ возможности уже на старте я категорически не согласен.

 

[Phaeton]

а я знаменит походу

благодаря моей упрямости

если хотите мой ответ чуть более развернуто, могу отписать в личку.

Я бы хотел холиварчик,

но не здесь, здесь специалистов нет, надо на форуме дяди Жени или на сибнете.

 

[MSoft]

благодаря моей упрямости

за мной скоро выедут?

Я бы хотел холиварчик, но не здесь, здесь специалистов нет, надо на форуме дяди Жени или на сибнете.

а какой холиварчик? Они фактически признали, что инжект есть. Наши мнения расходятся только в том, насколько это опасно. Я считаю это очень опасным. У вируса не должно быть ни малейшего шанса даже в сеть выходить. У дяди жени другое мнение насчет риска. Поэтому при всем желании холивара не выйдет

 

[Phaeton]

Они фактически признали, что инжект есть. Наши мнения расходятся только в том, насколько это опасно.

ЩИТО? Хде?

 

[Andy]

а почему ссылки в личку, я бы почитал с удовольствием, к примеру :think: