Оффтопик из темы "тест самозащиты антивирусов III". - Свободное общение - Форумы Anti-Malware.ru Перейти к содержанию
strat

Оффтопик из темы "тест самозащиты антивирусов III".

Recommended Posts

strat

последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

CRYSTAL - на основе KIS 2010. Те косяки в самозащите, что есть в 2010 имеются и в CRYSTAL. Уже как KIS 2011 на дворе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Я бы не стал воспринимать этот опус в Хакере от товарища кулхацкера deonisa как серьезное исследование))) Без слез умиления не читается. Если интересны деинсталяции др.веб и программное отключение его самозащиты легальными методами поищите на кряклаб топик)))

А так.. любой продукт без HIPS выносится на ура, особого смысла такие вещи тестировать нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
кристал выглядит не лучшим образом.
Тест №1

Удалять будем именно этот файл, который по умолчанию лежит в папке «%programfiles%\Kaspersky Lab\Kaspersky CRYSTAL\». Запускаем утилиту, передав ей в качестве одного из параметров полное имя экзешника и ... Кристал начал ругаться на нашу тестовую утилиту, определив ее рейтинг опасности как «высокий». Если бы это был реальный зловред, то пользователю пришлось бы решать, разрешить подозрительной программе выполниться или нет. Если все-таки дать свободу нашей утилите, то после ребута системы антивирус не запускается. Программа сделала свое дело и удалила главный бинарник Касперского. В случае запрета выполнения подозрительной тулзы все будет хорошо - avp.exe останется на своем месте и по-прежнему будет радовать пользователей красивой иконкой в трее. Итак, Kaspersky CRYSTAL прошел первое испытание, но, к сожалению, всего лишь на троечку. Очень часто пользователи жмут на кнопку «Да» не читая, что там пишут.

ТЕСТ №2

Второй краш-тест очень похож на первый, но с одним единственным отличием - путь к удаляемому файлу мы передаем в зашифрованном виде. Процедура шифрования тоже не совсем простая. Мы используем специальный трюк, чтобы обмануть эвристики наших антивирусов. Подробнее об этом можно почитать во врезке. А пока посмотрим, как справятся с этим испытанием Касперский и Доктор Веб. Первый в очереди - Kaspersky CRYSTAL. Предварительно зашифровав путь к avp.exe. мы передаем его нашей утилите. Реакция Кристала на второй тест полностью совпадаете реакцией на первый. Антивирус предложил выбрать, что делать с подозрительной программой. В случае, если мы разрешаем ее выполнение, после перезагрузки Kaspersky не загрузится. Итог: второе испытание Каспер тоже проходит на тройку. Ситуация с Dr.Web полностью идентична предыдущей. Все попытки удалить какие-либо файлы, требуемые для его работы, потерпели неудачу. Не удалялся даже банальный license.txt! За такую стойкость Доктор Веб получает пять.

чувствуете? бредятиной наносит! :lol:

т.е. если программа предоставляет выбор пользователю - это зло! :wacko:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
CRYSTAL - на основе KIS 2010

это известно, речь о том что возможно самозащиту можно протестить и другими методами а уж какая самозащита в 2011 никому неизвестно

т.е. если программа предоставляет выбор пользователю - это зло!

по крайней мере относительно себя кис должен рубить такие вещи без вопросов, или вы думаете есть легальная утилита которой может потребоваться удаление avp кроме родного ремувера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
любой продукт без HIPS выносится на ура

Для защиты хипса - прикльная весч, просто многим не по зубам ее настроить:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
а уж какая самозащита в 2011 никому неизвестно

Почему? Дистрибутивы есть на официальном сайте, правда пока только на .com (в России продажи ещё не идут) можно скачать и посмотреть. + я думаю в тесте которому посвящён этот топик будет именно 2011, а не 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

ответ не на моё высказывание, повторю, какая самозащита в 2011 неизвестно никому т.к. тестов не было, ссылка на статью была дана для тех кто собирается провести новый тест, вдруг что-то новое нашли бы для теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну как тут проведут, так и узнаем. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
×