Перейти к содержанию
AM_Bot

Антивирус Касперского: преимущества и недостатки

Recommended Posts

Inkogn

http://www.pc-st.com/de/download.htm

Там есть прога - PC SECURITY TEST 2006 называется.Я ею давно уже,тогда она была тоже тогдашняя,один АВ протестировал.Тот АВ не очень оказался.KIS - получше,правда,фирю KIS я не могу тестировать из-за фири в роутере.Standartprüfungen (стандарттест) KISа - 100%.

Но.KIS даёт данные с компа утащить (к прим.:WindowsLizenseKey,Emailadresse)(Proof Modus,Test 1) и отдаёт мышку и нардваре вирусам под контроль,а так же ложные системные сообщения можно на экран выдать,где реакция пользователя предсказуема (Proof Modus,Test 2).Можете спокойно на всё там нажимать,увидите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Inkogn, спасибо за ссылку, нужно будет посмотреть эту софтину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Да.Прога интересная.Инсталлируется без перезагрузки ОС,значит(?) драйверы не инсталлирует и под антивирусом всё-таки незаметно проползает.Пользуясь даже правами ограниченного аккоунта обходит всю проактивку (на защиту которой я надеялся в теории) и читает всю инфу (выходит так),которую можно и без АВ читать,выводя на экран (теоретически - сразу в инет,если фиря не задержит).Через ложные системные сообщения добивается от пользователя нажатия на кнопку,а так же сама может стрелкой мышки управлять.АВ в это время ковыряется в носу.Жаль.Я эту прогу хотел обхитрить и добавил её под контроль проактивки (да,действующая часть проги,*.еxe,сама не прописалась в проактивку при инсталляции - дыра),но тут же понял,что безполезно.Нет в проактивке контроля за разрешением,какую инфу и кому нельзя читать.Любая(?) прога читает,что хочет,пользуется мышкой сама или подсовывает что-нибудь правдоподобное нажать.Причём эта прога не специально против КАВа написана.Но концепт работает.Не только KIS в этом месте отсутствует.Надеюсь,что эта прога не будет в сигнатуры внесена,а лучше бы сам АВ вклинился бы промежду,чтобы подобное без отдельного согласия пользователя было бы невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Ускоряющие технологии КIS6 такие же глючные,как и в KAV5.В realtime проверяет (или не проверет) КIS6 при открытии или чтении старые файлы по необъяснимому принципу,не зависящему от включения "пров. только новые/измен. файлы".Обновления не давал,но так и не мог 100%-но предугодать,будет ли АВ при следующем старте NeroStartSmart его опять проверять или опять нет.С фотками всё ясно (что ничего не ясно) - проверяет при первом открытии,при втором - нет,даже если настройка "проверять всё" включена и "пров только нов./изм." выключена.Если "пров только нов./изм." включить,поклацать по тестфайлам,перестартовать комп и пощёлкать опять,то проверяет старые и неизменённые,хотя не должен.При скане вручную (то есть,только чтение) вроде можно всё предсказать,что перепрыгнет.Я вспомнил,что когда я ещё 5-ку пробовал (выше описано),то там даже при моём тогда частом скане вручную включение и выключение кнопок я так и не понял,так как от них,вроде,ничего не зависело,а может,я не заметил.А есть ли там вообще эти технологии?Может,там просто регулируемый генератор случайных чисел?

Есть такой тоол - pckill.exe,который КIS6 как рисктоол называет и хочет перестартовать комп или стереть на месте.А если сканируешь загрузочным диском с максимальными базами (делал тоже с макс.) и показываешь на него пальцем - не видит.Eicar'а загрузочный диск видит.Если принять все видимые КIS6ом вирусы (и прочее) за 100%,то сколько процентов видит загрузочный диск?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Ускоряющие технологии КIS6 такие же глючные,как и в KAV5.В realtime проверяет (или не проверет) КIS6 при открытии или чтении старые файлы по необъяснимому принципу,не зависящему от включения "пров. только новые/измен. файлы".

Галка "проверять только новые и изменённые файлы" - это не iSwift и не iChecker. Если её снять, обе технологии всё равно продолжат работу. RTFM =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Галка "проверять только новые и изменённые файлы" - это не iSwift и не iChecker. Если её снять, обе технологии всё равно продолжат работу. RTFM =)

Не очень.После перестарта компа он проверяет опять те же фотки при первом открытии (*jpg),которые он пару минут назад проверял.Функционируют эти технологии плохо или про них известно не всё?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Галка "проверять только новые и изменённые файлы" - это не iSwift и не iChecker. Если её снять, обе технологии всё равно продолжат работу. RTFM =)

Не очень.После перестарта компа он проверяет опять те же фотки при первом открытии (*jpg),которые он пару минут назад проверял.Функционируют эти технологии плохо или про них известно не всё?

Я ж говорю, RTFM =) Первое время файлы будут перепроверяться. Чтобы не рассказывали про то, что iSwift - это дыра в безопасности. Уже ведь TiX объяснил. Сначала файлы перепроверяются, потом - всё реже и реже (так как вероятность того, что вирус придёт с обновлением баз становится всё меньше), а потом совсем не будут проверяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Не совсем.Ставим дополнительно галку "проверять только новые и изменённые файлы".Клацаем по тестфоткам.После перестарта компа он проверяет опять те же фотки при первом открытии (*jpg),которые он пару минут назад проверял.Функционируют эти технологии плохо или про них известно не всё?Где то я уже давнишний топик видел,что характерная черта КАВа - собственные настройки не понимать.То есть,что они есть,что нету.Или подписаны (или объяснены,как эти слова понимать) не правильно?А звучат так,как будто действительно что-то есть.Может и мне приклеить в машине кнопку (обязательно нажимаемую) "на взлёт"?Нет,лучше "аварийный помощь.пользоваться только в космосе".И продать свою подержанную,объясняя,чем кнопка помогает (дескать,я изобрёл),если купивший на околоземную выйдет и вдруг метеор...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Типично русская сервисная поддержка у КАВа:сказать,что её нету,было бы соврать,а сказать,что она есть,то легче доказать,что на рамке велосипеда ехать или в мерседесе разницы нет.А если сравнивать с суппортом симантека (очень много имеют,кому отвечать),то видишь,кому клиенты нужны и после того,когда они деньги отдали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Хороший разброс сообщений :) Что заставляет вас так думать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Опробование на практике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Типично русская сервисная поддержка у КАВа:сказать,что её нету,было бы соврать,а сказать,что она есть,то легче доказать,что на рамке велосипеда ехать или в мерседесе разницы нет.А если сравнивать с суппортом симантека (очень много имеют,кому отвечать),то видишь,кому клиенты нужны и после того,когда они деньги отдали.

Ну это кому как нравится... Вот за год бетатестинга у меня сотни вопросов по КИСу возникло... сколько раз я в саппорт обратился? Правильно - ни разу!

Почему? Потому что при выявлении некой "особенности" в работе скажем проактивки практичнее к ее автору и обратиться... Ибо если пойти в саппорт - то саппорт все равно пойдет к автору... мой путь короче, мне во всяком случае именно так кажется... ;)

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Да,если переходить на беты,то КАВ сдесь лучше поддерживает по высказываниям других,я не тестировал.Но везде,где я до сих пор за границей обращался,делал это как простой клиент,без блатов и привилегий по предложенному фирмой пути.Везде сервис был ощутим по весу.И это и был всегда тот самый заграничный сервис,которому мы всегда завидовали.Так это местами и осталось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis
Да,если переходить на беты,то КАВ сдесь лучше поддерживает по высказываниям других,я не тестировал.Но везде,где я до сих пор за границей обращался,делал это как простой клиент,без блатов и привилегий по предложенному фирмой пути.Везде сервис был ощутим по весу.И это и был всегда тот самый заграничный сервис,которому мы всегда завидовали.Так это местами и осталось.

Почитайте, пжалста:

http://reviews.cnet.com/Kaspersky_Anti_Vir...282.html?tag=fr

Про поддержку тоже написано. Хотя жалко что всего 8 из десяти балов дали, по мне бы ещё пол бала, или 9 - было бы в тему, учитывая конкурентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Demorphis,какая мне разница эти PR публикации?КПСС их могла лучше всего.Я говорю про реальность,как это происходит в конкретном случае.Сервис у КАВа чисто русский,доперестроечный.(Во всяком случае,для пишущего по-русски,хотя и доказавшего,что заплатил за продукт.)Я до сих пор жду ответа,хотя в твоём линке написано,что "...по email можно получить оживлённую техническую поддержку."Да,я это могу подтвердить:последний раз мне пришло 2 email (обычно приходило по одной такого же содержания в течении этих недель),что,конечно же,на запрос в течении 24 часов ответить не могут,ждите.Недели с тем же результатом,как до самого первого запроса.

Я не собираю мнения из реклам,какой сервис у КАВа,а пользуюсь им по своей необходимости,как он есть,когда он по некоей причине понадобился на деле.Разницу между желаемым (создаётся PR-ом,когда ненавязчиво внушают,как должны про заказчика рекламы все думать) и действительным,на чём это строится,неизвестна?

На днях видел в одной рекламной газете (заграницей) цену на KIS6 - 30? (для 3 рабочих мест лицензия),и рядом на Симантековский продукт - 40?.Исходя из моей практики с обоими продуктами КАВ продаёт только продукт,Симантек прикладывает и сервис к нему.Видно и по цене,и на деле.

(Исправил цену Симантека,не 50,а 40?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis
Demorphis,какая мне разница эти PR

Я не собираю мнения из реклам,какой сервис у КАВа,а пользуюсь им по своей необходимости,как он есть,когда он по некоей причине понадобился на деле.Разницу между желаемым (создаётся PR-ом,когда ненавязчиво внушают,как должны про заказчика рекламы все думать) и действительным,на чём это строится,неизвестна?

Велкам :D : http://www.kaspersky.ru/opinion

Любую компанию можно этом упрекнуть... наткнувшись на случайность, или выждав момент.

Хотя конечно такого быть не должно в этом я с вами полностью согласен. Но бывет... и у ВСЕХ!

В отношении частоты подобных случаев, немогу с вами спорить, так как пользуюсь только KIS, в техподдержку как-то небыло даже малейшей необходимости стучать, даже не знаю как там это делается в подробностях... и ещё почитал http://www.kaspersky.ru/support/kis6mp1 так как охота всё узнать и неждать даже часа для решения проблемы, а решить её самому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Да.Бывает случайность,конечно.Бывают и две досадные ошибки хронического неоказания сервиса одна за другой.Если собираешься ответить,то когда ты считаешь,что это уже и есть настоящее лицо,а не случайности?

Там бесполезно мне,так как никто не грубил и писали ответные email,что "подождите,потом".Причина моего обращения в суппорт находится не здесь

http://www.kaspersky.ru/support/kis6mp1 так как охота всё узнать и неждать даже часа для решения проблемы, а решить её самому.

так как не является на тему "как включить мне это...",а когда нужно ответить действительно занимающемуся разработкой специалисту насчёт некоторых "недоработок".Все остальные вопросы отвечаются форумом любой компании,и суппортом не являются,а хорошо функционирующим "помоги себе сам".Исключение составляет,если на форуме отвечают и непосредственые специалисты из фирмы,но мне таковые не отвечали.То есть,смысл есть жаловаться начальнику в той жалобной книге только на недобросовестного работника,но мне таковые не попадались.Суппорта нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Что мне у К. нравится в его сервисе для платящих деньги клиентам,через недельку-полторы после перезапроса приходит ответ...

..............................................

К сожалению, по причине непредвиденно большого количества обращений в службу технической поддержки, время ответа на Ваш запрос ХХХХХХХХ, полученный ХХ.ХХ.200Х St:Min:Sek составит более 24 часов. Приносим свои извинения за доставленные неудобства и надеемся на Ваше понимание. Мы обязательно ответим на Ваш запрос!

Данное сообщение является автоматическим и не требует ответа

...............................................

Можно уже опять радоваться,что в очереди продвинулся и прошёл первую ступень.Как это у Симантека получается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Переставил 6.0.1.4 на 6.0.2.6.И опять проблемы,которые должны были в бете остаться,если это релиз,конечно.Может кто-то из вас создать там для некоей проги разрешающий ключ HKEY_USERS*SoftwareMicrosoftWindowsCurrentVersionRun?Или просто хотя бы этот ключ написать.У меня из экстра написанных 10 ключей 7 держаться на значке *.

Я имею ввиду в модуле защиты Registry.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Или благодаря тому,что со значком * создать ветку невозможно,закрываются какие-либо дыры,широкой общественности не известные,но "дырявые"?Какие тогда,если не выдумывать?

Или просто нетестированый продукт?То,что его по различным конфигурациям попробовали поставить,это ещё не тест.Мало ли,сколько там "тестеров" его уставливали и логи слали,если они сами появлялись.Надо же и на кнопки все понажимать,повключать-повыключать,понаписать-изменить.Для этого и образования не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Наверно,всё ещё хуже,чем PR не говорит.Прочитал ( http://forum.kaspersky.com/index.php?showtopic=24550 ,автор Autopsy от 8.11.2006 08:03)и подумал перепроверить знаменитой проактивкой KIS'a.Если я всё учёл,то ужесточил все правила,которые проактивка имеет,запретив всё,что имеет значение и в модуле "Контроль целостности приложений" у 2/3 наблюдаемых (стандарт,ничего не убирал оттуда) прог запретил даже читать,не говоря уже об изменять файлы или старте процессов (запретил тоже).В "Контроле целостности" постирал почти всё,что уже в разрешене попало,в "общих компонентах" этого модуля стёр всё.Конечно,включил почти всё остальное в проактивке,что не описал,тоже на запрет.Компьютер не перестартовывал,так как с такими запретами не стартует никто.Думал я.Ошибся.Попробовал для пробы инсталлировать Аida32ee_393,Еveresthome220, и IsoBuster 1.8.Смеялся,видя,что всё инсталлируется и после запускается.Только IsoBuster 1.8 посетовал,что в один ключ Registry записаться не может.

А есть ли там проактивка?

Добавлено спустя 30 минут 53 секунды:

Да,почему я решил это попробовать?Как то недавно я писал,что 2 троянов в TEMP-папке нашёл не файловым монитором,а сканированием по требованию.Окольным путём выяснил,что тогда незнающие пользователи (дети) щёлкали как всегда по всем файлам,которые в инете нашли.Это я нашёл не по логам,так как давно стёр,а по другим записям антивируса.С десктопа нечто инсталлировалось,от чего с очень высокой вероятностью и эти трояны,так как по времени совпадает.Тех файлов давно нету.Есть ли известные руткиты,которым хватает ограниченных прав для инсталлирования и запись в ветках Registry,которые наблюдает АВ,не нужна?

(Сергей,нередко приходится 2 раза "входить",что бы войти,при этом имя пишется здесь внизу http://www.anti-malware.ru/phpbb/index.php ,что вошёл,а вверху стоит "вход" и написать ничего нельзя,рамка не открывается,потом выходишь,а имя остаются ещё.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
...Прочитал ( http://forum.kaspersky.com/index.php?showtopic=24550 ,автор Autopsy от 8.11.2006 08:03)и подумал перепроверить знаменитой проактивкой KIS'a.

Сильный опрос.

Да люди, по-видимому, просто не знакомы с другими продуктами

(но им хотелось проголосовать и, как видно, желание это не ослабевает...)

А глядя на элементы списка, можно предположить, что на некоторых из них знакомство c "поведенческими блокираторами" не состоялось бы вовсе. Ни шапочного, ни третьего рода.

Думал я.Ошибся.Попробовал для пробы инсталлировать Аida32ee_393,Еveresthome220, и IsoBuster 1.8.Смеялся,видя,что всё инсталлируется и после запускается.Только IsoBuster 1.8 посетовал,что в один ключ Registry записаться не может.

А что должно было случиться при установке данных программ?

Aida и Еverest, в принципе, не нуждаются в установке, т.к. не пишут ничего в директории, отличающиеся от собственных.

В реестре хранятся лишь настройки gui (HKEY_CURRENT_USERSoftwareLavalysEVEREST).

При запуске Evereast загружается драйвер (kerneld.wnt для Everest)

и, сведения о нем пишутся в (HKLMSystem...Services)

Если правильно помню, на это реагирует контроль реестра.

По закрытии программы драйвер выгружается и сведения удаляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
При запуске Evereast загружается драйвер (kerneld.wnt для Everest)

и, сведения о нем пишутся в (HKLMSystem...Services)

Если правильно помню, на это реагирует контроль реестра.

Нет,но это не важно,так как у Бустера кричит АВ и не даёт записаться в Registry,но это,похоже,не мешает ему инсталлироваться до работоспособного состояния.Во всяком случае,он запускается.

А что должно было случиться при установке данных программ?.

Я ничего не имею против потратить не жалея денег в этой бласти и смотрю не на цену,а чья армия лучше,сам же понятия глубокого не имею,а ориентируюсь на то,что можно об некоем формировании найти.Нахожу вроде лушее,ставлю на все входы-выходы,при этом со всех сторон заявляют,что мы,мол,матёрые профи,даже на тех входах выпинываем,на которых другая охрана,если бы я её купил,даже не появляется.Тут мне вдруг,при всех хвалёных запретах и для моих глаз очень старающейся охране (спи спокойно,охраняем),прописываются в TEMP 2 трояна (похоже,они охрану в глаза не видели) и при разборке спрашивают меня:"А что ты,собственно говоря,от нас хотел-то?".С такой охраной мы говорим на разных языках.

Будет не лень,попробую что другое.Я ошибся в том,что об этой проактивке до этого понял,моя вина.То,что они её опять в некоторых местах порубили,уже мелочи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Нет,но это не важно,так как у Бустера кричит АВ и не даёт записаться в Registry,но это,похоже,не мешает ему инсталлироваться до работоспособного состояния.Во всяком случае,он запускается.

А почему он не должен запускаться?

Что конкретно должна была увидеть, но не увидела, в нем проактивка?

А что должно было случиться при установке данных программ?.

Я ничего не имею против потратить не жалея денег в этой бласти и смотрю не на цену,а чья армия лучше,сам же понятия глубокого не имею,а ориентируюсь на то,что можно об некоем формировании найти.Нахожу вроде лушее,ставлю на все входы-выходы,при этом со всех сторон заявляют,что мы,мол,матёрые профи,даже на тех входах выпинываем,на которых другая охрана,если бы я её купил,даже не появляется.Тут мне вдруг,при всех хвалёных запретах и для моих глаз очень старающейся охране (спи спокойно,охраняем),прописываются в TEMP 2 трояна (похоже,они охрану в глаза не видели) и при разборке спрашивают меня:"А что ты,собственно говоря,от нас хотел-то?".С такой охраной мы говорим на разных языках.

Будет не лень,попробую что другое.Я ошибся в том,что об этой проактивке до этого понял,моя вина.То,что они её опять в некоторых местах порубили,уже мелочи.

Доступно и понятно.

Но лучше бы, imho, подкреплять примерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

При сканировании компа "просто так" нашёл я в TEMP-папке (не IE-папка) 2 троянов.Что ж,поудивлялся их попадению туда и стёр.Так как их файловый не задержал туда войти,значит,были на момент записи туда ещё не в базах.Настройками по дефаульту не пользуюсь.

Несколько дней позже был найден случайно доклад в модуле контроля целостности приложений (был как раз включен на разрешение всего для набора того,чему можно,а чему всё таки нельзя я стирать собрался) о том,что в этот день попала в разрешение какая-то новая *ехе'шка с десктопа другого пользователя.То есть,по ней щёлкали.Путь был написан,*ехе'шки не было.По моей памяти она попала в разрешение в то же время,когда появился один из троянов,так как время их возникновения я перед стиранием посмотрел.

Попробовал закрутить проактивку так,как её никто закручивать не будет и щёлкнул по тебе знакомым 3 *ехе'шкам.Удивлялся ещё больше,чем находке тех троянов,так как в данном случае надеялся на контроль целостности приложений,который по умолчанию (теоретически) не должен был дать никому двигаться,так как всё было для него "новый" файл,который автоматом должен попадать в запрет.Понял,что он очень дыряв.Если проводить аналогию,то равносильно жёсткому контролю полиции зарегестрированных граждан,которые всегда ходят с плакатом "зарегестрированный",а которые без плакатика ходят - свободны на любое действие.

Проактивка KIS'a не способна останавливать самый распространённый и простой способ "прописывания" вирусов через запускаемые на инсталляцию файлы.Есть и похитрее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×