Самозащита Avira 9. - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
но при этом можно отключить автоматическую загрузку всех сервисов Avira и после перезагрузки программа полностью выходит из строя.

Ingener, если у вас здесь стоят галочки, отключить службы Авиры нельзя, а порядок загрузки изменить можно только вручную. Вирус этого не сделает. (по крайней мере это подразумевается).

a957abcebe6e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Мне например с трудом верится,что это помогает,т.к. известно,что вирусы модернизируются,т.е. в конце может получится так,что отключить смогут,а потом вообще снести.Хотя,было бы неплохо потестить антивирус с теми вирусами,которые его раньше вырубали.Вот тогда уже можно твёрдо сказать,что защита антивируса работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
,было бы неплохо потестить антивирус с теми вирусами,которые его раньше вырубали.

Не слышал и не встречал такого. за последние годы вообще не встречал случая, чтобы вирус отключал антивирь. Экзотика какая-то. Эта проблема, имхо, преувеличена. Самозащита - это, скорее, не от вирусов, а от юзера.)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Не слышал и не встречал такого. за последние годы вообще не встречал случая, чтобы вирус отключал антивирь. Экзотика какая-то. Эта проблема, имхо, преувеличена. Самозащита - это, скорее, не от вирусов, а от юзера.)))

Разделяю вашу 'скептическую' точку зрения. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Предлагаю чаще читать больше заниматься реверсингом того, что попадает в руки + самому искать их в диком виде + интересоваться дорогостоящими проектами с ценой билда от 300$ - в последних можно увидеть интересные моменты.

Если брать малварь с обходом фаерволов (обход тупо антивируса это 30$ на криптор раскошелится - сигнатуры и эвристики обходить что бы, а эмулятор - это вообще тема большая и к крипторам отношения не имеет), то получим, что примерно 90% обходят фаер именно "убийством" антивирусного комплекса. Убийство может быть явное, а может быть скрытое - снятие определенных хуков.

Поэтому говорить, что самозащита это лажа не стоит - именно она становится слабым местом "если что".

Убийство может быть универсальным - т.е работает против нескольких АВ-продуктов (юзает какую-то фичу...) или целенаправленным против одного или пары ав-комплексов. Также иногда встречаются эксплоиты против конкретных ав-продуктов.

А экзотика именно по обходу фаерволов - это именно экзотика - процент таких адварей очень мал.

+ не ясно кто мешает повторить некоторые моменты эти тестов:

http://www.anti-malware.ru/self_protection_2009

Там все открыто и ясно написано.

Берем, тестим, отписываемся...

А просто рассуждать о том "была ли у муллы голова" - смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Не слышал и не встречал такого. за последние годы вообще не встречал случая, чтобы вирус отключал антивирь. Экзотика какая-то. Эта проблема, имхо, преувеличена. Самозащита - это, скорее, не от вирусов, а от юзера.)))

Я часто имею дело с вирусами, которые вырубают антивирусы.. Было и с Dr.Web 4.44, ESET SS 3 и KAV 7.. Лечил в основном CureIt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ну, при желании найти-то можно все, не спорю. Я имел в виду свой опыт за последние годы - стояло в разное время где-то с десяток разных антивирей за 5 лет, причем 2 последних года - Авира. При задействованных антивирусах заражения не произошло ни разу (по крайней мере, никаких признаков этого замечено не было). Реальных зловредов задетектилось и отловилось, наверное, сотни полторы-две - трояны, бэкдоры, эксплоиты. Отключения антивиря, а тем более его полного убийства, не происходило ни разу. + на форумах, где бывал, подобных случаев не разбиралось. Вот отсюда и вывод об экзотической редкости данной вещи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Предлагаю чаще читать больше заниматься реверсингом того, что попадает в руки + самому искать их в диком виде + интересоваться дорогостоящими проектами с ценой билда от 300$ - в последних можно увидеть интересные моменты.

А не проще ли просто признаться в том, что если юзер сидит в режиме админа, что Game Over когда такой зловред успеет устанавливаться? Вот этому я научился реверсингом. Понятно, что HIPS некоторые трюки знает, но это не спасает если атака действительно заточена против определённого продукта. Хакеры тоже тестируют, и они тестируют именно на настройках, которые, скорее всего, будут у всех...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А не проще ли просто признаться в том, что если юзер сидит в режиме админа, что Game Over когда такой зловред успеет устанавливаться?

ну это и так всем ясно, но тем не менее все затачивается под юзера, сидящего под админом.

поэтому вендоры вынуждены крутится и дорабатывать и фаерволы и хипсы и замозащиты.

Понятно, что HIPS некоторые трюки знает, но это не спасает если атака действительно заточена против определённого продукта. Хакеры тоже тестируют, и они тестируют именно на настройках, которые, скорее всего, будут у всех...

да я вообще не говорил про него...

а то, что тестируют - это ясно. не вслепую же кодят)))

а смысл мого поста выше был не в том, что бы начать войну цифр и процентов, а в том, что бы предметно обсудить какова самозащита в новой версии Авиры раз уж про это речь зашла :)

ТС вообще очень туманно выражается о том как и что он в системе делал... поэтому нужно ждать уточнений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Ingener

Пользователь вправе это делать вручную - это о качестве защиты против зловредных процессов НИЧЕГО не говорит.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

попробуйте через батник тормознуть ее сервисы или удалить - через команды к cmd (sc).

если выйдет - напишите этот батник сюда, я его перепишу уже в полноценный ехе-шник. потестим.

если я не ошибаюсь (давно это было) то анвир таск менеджер работает из юзермода. а как следствие этого тормозить и удалять сервисы должен через scmanager, поэтому такое должно получится и из батника, если авира, конечно, намеренно не дает себя тормозить знакомым приложениям...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Пояснение по поводу отключения сервисов Авиры:

1. Сижу я в режиме админа (знаю что это не есть гуд).

2. Беру программу AnVir Task Manager - перехожу на вкладку сервисы, ищу все авировские и жму удалить или можно просто изменить тип запуска на отключено.

3. Firewall умирает ещё до перезагрузки, а остальные модули после неё.

Не знаю, как вам это удается... вот что у меня получается из-под того же админа через Анвир ентот:

1. Пытаюсь остановить -

bc38878d5364.png

2. Пытаюсь удалить -

5634b5e22445.png

Правда, у меня не комбайн, а Антивир Премиум, но разницы не должно быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

В разделе Помогите на ВИ были такие случаи,когда вирусы вырубали антивирус,т.е. вырубали или ещё хуже удаляли его.

Меня например интересует такой же расклад с 9 версией.Я бы пару таких вирусов,которые именно Авиру вырубают попросил на ВТ или ВИ и потестил.Тогда мы и можем вынести вердикт правильный и точный.

Если этот тест Авира пройдёт на предмет отключения или удаления,тогда можно сказать,что защита окрепла,улучшилась.Меня интересует такое развитие событий

1. Отключения Авиры

2. Удаление Авиры

3. Отключение и удаление Авиры

Второй пункт я имел ввиду,без отключения Авиры попытка удалить Авиру.Если Авира пройдёт все 3 пункта,значит можно говорить,что защита улучшилась.

UPD: Забыл!Провести попытку отключения ВебГварда,Гварда,ну и на крайняк сканера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
1. Отключения Авиры

2. Удаление Авиры

3. Отключение и удаление Авиры

Второй пункт я имел ввиду,без отключения Авиры попытка удалить Авиру.Если Авира пройдёт все 3 пункта,значит можно говорить,что защита улучшилась.

по сути не важно что делать - главное - способы. назовите какими способами и я смогу или подобрать под них itw-образец или сам напишу...

хотя интуиция мне подсказывает, что хорошую долю истины несет 14-й пост этой темы с двумя скринами... - просто отрубание через sc - это ну уж совсем примитивизм и авира должна от этого защищаться. вероятно у ТС или странная версия, или странные настройки, или тут нечно необъяснимое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Я написал,а какими способами всё это провернуть,то я затрудняюсь сказать.А если файлы эти переименовать с припиской _old и попробывать удалить.Ключ таким образом сразу удаляется,а как с самими файлами,вопрос.

UPD: Я тут подумал.Если вирусный файл переименовать под конкретный файл Авиры или несколько и попробывать заменить.

Отредактировал 3TE116

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Справедливости ради следует сказать, что Ingener писал:

3. Firewall умирает ещё до перезагрузки, а остальные модули после неё.

Я перезагрузки не делал, но не думаю, что после нее сервисы отрубятся. Просто попытка остановить иди удалить их закончилась неудачей. А перевести их из "авто" в "отключено" вручную из окна "службы" вполне возможно. Это в порядке пояснения.

Может у вас другая версия - у меня AnVir Task Manager 4.9.1.

У меня 5.5.1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Я тут подумал.Если вирусный файл переименовать под конкретный файл Авиры или несколько и попробывать заменить.Какая будет реакция на подмену нескольких?

На свой страх и риск попробывал переименовать с припиской _old - получилось,а удалять не решился.Пробывал ВебГвард.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
На свой страх и риск попробывал переименовать с припиской _old - получилось

И как у вас все это получается?confused.gifconfused.gifconfused.gif

b8ff7fd86434.png

43fee075a741.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Я пробывал менять тот,что с красным зонтиком и у меня получилось,но я не пробывал удалять,вернул всё обратно,как было.С другими тоже самое.

В итоге я думаю,что и удалить получится.Я так понимаю,что в процессе висит - это одно,а вот сам файл,тут уже совсем иной поворот событий.

UPD 1: А если вирусному файлу дать оригинальное название того файла которому добавили приписку _old и попробывать его впихнуть туда,интересно,что тогда будет?

UPD 2: У родителей стоит бесплатный.Машинально,я ключ переименовал и удалил.В другой теме я писал о проблеме,но если с переименованием и удалением всё так просто,то...Если ещё avconfig с ним такое провернуть и получится,тогда Титаник!

Отредактировал 3TE116

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Я пробывал менять тот,что с красным зонтиком и у меня получилось,

Ну, во-первых, я тоже пытался переименовать тот, что с красным зонтиком :rolleyes: (см. второй скрин), а во-вторых, это ну никак не получится, и даже не из-за защиты, а просто потому даже, что вебгвард запущен и работает. Попробуйте запустить любой экзешник или просто открыть любой файл, и попытайтесь его переименовать. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Переименовал - получилось,успешно.

Config.JPG

post-4483-1241385237.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Я думаю, она у вас просто выключена.

c85ca65080f6.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×