Перейти к содержанию
Ummitium

NIS 2010 вопросы и неясности...

Recommended Posts

asdf

Видимо уважаемый Umnik в загуле по случаю выходных, поэтому выкладываю файлы для всеобщего обозрения http://depositfiles.com/ru/files/xqwu718kr как уже говорил это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

asdf

а можно куда-нибудь еще выложить архив? А то мне не дает скачать: "К сожалению, все слоты для Вашей страны исчерпаны. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

Очередной баян. Это msi, которые Norton не блокирует, просто выдает плохую репутацию и нет информации о цифровой подписи. Именно .msi не видит. Данную тему уже давно обсуждали в КЛС.

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

А я еще поставлю. Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Все подписано:

F:\Tools>F:\Tools\sigcheck.exe -u "F:\Downloads\Архивы\bad norton"

Sigcheck v1.70 - File version and signature viewer

Copyright © 2004-2010 Mark Russinovich

Sysinternals - www.sysinternals.com

No matching files were found.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Все подписано

Ну да, Norton же не видит цифровые подписи в .msi...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Ну да, Norton же не видит цифровые подписи в .msi...

А какие если не msi должны быть в установшике office :facepalm: , советую сперва подучить мат часть, а то трололо получается :lol:

Вопрос на засыпку чего ещё нортон не видит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
А какие если не msi должны быть в установшике office facepalm.gif , советую сперва подучить мат часть, а то трололо получается laugh.gif
Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

:facepalm: Norton блокирует файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Norton блокирует файлы?

Внимательно читаем выше.

Помимо прочтения матчасти советую ещё поупражняться во внимательности.

Мимоходом чтобы не выглядеть тупым жлобом минус за трололо из моей репы снять и в свою записать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Внимательно читаем выше.

Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

Читать тему видимо лень ;) поэтому советую сделать то же что и я по вашему же вчерашнему совету залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

Зачем? Инстальник офиса в .iso формате идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Зачем? Инстальник офиса в .iso формате идет.

Мысль ниже

И тут важен сам принцип, а не горстка файлов. Уж если такие файлы попадают к нортону в немилость то какая судьба угатована менее именитым разработчиким, тысячи и даже десятки тысяч домохозяек могут качать только то что разрешит "великий и ужасный" Simantec

Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

На самом деле это все верно: тема даже поднималась на оф. форуме Симантека (и кажется не один раз), но её проигнорировали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А можно почитать обсуждение про игнорирование ЭЦП на msi? Я так понял, это уже обсуждали где-то ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Umnik

Обсуждалось не игнорирование ЭЦП на какой-то тип файлов, а неоднозначность вердикта "Bad" в File Insight. Приводились примеры, когда реальная зараза, имевшая статус Bad, блокировалась File Insight при скачке из инета, но благополучно запускалась с флэшки (с последующим заражением).

А где - надо искать на оф. форуме симантека, давно это было и безрезультатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я не знаю алгоритмы Симантека. Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

Нортон просто не видит цифровой подписи в файлах .msi

febfed939592.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

File Insight, по каким-то причинам не умеет читать подписи на .msi

На exe или dll такой проблемы не было бы.

Вопрос имхо в другом: каким образом легитимные файлы получают статус Bad?? И такое (Bad для хороших файлов) встречается, как по мне, слишком часто

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Кстати, в 2012 бете бага-фича с цифровыми подписями для MSI пофиксена:

FI_2012.jpg

post-4068-1303646393_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

Алерт будет в любом случае, но дальше вариант 3. И хорошо, что в 2012 исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
и такие файлы которым нортон даёт три зелёные палки

файлы покажите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Алерт будет в любом случае

Как он выглядит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Файл такой-то имеет репутацию такую-то. Вопросов пользователю не задаётся, ибо это просто информация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
    • PR55.RP55
      1) В uVS есть:  известные файлы. А если известный файл проявляет сетевую активность этому файлу не свойственную... т.е. это нужно обязательно учитывать. 2) Если сетевую активность проявляет файл с нестандартным расширением. 3) Файл на данный момент не проявляет сетевой активности... Но есть ли у него такая возможность в принципе ? по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )  
    • Momo
      На сколько я знаю, то по цене не очень то отличаются, даже там подороже будет. Это первое. И если телефон не б\у брать, а новый, то и у нас гарантия предоставляется, даже в интернет-магазинах. Я вот брал себе Iphone Xs https://gorbushka-market.ru/telefony/apple-iphone/iphone-xs/ и всё в норме. И телефон не китайская копия, а настоящий, и гарантия есть. Так что, не понимаю, зачем себе лишние проблемы создавать. 
    • Lavrans
      Не скажу, что я постоянный игрок,  но раз  в несколько месяцев могу сделать ставку,  особенно в период Олимпийских игр или футбольных  кубков. 
      Так вот,  у меня на телефоне есть такое приложение, https://otstavka.net/1xbet-app-android-ios/ через него обычное делаю ставки. А то искать рабочие зеркала или новых букмекеров нет времени никогда
×