Перейти к содержанию
Ummitium

NIS 2010 вопросы и неясности...

Recommended Posts

asdf

Видимо уважаемый Umnik в загуле по случаю выходных, поэтому выкладываю файлы для всеобщего обозрения http://depositfiles.com/ru/files/xqwu718kr как уже говорил это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

asdf

а можно куда-нибудь еще выложить архив? А то мне не дает скачать: "К сожалению, все слоты для Вашей страны исчерпаны. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

Очередной баян. Это msi, которые Norton не блокирует, просто выдает плохую репутацию и нет информации о цифровой подписи. Именно .msi не видит. Данную тему уже давно обсуждали в КЛС.

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

А я еще поставлю. Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Все подписано:

F:\Tools>F:\Tools\sigcheck.exe -u "F:\Downloads\Архивы\bad norton"

Sigcheck v1.70 - File version and signature viewer

Copyright © 2004-2010 Mark Russinovich

Sysinternals - www.sysinternals.com

No matching files were found.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Все подписано

Ну да, Norton же не видит цифровые подписи в .msi...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Ну да, Norton же не видит цифровые подписи в .msi...

А какие если не msi должны быть в установшике office :facepalm: , советую сперва подучить мат часть, а то трололо получается :lol:

Вопрос на засыпку чего ещё нортон не видит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
А какие если не msi должны быть в установшике office facepalm.gif , советую сперва подучить мат часть, а то трололо получается laugh.gif
Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

:facepalm: Norton блокирует файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Norton блокирует файлы?

Внимательно читаем выше.

Помимо прочтения матчасти советую ещё поупражняться во внимательности.

Мимоходом чтобы не выглядеть тупым жлобом минус за трололо из моей репы снять и в свою записать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Внимательно читаем выше.

Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

Читать тему видимо лень ;) поэтому советую сделать то же что и я по вашему же вчерашнему совету залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

Зачем? Инстальник офиса в .iso формате идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
asdf
Зачем? Инстальник офиса в .iso формате идет.

Мысль ниже

И тут важен сам принцип, а не горстка файлов. Уж если такие файлы попадают к нортону в немилость то какая судьба угатована менее именитым разработчиким, тысячи и даже десятки тысяч домохозяек могут качать только то что разрешит "великий и ужасный" Simantec

Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

На самом деле это все верно: тема даже поднималась на оф. форуме Симантека (и кажется не один раз), но её проигнорировали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А можно почитать обсуждение про игнорирование ЭЦП на msi? Я так понял, это уже обсуждали где-то ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Umnik

Обсуждалось не игнорирование ЭЦП на какой-то тип файлов, а неоднозначность вердикта "Bad" в File Insight. Приводились примеры, когда реальная зараза, имевшая статус Bad, блокировалась File Insight при скачке из инета, но благополучно запускалась с флэшки (с последующим заражением).

А где - надо искать на оф. форуме симантека, давно это было и безрезультатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я не знаю алгоритмы Симантека. Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

Нортон просто не видит цифровой подписи в файлах .msi

febfed939592.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

File Insight, по каким-то причинам не умеет читать подписи на .msi

На exe или dll такой проблемы не было бы.

Вопрос имхо в другом: каким образом легитимные файлы получают статус Bad?? И такое (Bad для хороших файлов) встречается, как по мне, слишком часто

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Кстати, в 2012 бете бага-фича с цифровыми подписями для MSI пофиксена:

FI_2012.jpg

post-4068-1303646393_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

Алерт будет в любом случае, но дальше вариант 3. И хорошо, что в 2012 исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
и такие файлы которым нортон даёт три зелёные палки

файлы покажите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Алерт будет в любом случае

Как он выглядит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Файл такой-то имеет репутацию такую-то. Вопросов пользователю не задаётся, ибо это просто информация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
    • PR55.RP55
      Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.    
    • PR55.RP55
      По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
    • demkd
      Дата создания копии видна в названии каталога, а последствия это проблема оператора, он должен сам понимать что он делает и зачем.
×