Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Как обмануть Касперского
 
Установил пробную версию Касперского 7-ой версии.
После истечения срока решил переустановить, но он меня вычисляет.
Что можно сделать? Где хранится инфа которую нужно удалить?
Заранее благодарен
 
Цитата
Владимир Родыгин пишет:
Где хранится инфа которую нужно удалить?
В реестре.

Цитата
Владимир Родыгин пишет:
Что можно сделать?
Касперский, на мой взгляд, стоит копейки. Поэтому проше взять и купить его. 900 деревянных за год - это мелочи.
 
копейки копейками но к сожалению он не понимает что прога является вирусом если она даже банально пошифрована xor'ом и сделано несколько хитрых переадресаций. он уже теряется. практикак показывает что это так.
в принципе не так сложно на мой взгляд предотвратить вторжение вирусов в компьютер.
+ Пункт первый: читаем чаще рсс от милворм и секлаба чтобы быть в курсе уязвимостей и держать свой софт обновленным.
+ Пункт второй: иметь программу которая хватает процессы за шкирку перед запуском и мало того что останавливает его запуск но и в запросе: разрешить/запретить пытается сделать эвристический анализ(пошифрован ли файл, чтобы предупредить о потенциальной опасности), что в этом файле в импорте есть если он не пошифрован... При загрузке программы в память хватать ее на загрузке ws2_32 например или еще чего то потенциально опасного.
Например я не понимаю совершенно на кой черт программе которая всего лишь вызывает функцию ExitProcess(0) например загружать в память автоматически кучу других ненужных в ходе работы ей DLL. Кроме ntdll и kernel32 ничего не должно быть в моем примере.
+ Пункт третий: иметь программу мониторинга критически важных точек: автозапуск из реестра/файловой системы, не давать грузиться дискам и флешкам...
Только к сожалению чтобы делать правильный выбор при запросах нужно быть админом и иметь опыт. И я кстати не знаю таких программ =) Видимо потому что их просто нет.
Не мешало бы иметь подробный отчет об апишках которые юзает программа, на некоторые даже спрашивать(DeleteFileA, WriteFile).
Кстати я бы запретил вообще функцию SetFileTime, несколько троянов у меня было а я тогда ориентировался на дату модификации файла и долго не мог догнать в чем дело что прога не запускалась. Равно как и некоторые другие бесполезные но критически опасные функции API.
+ Ну и пункт 4: юзать фаервол. Исходить из принципа разрешить только самое критически необходимое, ОСТАЛЬНОЕ ЗАПРЕЩАТЬ а не наоборот как многие делают и в своих программах при фильтрации, откуда и берутся XSS и тп. Если у вас что то при этом не работает не спешите, сначала разберитесь что именно, ни в коем случае не отключайте всю защиту.

Может эта инфа будет полезной. Насчет пункта 2 и 3 если найдете хотя бы отдаленно похожее что то на такие программы киньте название. Насчет пунктов 1 и 4 я думаю каждый из здесь присутствующих может это осилить. =)
 
Владимир Родыгин,
RegMon и её аналоги тебе в помощь.
Вообще, весь реестр следует вычистить от отстатков Каспера - он там много чего после удаления оставляет, как я помню...
Ну, и почитайте о таких программах как DASPr и Registry Trash Keys Finder

[UfaNet]^ProxyMaster,
Уже видно проблески знаний, похвально! :)
Но в случае защиты от неизвестных угроз - лучше всё же работать в ограниченной учётной записи, а не под админом

Цитата
[UfaNet]^ProxyMaster пишет:
+ Пункт второй:
Цитата
[UfaNet]^ProxyMaster пишет:
+ Пункт третий:
[UfaNet]^ProxyMaster пишет:
+ Ну и пункт 4: [/QUOTE]]
Ага, вместо одной - иметь целую тонну программ и пытаться их подружить? Это экспидиция...

Цитата
[UfaNet]^ProxyMaster пишет:
что в этом файле в импорте есть если он не пошифрован...
Я вообще не особо разбираюсь в строении exe-файлов, но на сколько я помню, если в секции импорта всё будет зашифровано - никаких функций и не сможет файл импортировать при запуске

Цитата
[UfaNet]^ProxyMaster пишет:
автозапуск из реестра/файловой системы
Автозапуск из файловой системы? Это что ещё такое?

Цитата
[UfaNet]^ProxyMaster пишет:
Только к сожалению чтобы делать правильный выбор при запросах нужно быть админом и иметь опыт. И я кстати не знаю таких программ =) Видимо потому что их просто нет.
А какже проактивная защита Касперского и Аутпоста? Чем они по-вашему занимаются? По ходу, вы не очень-то хорошо разбирались в вункционале Касперского. А уже говорите о том, как его легко обмануть! Так что советую почитать о проактивной защите. Судя по всему, у вас тут большой пробел образовался в знаниях...
Цитата
[UfaNet]^ProxyMaster пишет:
откуда и берутся XSS
Поясните-ка: откуда берутся всякие XSS?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Владимир Родыгин,
если память не отшибает ключи лежат в этих ветках
Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC­\Certificates
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage
Плаха, тему говорит... лицензия не так уж много стоит
[UfaNet]^ProxyMaster, вам бы книги писать... да смайлики там расставлять... )))
Цитата
[UfaNet]^ProxyMaster пишет:
ошифрована xor'ом и сделано несколько хитрых переадресаций. он уже теряется. практикак показывает что это так
да вы что, эвристика у каспера работает на ура... сигнатуры упаковщиков и шифровщиков чуть ли не каждый день обновляются... так что это вы зря...
Цитата
[UfaNet]^ProxyMaster пишет:
Например я не понимаю совершенно на кой черт программе которая всего лишь вызывает функцию ExitProcess(0) например загружать в память автоматически кучу других ненужных в ходе работы ей DLL
большинство компиляторов высокого уровня, да еще и без должной настройки хватают пару тройку лишних dll'ок, не всем же на асме писать  ;)
Цитата
Shanker пишет:
Я вообще не особо разбираюсь в строении exe-файлов, но на сколько я помню, если в секции импорта всё будет зашифровано - никаких функций и не сможет файл импортировать при запуске
ну не совсем так... как правило, изначально вызывается дешифратор(распаковщик) и извлекает прогу в память... а оттуда уже кушает секцию импорта...
Цитата
Shanker пишет:
Поясните-ка: откуда берутся всякие XSS?
и я вот тоже не понял, причем здесь XSS  :o

в остальном поддерживаю Shanker
 
Цитата
.::Disel::. пишет:
а оттуда уже кушает секцию импорта...
А разве для того, чтоб извлечь дешифровщик не надо обращаться ни к каким WinAPI типа VirtualAlloc, CreateThread, HeapAlloc, HeapCreate?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
А разве для того, чтоб извлечь дешифровщик не надо обращаться ни к каким WinAPI типа VirtualAlloc, CreateThread, HeapAlloc, HeapCreate?
по сути код дешифровщика полностью, включая таблицу иморта хранится в шифрованном файле... большинсто api функций для нахождения адреса таблицы полно в win приложениях... и их адрес несложно найти в памяти...
 
Цитата
[UfaNet]^ProxyMaster пишет:
не давать грузиться дискам и флешкам...
В WinXP есть ключ в реестре, в котором можно задать значения для запрета автозапуска с флешек
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
.::Disel::. пишет:
большинсто api функций для нахождения адреса таблицы полно в win приложениях... и их адрес несложно найти в памяти...
Ни разу не видел шифровщиков/упаковщиков, которые в секции импорта имели только зашифрованные данные без импорта WinAPI-функций... Тем более, что в каждой системе адреса разные и статически их прописывать некльзя, на сколько я помню...
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
Ни разу не видел шифровщиков/упаковщиков, которые в секции импорта имели только зашифрованные данные без импорта WinAPI-функций
хм... я такого не говорил)))
при паковке/шифровке изменяется таблица импорта... основные функции для загрузки библиотек LoadLibraryA и нахождения адресов GetProcAddress, остаются... +
Цитата
VirtualAlloc, CreateThread, HeapAlloc, HeapCreate
в зависимости от типа паковщика/шифратора...
мы друг друга не поняли... я имел ввиду что таблица импорта самого приложения хранится в зашифрованном виде... а таблица упаковщика само собой должна присутствовать)))
 
Теперь мы поняли друг друга :)
И я предполагал, что именно так всё и выглядит ;)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
.::Disel::.
Цитата

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertif­icates\SP­C\Certificates
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorag­e

мне кажеться это не все,
по крайней мере, были некоторые эксперменты с серверным каспером 6, "сбивание" этих ключкиков не помагало заиметь еще триал ;-)

p.s. больше времени не разбирался, что еще пишет этот каспер.
 
Смысла "обманывать" программу не вижу. При всём моём уважении лично к её автору как к специалисту (мы когда-то работали на соседних факультетах МГУ), программу пишут явно его студенты. И как антивирусный инструмент она абсолютно не эффективна. Потому я с ней предпочитаю не работать, а заменять её на другие инструменты: Symantec AntiVirus Corporate Edition, McAfee Visrus Scan, ClamAV. И комбинировать их так как требуется в данном конкретном случае. Естественно, что я не упущу возможности использовать и аппаратные средства если такое решение оправдано. О брандмауэрах можно и не напоминать - это само собой разумеется.
 
Наверное надо удалять программу, удалять ключи, а потом заново ставить.
 
Хм... Помоему если просто удалить папку касперского , после чего чего взять Ccleaner , дать на проверку реестры и сделать очистку в принципе должно пойти. На Авасте пробывал и сработало... Можно попробывать и на Касперском.

:D Или переустановить Винду
 
Цитата

Хм... Помоему если просто удалить папку касперского , после чего чего взять Ccleaner , дать на проверку реестры и сделать очистку в принципе должно пойти. На Авасте пробывал и сработало... Можно попробывать и на Касперском.
Александр Москалюк, не катит,
ключики, что я указал обычно "Ccleaner" не убивают,
тут с роботизироваными очистителями не обойтись,
руками чистить надо, в большинсве случаев пройдет

Цитата

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertif­­icates\S­PC\Certificates
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorag­­e
 
AlphaM AlphaMM Век живу век учусь.... ;)
Страницы: 1
Читают тему