سلام علیکمنقل قول:
اگر فرصت کردم به روی چشم.... چون مجدد باید ESET نصب کنم.
Printable View
سلام علیکمنقل قول:
اگر فرصت کردم به روی چشم.... چون مجدد باید ESET نصب کنم.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]نقل قول:
در این آدرس هم اسکرین شات اینترفیس جدید هس و هم لینک اصلی دانلود:n16:
در مورد تست eset بنظرم بهتره بعد از آومدن نسخه 9 انجام بشه
@Jadda
در ضمن خود تولید کنندش یه انمن داره که اگه اونجا هم گفته شه
فکر کنم نتیجه بخشه و تاثیر داشته باشه چون هدفتون اطلاع و رفعش هس نه تخریب
حتی چن وقت پیش به کسانی که باگ یا پیشنهاد خوبی رو اطلاع میدادن سریال یه ساله میداد این یعنی خودشون هم استقبال میکنن
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:نقل قول:
در ارتباط با این kill proceess مشکوک : بنده هم فیلم رو بازبینی کردم و هم برنامه رو تست کردم . یه نگاهی کنید می بینین برنامه نویس این ابزار متد هارو پایین پنجره ی ابزار نوشته که مربوط به C++ هستش . برای مثال برای گزینه ی دوم پیغام wm_close به پنجره فرستاده میشه که از پنجره خواسته میشه بسته بشه . مشابه دستورش یه ابزاری در ویندوز هستش چنین کاری رو می کنه :
و دستور بعدی Wm_quit که به پنجره میگه باید بسته بشه .کد:taskkill /PID [PID]
به هر حال معجزه ای در کار نیست ، و این ابزار داره روش های معمول برای ارسال پیغام بسته شدن پنجره رو به محصول امنیتی میفرسته . اما نکته اینجاست که چرا Eset داره به این پیعام ها در سطح دسترسی پایین پاسخ میده . به هرحال ، برخی محصولات امنیتی نیز مشابه Eset به این پیغام ها پاسخ میدن ، اما نه در سطح دسترسی پایین بلکه Administrator .
------------------------------
نکته ای که به نظرم عجیب اومد ، اینکه دوستان بسته شدن پنجره ی Eset رو به Self Defense مربوط دونستن ، که به نظرم تقریبا اشتباه هستش . Self Defence وظیفه ی مراقبت از پنجره ی اصلی نرم افزار رو در برابر بسته شدن ناگهانی نداره ! بلکه وظیفه ی مراقبت از برخی ابزارهای حیاتی ( مثل فایل ها و یا تنظیمات در Registry ) رو بر عهده داره .
به هر حال پنجره ی هر محصول امنیتی بنا به دلایلی بسته بشه ( ایراد نرم افزاری ، بسته شدن توسط کاربر و ... ) و در این موقع رایانه در برابر بد افزارها آسیب پذیر میشه . اما نکته ای که مد نظر هستش اینه که نباید اتفاقی برای محصول امنیتی بیفته که باعث بشه محصول امنیتی مجددا راه اندازی بشه و این وظیفه ی Self Defence هستش .
الان به نظر میاد دوستان اینطور برداشت کردن که خوب الان Egui بسته شد پس Self defence هم از کار افتاد و هر بلایی ممکنه سر رایانه در بیاد . اما اینطور نیست و وظیفه ی self defence بر عهده ی egui نیست . بلکه پروسه و سرویسی که بر اعمال Self Defence نظارت داره ekrn هستش . در واقع ekrn هستش که در زمان بسته بودن Eset نظارت رو بر Self Defence در هنگام بسته شدن Egui بر عهده داره و این پروسه و سرویس در هنگام بسته شدن Egui همچنان باز میمونه ( مشابه این کار در سایر محصولات امنیتی نیز انجام میشه )
الان Jadda با این ابزار پنجره ی محصول امنیتی رو بستند . اما بهتر بود یه سری تست های دیگه هم انجام می دادند :
1 - اینکه در هنگام فعالیت Self Defence آیا اعمال تغییرات در برخی تنظیمات حیاتی در Registry مربوط به Eset ممکن هستش ؟
2 - آیا قابلیت حذف فایل های حیاتی Eet ممکن هستش ؟
3 - و یه نکته ی دیگه . Ekrn بنابر تنظیماتش به راحتی قابل بسته شدن و یا توقف سرویس نیست ( دستور sc query ekrn به ما نشون میده که این سرویس non stoppable و non pausable هستش ، لذا تنها راه توقف سرویس اینه که تنظیمات مربوط به اجرای سرویس در هنگام بوت ویندوز رو حذف کنیم و رایانه رو مجددا راه اندازی کنیم . همچنین در صورت بسته شدن ekrn خودش رو مجددا بارگذاری می کنه ) آیا به نظرتون راهی پیدا میشه که ekrn بدون حذف تنظیمات مربوط به راه اندازی سرویس و Restart محدد سیستم از کار بیفته و مجددا خودش رو بارگذاری نکنه ؟
این تعریف رو کدم کارشناس امنیتی ارائه کرده؟ تعریف شخصی خودتون هست؟ اگر نه منبع این تئوری رو ذکر میکنید؟نقل قول:
مثال: مخربی به سیستم حمله کرده و شما قصد دارید یک تغییر در محصول امنیتون بدید، چطور میخواهید این کاروانجام بدید؟ GUI وجود نداره.... شما مرکز فرماندهی را در جنگ از دست میدید؛ حفظ این مرکز فرماندهی درست زمانیکه مخرب حمله کرده، بر عهده کیه؟؟
در مورد خط قرمز: شما یک GUI میبیند ، درحالیکه پشتش یک پروسه فعال قرار داره.... پاسخ به این سوال نباید سخت باشه: چرا محصول امنیتی اجزاه میده پروسه فعالش قطع بشه؟... قطعا ایراد هست... اصلا شک نکنید.
نقل قول:
به هر حال پنجره ی هر محصول امنیتی بنا به دلایلی بسته بشه ( ایراد نرم افزاری ، بسته شدن توسط کاربر و ... ) و در این موقع رایانه در برابر بد افزارها آسیب پذیر میشه . اما نکته ای که مد نظر هستش اینه کهنباید اتفاقی برای محصول امنیتی بیفته که باعث بشه محصول امنیتی مجددا راه اندازی بشه و این وظیفه ی Self Defence هستش .
کاملا دارین وظایف Self-Defence را بد تعریف میکنید.... یا درستر محدودش میکنید..... وقتی پروسه قطع میشه و تا راه اندازی مجددش.... یک بازه زمانی هست که مخرب میتونه در این فاصله کارشو انجام بده!نقل قول:
همچنین در صورت بسته شدن ekrn خودش رو مجددا بارگذاری می کنه ) آیا به نظرتون راهی پیدا میشه که ekrn بدون حذف تنظیمات مربوط به راه اندازی سرویس و Restart محدد سیستم از کار بیفته و مجددا خودش رو بارگذاری نکنه ؟
=======
ایده بنیادی و اساسی تمام محصولات امنیتی:
1- محصول امنیتی نباید اجازه بده پروسه های فعالش قطع بشه 2- محصول امنیتی نباید اجازه بده هیچ پروسه فعال سیستمی و سایر نرم افزارها قطع بشه...... <<=هر ایده امینتی خلاف این اشتباه است.
من نمیدونم با چه طرز تفکری میشه این دو اصل را زیر سوال برد!....
و اینکه هر اتفاقی در سیستم (ویندوز) میفته فقط و فقط شامل یکسری دستورات هست.... یکسری دستورات ساده که بکن ونکن و بشه و نشه است<- این یعنی ویندوز.... دنبال مسائل ماورایی که نباید باشیم. بسته شدن یک پروسه پشتش یکسری دستورات/پیغامهای ساده قرار داره، نه بیشتر....حتی تمام خرابکاریرهای که توسط مخربها روی سیستم انجام میدن معقول هست... از قفل کردن فایلها تا حذف فایلها تا تغییرات در رجیستری تا ثبت در استارتاپ تا تغییر DNS تا قطع پروسه های آنتی ویروس.... حملات دارای سازوکارهای معقول هستند.... یکسری پیغامها!
نقل قول:
اولا یک عقب نشینی نسبت به اون خط قرمزی که گفتین : بله ممکنه اشتباه بود اما نه کاملا . از وظایف Self Defence می تونه جلوگیری از بسته شدن آنتی ویروس هم باشه ( این قسمتی که ایراد داشت بود ) اما تنها وظیفش این نیست و باید از فایل ها و تنظیمات حیاتی آنتی ویروس نیز محافظت بشه ( حداقل این [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از Self Defence هستش . البته با توجه به بررسی رفتار Eset فعالیت Self Defense مشابه تعریف قبلی بنده هستش ) . مسلما پروسه ی اصلی ( همونی که فکر می کنین بنده GUI می بینم و کاربر باهاش تعامل داره) نمی تونه چنین وظیفه ای رو انجام بده ، به دلیل اینکه این پروسه برای تعامل با کاربر نیاز هستش که تحت یوزر فعلی کاربر اجرا بشه . Self Defense باید در تمامی حالات از محصول امنیتی مراقبت کنه و این امر توسط یک پروسه با سطح دسترسی یوزری که قابلیت Logon/logoff داره امکانپذیر نیست ( چون در صورت خروچ کاربر ، محصول امنیتی به صورت کامل از کار می افته اما بد افزار ها می تونن تحت دسترسی سایر کاربران ، حتی کاربر SYSTEM ، نیز فعالیت کنند )
بنده منظور شما رو از یک پروسه ی فعال که پررنگ هم نوشته شده متوجه نمیشم .نقل قول:
در مورد خط قرمز: شما یک GUI میبیند ، درحالیکه پشتش یک پروسه فعال قرار داره....
بزارین جملتون رو اصلاح کنم : کاربر یک GUI می بینه ، در حالی که پروسه ی مربوط به رابط GUI یک پروسه ی در حال اجرا تحت یوزر فعلی کاربر هستش و سایر پروسه های مربوط به محصول امنیتی تحت یوزر SYSTEM اجرا میشن .
---------------------------------------------
اما این بخش صحبت هاتون :
در واقع باید بگیم ایده ی بنیادی و اساسی از دید شما !نقل قول:
ایده بنیادی و اساسی تمام محصولات امنیتی:
1- محصول امنیتی نباید اجازه بده پروسه های فعالش قطع بشه 2- محصول امنیتی نباید اجازه بده هیچ پروسه فعال سیستمی و سایر نرم افزارها قطع بشه...... <<=هر ایده امینتی خلاف این اشتباه است.
من نمیدونم با چه طرز تفکری میشه این دو اصل را زیر سوال برد!....
اگر قرار نبود بسته شه پس چرا گزینه ی بسته شدن پروسه در تمامی محصولات امنیتی وجود داره ؟! طبق این اصل شما باید چنین گزینه ای اصلا توی محصولات امنیتی وجود نداشته باشه ولی وجود داره .
حداقل بهتر بود اینگونه تعریف می کردین که : "محصول امنیتی نباید اجازه بده پروسه های فعالش توسط سایر برنامه ها قطع بشه " که اینم اشتباهه !
برای مثال نقض بنده سطح دسترسی های کاربران مختلف رو در یک محصول امنیتی در عکس های زیر برای شما اوردم :
( اینکه چرا comodo انتخاب شد ، دلیلش تخریب Comodo نبوده ! چون از نظر Jadda محصول Eset ایراد امنیتی داشته ، مجبور بودم یک محصول امنیتی دیگه رو انتخاب کنم ، تصمیم گرفتم یک محصول بی طرف یعنی Kaspersky رو انتخاب کنم گفتم ممکنه برخی دوستان بیان حاشیه سازی کنند ، به این نتیجه رسیدم همون comodo انتخاب شه بهتره نه حاشیه ای ایجاد می شه و ضمنا Jadda متوجه میشه که شاید این ایدش اشتباه بوده )
محتوای مخفی: !
همونطور که دیدین Comodo برای پروسه های Cis و Cistray به کاربر با سطح دسترسی پایین دسترسی Terminate کردن پروسه هاشو داده ( مشابه Eset و پروسه ی Egui. برای تست بسته شدن می تونین از Process hacker استفاده کنین ، البته شاید برخی دوستان با Process Explorer هم جواب بگیرن که بنده Process hacker رو به دلیل متن باز بودن و قابلیت های بیشتر انتخاب کردم ) . پس تحت شرایطی یک نرم افزار تحت اجرای کاربر با سطح دسترسی پایین می تونه بخشی از این دو محصول ( comodo و Eset ) رو از کار بندازه.
محصولی مثل Kaspersky چنین اجازه ای رو به کاربر با سطح دسترسی پایین نمیده و برای بستن حتما باید کاربر سطح دسترسی بالا ( Administrator ) داشته باشه . ( Kaspersky در صورتی که Self Defence فعال باشه و پروسه هاش توسط برنامه ی دیگه ای بسته بشن فورا اونارو بارگزاری مجدد می کنه ) محصولات مختلف بنا بر طراحی سازندگانشون رفتار های متفاوتی رو در برابر سطوج مختلف کاربری نشون میدن
ضمنا محصولات امنیتی برای کاربران مختلف و گروههای مختلف سطح دسترسی های مختلف تعیین می کنند ، به عنوان مثال ممکنه برخی سطح دسترسی رو به کاربر SYSTEM بدن و از سایر کاربران بگیرن ، و حتی ممکنه برخی سطح دسترسی هارو از کاربر SYSTEM بگیرن و به سایر کاربران بدن !
در ارتباط با اون اصل دوم نیز که با توجه به وضعیت اصل اول نیاز به توضیح در ارتباط با اشتباه بودنش نیست .
به هر حال ، شما گفتین با چه طرز تفکری این اصل زیر سوال میره ، در جواب باید بگم که با توجه به مورد بالا ، ظاهرا اصول بد تعریف شدند !
--------------------------------------------------------------
بنده هم قبول دارم که وقتی پروسه ی آنتی ویروس از کار افتاد ، مخرب می تونه خیلی کارها بکنه .نقل قول:
کاملا دارین وظایف Self-Defence را بد تعریف میکنید.... یا درستر محدودش میکنید..... وقتی پروسه قطع میشه و تا راه اندازی مجددش.... یک بازه زمانی هست که مخرب میتونه در این فاصله کارشو انجام بده!
اما مخرب نباید دقیقا یک کاری رو انجام بده : اتفاقی برای محصول امنیتی بیفته که نتونه مجددا بارگزاری بشه ( چون در اینصورت احتمال شناسایی بد افزار وجود داره و انجام وظایف بد افزار در دفعات بعدی غیر ممکن میشه) ، و این یکی از وظایف Self Defense هستش . و این نکته ی مد نظر بنده و یکی از تعاریف Self Defence ( حداقل از نظر Kaspersky در همون صفحه ای که لینک دادم ) هستش . این نکته توی Eset رعایت شده : پروسه ی Ekrn کاملا مراقب اوضاع هستش تا برخی دستکاری ها که منجر به عدم احرای محصول امنیتی در دفعاتی بعدی هستش انجام نشه .
عرض سلام و خسته نباشید خدمت دوستان،
نقل قول:
نکته ای که به نظرم عجیب اومد ، اینکه دوستان بسته شدن پنجره ی Eset رو به Self Defense مربوط دونستن ، که به نظرم تقریبا اشتباه هستش . Self Defence وظیفه ی مراقبت از پنجره ی اصلی نرم افزار رو در برابر بسته شدن ناگهانی نداره
خب، ابتدا تشکر بابت اینکه اون ایده اشتباه اصلاح شد.... بازم میگم من اینجا اصلا با پنجره کاری ندارم! من چیزی که میبینم یک پروسه فعال است.نقل قول:
اولا یک عقب نشینی نسبت به اون خط قرمزی که گفتین : بله ممکنه اشتباه بود اما نه کاملا . از وظایف Self Defence می تونه جلوگیری از بسته شدن آنتی ویروس هم باشه ( این قسمتی که ایراد داشت بود )
بعد اینکه قطع شدن یک پروسه فعال آنتی، واسه من ایراد هست...... به جرات میتونم بگم توی این سالهای فعالیتم.... این اولین بار بود که قطع پروسه یک آنتی ویروس را امری طبیعی بدونیم..... بنابراین وقتی میخوام در این باره صحبت بکنم حس میکنم درحال اثبات روز بودن روز انجام میدم!
بحث بسیار روشن هست:
چرا محصول امنیتی اجازه میده پروسه فعالش قطع بشه؟....
با توجه به لینکی که از کسپر قرار دادید، که در واقع محصول امنیتی اجازه این کار رو نمیده:
نقل قول:
- termination of Kaspersky Anti-Virus processes
بسیار خب، حالا شما اومدین و این قابلیت که در آنتی ویروس هاست تا کاربر با اختیار خودش محصول امنیتی را Exit بکنه( که طبیعتا سطح دسترسی های متناسبی برای این امر برای اون پروسه تعریف شذه- آنچه که شما در مثالهاتون آوردید و سطح دسترسیها را با عکس نشون دادید) را باقطع پروسه آنتی ویروس با یک پروسه ناامن دیگری برابر میکنید.....
در رابطه با اون دو اصل هم دارید اشتباه فکر میکنید!
دقیقا برداشت اشتباه در مورد اون دو اصل دارید..... اینکه کاربر بتونه محصول امنیتی را Exit بکنه - که قطعا دسترسیهای لازم قبلا توسط اون آنتی برای اون پروسه خاص برای کاربر تعریف شده با قطع همون پروسه با یک پروسه ناامن دیگر متفاوت هست..... آیا مخربها نمیتونن این مورد را شبیه سازی بکنن؟.... اگر بتونن حدقل ESET بهش پاسخ مثبت میده.... و این نکته اون جمله ای بود که من خطاب به دوست عزیزم آقا حمید عرض کردم برای ESET تشخیص مهم است....نقل قول:
اگر قرار نبود بسته شه پس چرا گزینه ی بسته شدن پروسه در تمامی محصولات امنیتی وجود داره ؟! طبق این اصل شما باید چنین گزینه ای اصلا توی محصولات امنیتی وجود نداشته باشه ولی وجود داره .
معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!نقل قول:
نه، به همین راحتیها هم نیست.... چون یک لایه دیگر قبل از Self-defense و HIPS وجود داره و اون لایه: تشخیص ، است.
اخیرا تستهایی در این باره با کومودو نداشتم... اما تا جایی که یادم میاد، اتفاقا کومودو اجازه دسترسی هیچ پروسه ای رو به پروسه های خودش را نمیده.... بعدا سر فرصت عملا این مورد را با تست بهتون نشون میدم.... اگر غیر از این باشه ایراد هست (مخصوصا در رابطه با پروسه های ناامن).
بهتره در ارتباط با این جمله های شما
بگم که بسیار عجولانه برداشت کردین .نقل قول:
معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!
permission هایی که خود هر نرم افزار معرفی کرده بخشی از پازل هستند ، اما این پازل دو تکه ی گم شده ی دیگه هم داره .
بخش دوم Token ها : همانند cookie های مرورگر عمل می کنند و حاوی برخی سطح دسترسی ها برای برنامه ها هستند . معمولا برنامه این token هارو از سطح دسترسی های تعیین شده توسط گروه کاربری تعیین می کنه . ویندوز طبق این token ها به برنامه اجازه میده که با سایر پروسه ها تعامل داشته باشند
و بخش سوم Command مربوط به خروج نرم افزار : که مهمترین بخش هستش. مسلما هر دستوری در این شرایط کار نمی کنه ، همانطور هم که قبلا گفتم ، در تست شماره ی 3 در ویدیوی شما از ارسال پیغام Post_quit توسط تابع Postquitmessage به پروسه ی مورد نظر استفاده شده . زمانی که این دستور به پروسه ارسال بشه ، پروسه مجبور به بسته شدن میشه
-----------------
به هر حال ، قطعه ی اول پازل یعنی Permission ها دست پروسه ی محصول امنیتی هستش و دو قطعه ی دیگه دست شما . شما شرایط رو فراهم کردین و محصول امنیتی هم "نه" نگفت . اما فورا نتیجه گرفتین که ایراد از سمت محصول امنیتی هستش . بنده نمی دونم اون فایل خودتون رو روی چند محصول امنیتی دیگه تست کردین . اما بنده با Process hacker و سطح دسترسی Administrator ( دسترسی Full token ) در هر 5 محصولی ( Kaskersky , Eset , Norton , Panda , Zonealarm ) که تست کردم ، پروسه ی هر 5 محصول بسته شدند ! پس اگر با این تئوری شما پیش بریم :
معنیش این میشه که اگر مخربی از این دسترسی سوء استفاده بکنه و اون رو شبیه سازی بکنه و این 5 محصول مخرب رو تشخیص ندند اتفاقی که میافته اینه که این 5 محصول بهش پاسخ مثبت میدن ! ( البته Kaspersky فورا پروسه اش رو ریلود میکرد ، اما طبق تئوری شما میشه برای ریلود شدن پشت سر هم Kaspersky هم یه فکری کرد ! )نقل قول:
معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!
بنده این نتیجه گیری شما رو به شدت عجولانه می بینم . حداقل می تونستین بسته شدن پروسه های این محصول ( یا محصولات ) رو با ابزار های محتلف ( و نه یه ابزار چون ممکنه اون یک ابزار دارای برخی محدودیت ها و یا ایراداتی نسبت به سایر ابزار ها باشه ، بلکه با ابزارهای بیشتر مثل Process explorer و Process hacker ) و متد های مختلف ( با اون ابزار شما 6 متد برای بستن پروسه در اختیار دارین اما با Process hacker هجده متد مختلف برای بستن پروسه در اختیار دارین ) تست کنین ، سپس بررسی بشه یک بد افزار چقدر می تونه از این طریق متد های کشف شده به محصول امنیتی آسیب وارد بکنه ، در نهایت حداقل با چندین نمونه تست محصول امنیتی در برابر متدهای بسته شدن ، به این نتیجه برسیم که آیا این محصول امنیتی در برابر این متد بسته شدن آسیب پذیر هستش یا خیر ، نه اینکه ببینیم یه ابزار با یه متد پنجره رو بست ، پس محصول آسیب پذیر هستش !
معمولا در صورت مقابله با بسته شدن یک پروسه پیغام عدم دسترسی ( Access Denied ) دیده میشه . اما بعدا در تست ها خواهید دید که در سطح دسترسی Administrator پس از اقدام برای بسته شدن Kaspersky ،پروسه بسته و پروسه ی جدید بارگذاری میشه .نقل قول:
با توجه به لینکی که از کسپر قرار دادید، که در واقع محصول امنیتی اجازه این کار رو نمیده:
---------------------
به هر حال بنده قبلا این ابزارهارو تست کرده ام . فکر نکنم در نتایج تغییر خاصی حاصل بشه ، اما صبر کردن هم ضرری نداره و منتظر نتایج تست های شما می مونیم ، پس از انجام تست ها توسط شما در ارتباط با Self Defense در Eset صحبت می کنیم که از حجم مطالب در پست ها کم بشه .
-----------------------------
آپدیت : لینک Process hacker برای دوستانی که قصد تست دارند :
کد:http://processhacker.sourceforge.net/
حالا من روی وب روت چک کردم ولی اومدم پروسس رو دستی ببندم گفت میخوایی پروسس بسته بشه ؟ اگه بسته بشه حفاظتت از بین میره .
ولی بار دوم و سوم پروسس رو نبست و پیغامی هم نداد .
سلام
دوستان کسی میدونه این ارور نود 32 چطوری رفع میشه؟
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
گویا پروسس مربوطه به ویژگی Application Protocol با مشکل مواجه شدهنقل قول:
شما درتنظیمات اون رو یکبار غیرفعال کنید و دوباره فعال کنید
امیدوارم درست بشه