نقل قول:
براي كسپر ارسال شد.
Printable View
نقل قول:
براي كسپر ارسال شد.
مهران جان من امروز یکم روی امضای دیجیتالی کار کردم و اپ کنترل کسپر. یک سری مسائل رو دیدم اگه بشه اینجا در موردش بحث بشه.
یکی اینکه شما گفتی هیچ ویروسی دیده نشده که امضای دیجیتالی داشته باشه. من 2تا MALWARE جدا کردم از همین تاپیک که به نظرم امضای دیجیتالی داره یکیش همون مخربی هست که توی سیستم gharibe63 عزیز به طور اتفاقی پیدا شد.
خب بحث مهمتر اینه که این مخرب بعد از اجرا وقتی که آنتی ویروس کسپرسکی خاموش کنیم وارد گروه LOW میشه. نکته دیگه اینکه که رسما از پیشفرض لایه دفاعی کسپرسکی عبور میکنه.
خب از این مورد ها بازم بود البته.
اول این بحث رو روشن کنیم که آیا این مخرب امضای دیجیتالی داره یا خیر . تا وارد بحث دیگه ای بشیم در همین زمینه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
توی این بسته 2 فایل دیگه هم گذاشتم که یکیشو به نظر دارای امضای دیجیتالی هست و همین طور میتونه از لایه دفاعی پیش فرض اپ کنرتل کسپر عبور کنه و یکی دیگشون با وجود نداشتن امضا از این لایه مورد بحث عبور میکنه.
دانلود:
پسورد: DRکد:http://up.--------.com/Files/6ef20346d55f413aa003.rar
سلام دکتر جان.نقل قول:
این 2 تا فایل هیچ کدوم امضای دیجیتالی ندارند. کلا ویروسها و مخربها همانطور که قبلا هم گفتم نمیتونند امضای دیجیتالی داشته باشند. اگر به عکسی که گذاشتید دقت کنید متوجه میشید که هیچ زیر شاخه یا منویی وجود نداره که نشون بده این فایل امضای دیجیتالی داره.
برای نمونه Properties برنامه معروف و رایگان CCleaner را با هم نگاه کنیم. عکس زیر...
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور که در عکس مشخصه, این فایل امضای دیجیتالی داره. چون یک زیر شاخه در Properties به اسم Digital Signatures وجود داره. اما در عکسی که شما گذاشتید وجود نداشت و نشون میده که اون فایل امضای دیجیتالی نداره.
تمام برنامه ها, فایل ها و هر چیزی را که فکرش را بکنید در صورت داشتن امضای دیجیتالی مشخصات هش یکسانی دارند. یعنی مشخصات MD5 و یا SHA-1 این فایل ها همیشه یکیه و تغییر نمیکنه. مثلا اگر ما مشخصات MD5 را مربوط به CCleaner را در اینترنت جستجو کنیم متوجه میشیم که این مشخصات مربوط به فایلی به اسم CCleaner.exe است و یک فایل شناخته شده است.
مشخصات MD5 برای CCleaner.exe
نتیجه ی جستجو...کد:33EF7A3E3B2004E9A225AF3D98D5BC21
کد:http://virscan.org/report/dc8028f0bd7891f6c5d52f8d989852ca.html
حالا فرض کنیم یک ویروس مانند ویروس Sality یا Jeefo کدهای آلوده خودش رو به فایل CCleaner.exe که امضای دیجیتالی هم داره وارد میکنه و اون رو آلوده میکنه. اونوقت چه اتفاقی میوفته؟ آیا از Application Control رد میشه؟
جواب : خیر.
چون کوچکترین تغییر در فایل باعث میشه که مشخصات MD5 برای CCleaner تغییر کنه و در نتیجه سر رو کارش با Application Contreol و همچنین لیست سفید کسپرسکی خواهد بود.
اما گاهی وقتها پیش میاد که برنامه های معروفی مانند SuperAntiSpyware دارای امضای دیجیتالی نیستند. پس اگر ما تنظیمات قسمت Application Control را بر روی Untrusted قرار بدیم, با این کار تعیین کردیم که تمام فایل ها و پروسه هایی که دارای امضای دیجیتالی هستند را اجرا کنه و اونهایی که دارای امضای دیجیتالی نیستند را اتوماتیک و بدون دخالت ما بلاک کنه و اجازه هیچ کاری رو بهشون نداه. پس در این صورت SAS و یا برنامه های مشابه سالم بلاک میشند؟
جواب : هم بله هم خیر.
کسپرسکی به این موضوع هم فکر کرده که ممکنه برنامه هایی بدون امضای دیجیتالی وجود داشته باشند اما این برنامه ها سالم باشند. بنابراین کسپرسکی اومده قسمتی را به اسم Kaspersky Security Network Databse بوجود آورده که در اصل لیست سفید کسپرسکی است. در این قسمت کسپرسکی هر روز برنامه هایی را که امضای دیجیتالی ندارند پیدا میکنه و در این لیست وارد میکنه تا در زمان اجرا شدن این برنامه ها در سیستم پیغامی از طرف Application Control به کاربر نشون داده نشه و یا اتوماتیک بلاک نشه. این برنامه ها زمانی به لیست سفید کسپرسکی اضافه خواهند شد که کامل بررسی بشند و از سالم بودن این برنامه ها و فایل ها مطمئن بشند. بنابراین هیچ ویروس و یا مخربی نمیتونه به لیست سفید کسپرسکی اضافه بشه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اما چون این لیست سفید برای برنامه های بدون امضای دیجیتالی احتیاج به آپدیت داره و هر روز هم برنامه های جدید و آپدیت های جدید منتشر میشه, ممکنه بعضی وقتها برنامه های سالم اتوماتیک بلاک بشند و فرصت وارد شدن به لیست سفید کسپرسکی را نداشته بانشد. به همین دلیل اگر کاربر متوجه شد که برنامه ای در سیستمش اجرا نمیشه خیلی راحت میتونه بره و با یک کلیک راست کردن بصورت دستی اون برنامه رو به گروه Trusted انتقال بده.
همانطور که در عکس مشخص است, در عکسی که از تنظمیات Application Control گذاشتم, نشون دادم که ...
اگر برنامه, فایل, پروسه و هر چیزی که امضای دیجیتالی داشت.
اگر برنامه , فایل, پروسه و هر چیزی که امضای دیجیتالی نداشت اما در لیست سفید کسپرسکی بود.
اجازه اجرا شدن در سیستم را دارد. در غیر اینصورت به گروه Untrusted یعنی مطمئن ترین گروه منتقل بشه. با این کار اگر نتونیم بگیم 100 درصد چون همیشه باگ و راهی ممکنه برای دور زدن وجود داشته باشه اما براحتی میتونم بگم 99.99 درصد ویروسها و مخربهای ناشناخته با این تنظیمات هیچ ضرری رو نمیتونند به سیستم کاربر وارد کنند. با این تنظیمات کاربری که کمی از حد کاربر معمولی درجه اش بالاتر اومده احتیاجی به آنتی ویروس و دیتابیس آنتی ویروس کسپرسکی نداره. چون 99.99 درصد مخربها نمیتونند در سیستم اجرا بشند و وقتی نتونند اجرا بشند کاری هم نمیتونند انجام بدند.
البته فکر کنم این موضوع رو قبلا با هم بحث کردیم. این تنظیمات زمانی بدرد میخوره و مشکلی برای کاربر بوجود نمیاره که حداقل 1 هفته از نصب تمام برنامه هایی که نیاز داشتید در سیستم نصب کنید بگذره و در مدت این یک هفته هم تنظیمات روی اتوماتیک یا Low باشه. برای اینکه در طول این 1 هفته تمام پروسه ها و برنامه ها اجرا شدند و گروهشون تعیین شده. پس اگر مشکلی بود میتونید گروه رو تغییر بدید و بعد از اینکه مطمئن شدید دیگه پرسه و فایلی نمونده که در کسپرسکی گروهی براش تعیین نشده باشه, خیلی راحت میتونید Application Control را بر روی Untrusted قرار دهید و از امنیت 99.99 درصدی لذت ببرید.
دوستان معذرت. شرمنده. اما کسی نبود راهنمایی چیزی واسه این مشکل ما داشته باشه؟نقل قول:
چجوریه که مسنجر های گوگل تاک و MSN و... همشون یه برنامه ای ارن که پسورد رو نشون بده، اما یاهو نداره؟؟؟؟
مهران جان من با cis کار نکردم البته خیلی دوست دارم کار کنم اما فعلا بحث رو روی kis میکنم.
اولا تشکر میکنم به خاطر پست های خوبت نه فقط این پست قبلی بلکه همه.
1_خب نظرت در مورد وارد شدن ویروس ها به گروه low کسپر چیه ؟ به نظرت این بد نیست. وقتی ویروسی اجرا بشه پیش فرض گروه low بازه. و راحت ویروس اجرا میشه. امروز یک ویروس تست کردم با این تنظیمات روی سیستم آزمایشی که گفتم. گروه low پیشفرض کسپسکی و گروه high و untrusted کاملا بلوک. آنتی ویروس خاموش بود اولا از رفتارشناسی که عبور کرد دوما وارد گروه low شد و بدون دریافت سیگنال خطرناک اجرا شد و سیستم کاملا ویروسی شد. خب حدود 15 تا ویروس پیدا کردم وارد low میشدند !!!
من روی سیستم اصلیم گروه low رو کاملا بلوک بلوک میکنم اما خیلی راضی نبودم و میگفتم نباید این کار انجام بشه و بلوک کردن low کار اضافی هست اما امروز که وقت گذاشتم دیدم نه راهی به غیر از بستن low وجود نداره.
2_حالا اگه کسی گروه low رو بلوک کنه و زحمت این مورد رو قبلول کنه برای رسیدن به امنیت بیشتر ببینه kis یا cis یک ویروس به اشتباه وارد لیست سفید کرده چی ؟ چه قدر حق داره عصبانی بشه : دی این قسمت دوم رو جدا جواب بده :)
3_سوال بعدی : نداشتن امضای دیجیتالی فقط برای ویروس و تروجان هست یا مثلا آنتی ویروس های تقلی و adware و .. هم شامل میشه ؟
دکتر جان من در پست قبلیم در مورد CIS حرفی نزدم و تمام تنظیمات و عکس هایی که گذاشتم مربوط به KIS بود. اما نظر من در مورد سوالات.نقل قول:
1. اگر تنظیمات گروه Low بصورت پیش فرض باشه خیلی هم خطرناکه و ویروسها و کلا همه مخربها میتونند تغییراتی را بدون نشان دادن پیغامی از سوی کسپرسکی در سیستم انجام بدند.
اگر تنظیمات گروه Low را بصورت پیشفرض باقی بگذاریم و بهشون دست نزنیم و یک ویروس ناشناخته را که هنوز در دیتابیس کسپرسکی ثبت نشده اجرا کنیم این اتفاق خواهد افتاد.
> ویروس اجازه اجرا شدن را دارد.
> اجازه اجرا کردن پروسه های دیگه را دارد.
> اجازه بستن پروسه ای را دارد. مثلا سعی کنه پروسه های کسپرسکی را ببنده.
> اجازه خواندن و زیر نظر داشتن پروسه های دیگه را دارد. جاسوسی و کپی کردن اطلاعات.
> اجازه عکس برداری, فیلم برداری در سیستم را دارد.
> اجازه وارد شدن ثبت شدن در Start up سیستم را دارد.
اما برای بقیه عملکردها و تغییرات کسپرسکی به کاربر پیغامی نشون میده و خود کاربر باید تصمیم بگیره که آیا به این ویروس اجازه کارهای دیگه مانند خاموش کردن ویندوز را بده یا خیر. اگر بخواهیم که برای تمام تغییراتی که یک ویروس میتونه در سیستم انجام بده از طرف گروه Low پیغام نشون داده بشه باید مواردی را که اشاره کردم بر روی سوالی قرار بدیم. این موارد مربوط به گروه Low هستند و در عکس زیر با فلش قرمز نشون دادم که باید تغییر کنند.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
2. من لزومی نمیبینم کاربر گروه Low را بلاک کنه. اونوقت چه فرقی بین گروه Untrusted با Low وجود خواهد داشت. اگر کاربری دوست داره که در صورت اجرا کردن هر فایلی که امضای دیجیتالی نداره و یا در لیست سفید کسپرسکی وارد نشده ازش سوال پرسده بشه و کاربر در پیغامی که از طرف کسپرسکی نشون داده شده خودش تعیین کنه که فایل اجرا شده را در چه گروهی قرار بده در این صورت تنظماتی که در 3 عکس بالا نشون دادم برای گروه Low بهترین تنظیمات هستند و لزومی به بلاک کردن وجود نداره. اما اگر کاربری دوست داشته باشه که سوالات کمتری از طرف کسپرسکی ازش پرسیده بشه بهتره کلا تنظمات Application Control را بر روی Untrusted قرار بده.
سوالی دوست دارید: گروه Low با تنظیمات گفته شده.
دوست ندارید سوالی ازتون پرسیده بشه: گروه Untrusted بدون دستکاری تنظیمات.
در ضمن هیچ ویروسی نمیتونه در لیست سفید سفید کسپرسکی وارد بشه. لیست سفید کسپرسکی با وارد شدن به گروه Low فرق میکنه. وقتی کاربر در تنظمات کسپرسکی تعیین میکنه که قسمت Application Control بر روی Low باشه و زحمت تغییر تنظیمات را هم به خودش نمیده در این صورت تقصیر کسپرسکی این وسط چیه؟
کا کاربر نخواسته و یا ندونسته که باید این تنظیمات رو تغییر بده؟ یکی مثلا میره و یک ماشین Citroen میخره و نمیدونه فقط میتونه با دنده سنگین به صورت شاسی بلند ماشین رو برونه و با دنده 3 و دنده 4 میزنه ماشین رو داغون میکنه. آیا باید بگیم که اگر همچین اتفاقی برای کسی که با دنده 4 ماشین رو شاسی بلند رونده بیوفته تقصیر Citroen هست؟
ما الان در تنظیمات کسپرسکی میبینیم که تمام تنظمات گروه Low با یک کلیک راست کردن ساده در اختیار کاربر گذاشته شده. حالا اگر کاربری نمیدونه این تنظیمات به چه دردی میخورند و یا وقت جستجو کردن و مطالعه کردن رو نداره تا یاد بگیره به نظرم مشکل خود کاربره و نمیتونیم این وسط بگیم چرا کسپرسکی بعضی موارد رو در گروه Low آزاد گذاشته چون اگر این موارد رو آزاد نمیزاشت اونوقت ممکن بود برای بعضی برنامه های سالم بدون امضای دیجیتالی مشکلاتی پیش بیاد و باز هم به کسپرسکی گیر میدادند که چرا این موارد رو بسته؟
من خودم محصولات کسپرسکی رو در کل حرفه ای میدونم و فکر نمیکنم مثلا یک پیر مرد 60 ساله وقتی وارد مغازه ای میشه بهش کسپرسکی را پیشنهاد بدند. یا مثلا یک شرکت تجاری با تعداد زیادی از کامپیوتر کمتر پیش میاد KIS رو استفاده کنه و اگر هم این کار رو بکنه یک Admin اول تمام تنظیمات کسپرسکی را اونطور که دوست داره انجام میده و بعد برای کسپرسکی پسورد تعیین میکنه تا کارکنان اون شرکت نتونند تنظیمات رو تغییر بدند.
اگر قبول داریم که محصولات کسرپسکی برای افراد معمولی نیستند و نیاز به دانش برای کار باهاش داره پس در این صورت کاربری که تصمیم به استفاده از محصولات کسپرسکی را داره وظیفه ی بدست آوردن دانش را خودش بر عهده داره. کسپرسکی که نمیتونه دانش را هم با محصولش بفروشه.
3. کلا همه Malware ها اعم از Trojan, Virus, Worm, Fake-AV, Adware, Spyware ها و هر چیزی که شامل گروه Malware میشند نمیتونند امضای دیجیتالی داشته باشند.
امضای دیجیتالی یک امضای رسمی و به ثبت رسیده است. یعنی وقتی کسی میخواد امضای دیجیتالی برای یکی از برنامه هایی که نوشته بزاره اول باید خود شخص دارای اعتبار باشه. بعد باید نشون بده که چه کسی هست و با چه اسمی و کجا داره زندگی میکنه. بعد باید برنامه اش رو به ثبت برسونه و مراحل اداری و کاغذ بازی های اینترنتی را طی کنه و بعد برای اون برنامه نسبت به حجم و مشخصاتی که داره هش تعیین میشه. یعنی مشخصات Md5 بهش تعلق میگیره. و بعد بر حسب مشخصات MD5 بهش امضای دیجیتالی تعلق میگیره.
حالا کسی که یک آنتی ویروس تقلبی نوشته آیا میتونه این مراحل رو طی کنه؟ آیا میتونه بگه من چه شخصی هستم و کچا زندگی میکنم و خواستم سیستم مردم رو آلوده کنم؟ :31: لطفا بهم امضای دیجیتالی بدید. :21:
اطلاعات بیشتر در مورد امضای دیجیتالی و چگونه به ثبت رسیدنش.
کد:http://en.wikipedia.org/wiki/Digital_signature
مخرب هاي پست 620 براي كسپر ارسال شد و اين هم جواب ميل كسپر اين رو هم بگم كه من از وي/ پي/ ان و في ل تر شكن استفاده نكردم. در جواب دوستاني كه معتقدند كه به ايران جواب نمي دند.
راستش این نظر خودمه و در حال حاظر فکر میکنم این شیوه برای من بهتر باشه. کاری که من میکنم این هست. من تمام فایل هاس سالم low رو وارد truest میکنم. بعد از گذشت زمانی که سیستم جا افتاده. بعد low بلاک میشه مثل بقیه سپس بعد از اجرا شدن فایلی چه ویروس چه سالم میرم و در مورد اون فایل تصمیم می گیرم. توی ورژن 2011 کنترل کسپرسکی خیلی بهتره شده و به شما درجه خطر و مقدار استفاده کنندگان از این فایل رو میده.نقل قول:
من لزومی نمیبینم کاربر گروه Low را بلاک کنه. اونوقت چه فرقی بین گروه Untrusted با Low وجود خواهد داشت
درکل تنظیم شخصی که دارم این هست که چیزی توی گروه low نمی مونه و بعد از بررسی که میکنم اگه سالم باشه وارد trust میشه و یک rule مناسب هم بهش میدم.
این سلیقه شخصی خودم هست.
در مرود اون چندتا ویروسی که گذاشتم چون فکر میکردم وارد low میشه پس میشه گفت امضای دیجیتالی داره که متوجه شدم هیچ ربطی نداره.
نقل قول:
در ضمن هیچ ویروسی نمیتونه در لیست سفید سفید کسپرسکی وارد بشه
می خوام در مورد این فایل صحبت کنیم.نقل قول:
کلا همه Malware ها اعم از Trojan, Virus, Worm, Fake-AV, Adware, Spyware ها و هر چیزی که شامل گروه Malware میشند نمیتونند امضای دیجیتالی داشته باشند.
فایل دومی که در این پست هست رو شما دانلود کنید.
خب این اولا توتالش هست:کد:http://forum.p30world.ir/showpost.php?p=5091696&postcount=275
توتال Result: 20/41 (48.78%)کد:http://www.virustotal.com/analisis/958d3dca66df5767c5619cb7666b450e9ce69440cec54dbae086a37ae69e6611-1277169106
این هم داشتن امضای دیجیتالی:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این exe یک انتی ویروس تقلبی نیست بیشتر شبیه به یک برنامه بهینه سازیه. بعد از اجرا دیدم می خواد اسکن کنه گذاشتم اسکن کنه و یه 150 تا ایراد در سیستم رو گزارش کرد و در خواست خرید رو بهم داد. مثل همون فیک انتی ویروس ها. بعد خواستم از ریمو ویندوز برنامه رو پاک کنم وقتی واردش ریمو میشدم یک خطا dll میداد و نمیتونستم برنامه رو پاک کنم. تسک منیجر هم از کار افتاده بود و اخطار dll میداد.
دیپ فیریز یک بار دیگه سیستم رو برگردوندم و دوباره نصبش کردم این بار خیلی راحت پاک شد.
متوجه نشدم این فایل مخرب هست یا نه. چون اولا 20 آنتی ویروس دنیا میگن مخربه ولی وارد لیست سفید کسپرسکی میشه. truest ! اون هم با عنوان آنتی اسپایور !!! در ضمن برنامه هیچ ربطی اسپایور نداره.
برنامه هم امضای دیجیتالی داره.
من فکر می کنم گویا ترین حرف رو اینجا نود32 زده:
Win32/Adware.RegistrySmart.AA
اولا دقیقا اسم برنامه اسمارت هست و دوما ویژگی های که من دیدم adware بود.و سوما برنامه بهینه سازی ریجیستری بود مثل تون اپ.
خیلی دوست دارم نظرت رو در این مورد بدونم. فقط این وسط یه مورد باید بهش برسیم. پیدا شدن اولین مخرب با داشتن امضای دیجیتالی یا فالس آلارم داشتن 20 یا بیشتر آنتی ویروس. یا بزرگ ترین اشتباه کسپرکسی و یا ...
اينجا ديدم كه بحث در مورد آنتي ويروسهاي جعلي شد خواندن اين لينك هم خالي از لطف نيست
سلام اینم یه عکش جالب که کسپر به ریموال تول خودش گیر داد؟>؟
و گفت که به کسپر صدمه وارد میشه اگر نصب کنم!!:31:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
البته درست تشخیص داده.