تاپیک اختصاصی محصولات (ESET (NOD32 ←راهنمای تاپیک در پست دوم

[Jadda]

سلام خدمت دوست عزیز @ [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] جان .

در ارتباط با تست هایی که با eset انجام دادین : لطفا یک بار تست رو در شرایطی که روی eset پسورد گذاشته شده انجام بدین ( تست شماره 3 )

با تشکر

سلام علیکم

اگر فرصت کردم به روی چشم.... چون مجدد باید ESET نصب کنم.

[Dr Nima]

دوستان عزیز نسخه ی بتا 9 عرضه شده
میتونید در سایت رسمی ESET دانلود و تست کنید

اینترفیس جدیدش بسیار زیباست

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


در این آدرس هم اسکرین شات اینترفیس جدید هس و هم لینک اصلی دانلود

@Jadda

در مورد تست eset بنظرم بهتره بعد از آومدن نسخه 9 انجام بشه
در ضمن خود تولید کنندش یه انمن داره که اگه اونجا هم گفته شه
فکر کنم نتیجه بخشه و تاثیر داشته باشه چون هدفتون اطلاع و رفعش هس نه تخریب
حتی چن وقت پیش به کسانی که باگ یا پیشنهاد خوبی رو اطلاع میدادن سریال یه ساله میداد این یعنی خودشون هم استقبال میکنن

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[Public Enemy]

سلام حمید جان،

ابزار حالتهای مختلف حمله به یک پروسه را تست میکنه..... حتی اگر دیده باشید، میتونه سایر پروسه ای فعال مربوط به برنامه های دیگر را هم قطع بکنه.... که البته محصول امنیتی علاه بر اینکه از خودش دفاع میکنه حتی باید از قطع شدن پروسه های سایر برنامه ها هم جلوکیری بکنه....در هر صورت، درسته که اینجا ماژول اصلی Self-defense هست.... ولی قطعاً،.. قطعاً باید HIPS در این مواقع پشت Self-defense در بیاد و بهش کمک بکنه..... اصولا هر وقت برای هر آنتی ویروسی، HIPS اون محصول فعال بود و سیستم آسیب دید، حتم بدونید که HIPS یکی از مقصرین ماجراست. حتی محصولی که خودم استفاده میکنم ، اگر زمانی درهم شکسته بشه یا از پس حفاظت سیستم بر نیاد یکی از ماژولهایی که حتما یقه اش را میگیرم HIPS است....
تست را با حالت interactive هم انجام دادم که نتیجه یکسان بود....



نه، به همین راحتیها هم نیست.... چون یک لایه دیگر قبل از Self-defense و HIPS وجود داره و اون لایه: تشخیص ، است.

و اما در مورد HIPS محصول ESET من اونو به شدت کلاسیک میبینم و با آشنایی که از این شرکت دارم بعید بدونم در نسخه های بعدی تغییرات بزرگی در این بخش شاهد باشیم. خیلی نمیخوام وارد تنظیماتش بشم، ولی چیزی که وجود داره اینه که قویترین حالت interactive است که فکر میکنم کاربری تنظیمش روی interactive باشه.... اونهایی باهاش کار کردن میدونن چی میگم...

به طور کلی من تنظیمی رو میپسندم که بالانس بین "قدرت" و "راحتی" برقرار باشه.... یعنی با همون تنظیمی که باهاش کار مکنید با همون تنظیم ویروس تست کنید....و با همون تنظیمی که ویروس تست میکنید همون تنظیمات همیشگیتون باشه.... فعلا اعتقاد دارم که با interactive نمیشه.
البته حالت Smart به نظر بهتر میاد.... با این توصیه که همیشه ESET باید آپدیت باشه و از تمام توان تشخیص این محصول باید استفاده بشه برای امنیت بهتر.

====

البته سابقه من نشون میده که معمولا سعی کردم اینجا سمت تست سایر محصولات نروم و کاری به کارشون نداشته باشم،.... اسم یک آنتی بالا سرمون هست و تست سایر آنتی ها شبه ایجاد میکنه که فلانی قصد تخریب فلان آنتی را داره..... هر چند الان دارم با چند Encryptor محصول ESET را تست میکنم.... ولی احتمالا دیگه نتیجه اش را نمیزارم.

موفق باشید

سلام علی جان :
خوب دقیقاً حرف منم همینه...چرا اینجا وقتی تمام ماژولهای eset فعال هستن تشخیص این آنتی قبل از hips رفتار این کیل پروسس رو مشکوک یا حتی مخرب تشخیص نداد که میخواد پروسه های فعالشو ببنده؟؟حالا اون تشخیص نداد چرا HIPS هیچ پیغامی نداد یا حالا که میگیم روی اینتراکتیو و تعامل کامل با کاربر نیست و روی اسمارت تنظیم شده چرا بطور هوشمند خودش مسدودش نکرد؟؟من بخاطر همین میگم چرا باید یک کیل پروسس بتونه اینکارو بکنه ولو اینکه امضای دیجیتال داشته باشه؟؟؟چون دارم میبینم که لایه تشخیص هم هیچکاری نکرد...اتفاقاً چون امضای دیجیتال داره پس راحتتر میشه اونو توی پروسه اولیه یک مخرب گنجوند و وقتی مثلاً ESET بهش بخاطر امضای دیجیتال اجازه اجرا داد یا نتونست جلوشو بگیره و آنتی پرید بیرون راحت کار خودشو بکنه و بقیه تخریبشو انجام بده(مثال میزنم)...
-----------------------------------
منکه شخصا هر زمان ESET داشتم هر دو ماژول رو روی اینتراکتیو که سختگیرانه ترین حالته گذاشتم که اذیت میکرد...(فایروال و HIPS) و طبق گفته شما از ورژن 5 که HIPS توی این آنتی ویروس گنجونده شد تا ورژن 7 که خودم تست کردم (با CLT) دقیقاً هر سه ورژن یکجور امتیاز آوردن و شخصاً هیچ تغییر چشمگیری توی این ماژول ندیدم...البته ورژن 8 رو (با CLT) تست نکردم...
-----------------------------------
دقیقاً برعکس گفته شما : با شناختی که دوستان از شما دارند هیچ وقت همچین شبهه ای براشون پیش نمیاد که شما بخواهید یک محصول رو تخریب کنید...شخصیت شما خیلی بیشتر از این حرفا توی این فروم برای همه محترمه و دوست داشتنی...چون جز خوبی و اخلاق خوب و کمک و راهنمایی کسی از شما چیزی ندیده...

امیدوارم نتایج بعدی رو هم بذارید

در ارتباط با این kill proceess مشکوک : بنده هم فیلم رو بازبینی کردم و هم برنامه رو تست کردم . یه نگاهی کنید می بینین برنامه نویس این ابزار متد هارو پایین پنجره ی ابزار نوشته که مربوط به C++ هستش . برای مثال برای گزینه ی دوم پیغام wm_close به پنجره فرستاده میشه که از پنجره خواسته میشه بسته بشه . مشابه دستورش یه ابزاری در ویندوز هستش چنین کاری رو می کنه :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

و دستور بعدی Wm_quit که به پنجره میگه باید بسته بشه .

به هر حال معجزه ای در کار نیست ، و این ابزار داره روش های معمول برای ارسال پیغام بسته شدن پنجره رو به محصول امنیتی میفرسته . اما نکته اینجاست که چرا Eset داره به این پیعام ها در سطح دسترسی پایین پاسخ میده . به هرحال ، برخی محصولات امنیتی نیز مشابه Eset به این پیغام ها پاسخ میدن ، اما نه در سطح دسترسی پایین بلکه Administrator .


------------------------------

نکته ای که به نظرم عجیب اومد ، اینکه دوستان بسته شدن پنجره ی Eset رو به Self Defense مربوط دونستن ، که به نظرم تقریبا اشتباه هستش . Self Defence وظیفه ی مراقبت از پنجره ی اصلی نرم افزار رو در برابر بسته شدن ناگهانی نداره ! بلکه وظیفه ی مراقبت از برخی ابزارهای حیاتی ( مثل فایل ها و یا تنظیمات در Registry ) رو بر عهده داره .


به هر حال پنجره ی هر محصول امنیتی بنا به دلایلی بسته بشه ( ایراد نرم افزاری ، بسته شدن توسط کاربر و ... ) و در این موقع رایانه در برابر بد افزارها آسیب پذیر میشه . اما نکته ای که مد نظر هستش اینه که نباید اتفاقی برای محصول امنیتی بیفته که باعث بشه محصول امنیتی مجددا راه اندازی بشه و این وظیفه ی Self Defence هستش .
الان به نظر میاد دوستان اینطور برداشت کردن که خوب الان Egui بسته شد پس Self defence هم از کار افتاد و هر بلایی ممکنه سر رایانه در بیاد . اما اینطور نیست و وظیفه ی self defence بر عهده ی egui نیست . بلکه پروسه و سرویسی که بر اعمال Self Defence نظارت داره ekrn هستش . در واقع ekrn هستش که در زمان بسته بودن Eset نظارت رو بر Self Defence در هنگام بسته شدن Egui بر عهده داره و این پروسه و سرویس در هنگام بسته شدن Egui همچنان باز میمونه ( مشابه این کار در سایر محصولات امنیتی نیز انجام میشه )

الان Jadda با این ابزار پنجره ی محصول امنیتی رو بستند . اما بهتر بود یه سری تست های دیگه هم انجام می دادند :

1 - اینکه در هنگام فعالیت Self Defence آیا اعمال تغییرات در برخی تنظیمات حیاتی در Registry مربوط به Eset ممکن هستش ؟
2 - آیا قابلیت حذف فایل های حیاتی Eet ممکن هستش ؟
3 - و یه نکته ی دیگه . Ekrn بنابر تنظیماتش به راحتی قابل بسته شدن و یا توقف سرویس نیست ( دستور sc query ekrn به ما نشون میده که این سرویس non stoppable و non pausable هستش ، لذا تنها راه توقف سرویس اینه که تنظیمات مربوط به اجرای سرویس در هنگام بوت ویندوز رو حذف کنیم و رایانه رو مجددا راه اندازی کنیم . همچنین در صورت بسته شدن ekrn خودش رو مجددا بارگذاری می کنه ) آیا به نظرتون راهی پیدا میشه که ekrn بدون حذف تنظیمات مربوط به راه اندازی سرویس و Restart محدد سیستم از کار بیفته و مجددا خودش رو بارگذاری نکنه ؟

[Jadda]

نکته ای که به نظرم عجیب اومد ، اینکه دوستان بسته شدن پنجره ی Eset رو به Self Defense مربوط دونستن ، که به نظرم تقریبا اشتباه هستش . Self Defence وظیفه ی مراقبت از پنجره ی اصلی نرم افزار رو در برابر بسته شدن ناگهانی نداره ! بلکه وظیفه ی مراقبت از برخی ابزارهای حیاتی ( مثل فایل ها و یا تنظیمات در Registry ) رو بر عهده داره .

این تعریف رو کدم کارشناس امنیتی ارائه کرده؟ تعریف شخصی خودتون هست؟ اگر نه منبع این تئوری رو ذکر میکنید؟

مثال: مخربی به سیستم حمله کرده و شما قصد دارید یک تغییر در محصول امنیتون بدید، چطور میخواهید این کاروانجام بدید؟ GUI وجود نداره.... شما مرکز فرماندهی را در جنگ از دست میدید؛ حفظ این مرکز فرماندهی درست زمانیکه مخرب حمله کرده، بر عهده کیه؟؟

در مورد خط قرمز: شما یک GUI میبیند ، درحالیکه پشتش یک پروسه فعال قرار داره.... پاسخ به این سوال نباید سخت باشه: چرا محصول امنیتی اجزاه میده پروسه فعالش قطع بشه؟... قطعا ایراد هست... اصلا شک نکنید.

به هر حال پنجره ی هر محصول امنیتی بنا به دلایلی بسته بشه ( ایراد نرم افزاری ، بسته شدن توسط کاربر و ... ) و در این موقع رایانه در برابر بد افزارها آسیب پذیر میشه . اما نکته ای که مد نظر هستش اینه که

نباید اتفاقی برای محصول امنیتی بیفته که باعث بشه محصول امنیتی مجددا راه اندازی بشه و این وظیفه ی Self Defence هستش .

همچنین در صورت بسته شدن ekrn خودش رو مجددا بارگذاری می کنه ) آیا به نظرتون راهی پیدا میشه که ekrn بدون حذف تنظیمات مربوط به راه اندازی سرویس و Restart محدد سیستم از کار بیفته و مجددا خودش رو بارگذاری نکنه ؟

کاملا دارین وظایف Self-Defence را بد تعریف میکنید.... یا درستر محدودش میکنید..... وقتی پروسه قطع میشه و تا راه اندازی مجددش.... یک بازه زمانی هست که مخرب میتونه در این فاصله کارشو انجام بده!

=======

ایده بنیادی و اساسی تمام محصولات امنیتی:

1- محصول امنیتی نباید اجازه بده پروسه های فعالش قطع بشه 2- محصول امنیتی نباید اجازه بده هیچ پروسه فعال سیستمی و سایر نرم افزارها قطع بشه...... <<=هر ایده امینتی خلاف این اشتباه است.

من نمیدونم با چه طرز تفکری میشه این دو اصل را زیر سوال برد!....

و اینکه هر اتفاقی در سیستم (ویندوز) میفته فقط و فقط شامل یکسری دستورات هست.... یکسری دستورات ساده که بکن ونکن و بشه و نشه است<- این یعنی ویندوز.... دنبال مسائل ماورایی که نباید باشیم. بسته شدن یک پروسه پشتش یکسری دستورات/پیغامهای ساده قرار داره، نه بیشتر....حتی تمام خرابکاریرهای که توسط مخربها روی سیستم انجام میدن معقول هست... از قفل کردن فایلها تا حذف فایلها تا تغییرات در رجیستری تا ثبت در استارتاپ تا تغییر DNS تا قطع پروسه های آنتی ویروس.... حملات دارای سازوکارهای معقول هستند.... یکسری پیغامها!

[Public Enemy]

این تعریف رو کدم کارشناس امنیتی ارائه کرده؟ تعریف شخصی خودتون هست؟ اگر نه منبع این تئوری رو ذکر میکنید؟

مثال: مخربی به سیستم حمله کرده و شما قصد دارید یک تغییر در محصول امنیتون بدید، چطور میخواهید این کاروانجام بدید؟ GUI وجود نداره.... شما مرکز فرماندهی را در جنگ از دست میدید؛ حفظ این مرکز فرماندهی درست زمانیکه مخرب حمله کرده، بر عهده کیه؟؟

اولا یک عقب نشینی نسبت به اون خط قرمزی که گفتین : بله ممکنه اشتباه بود اما نه کاملا . از وظایف Self Defence می تونه جلوگیری از بسته شدن آنتی ویروس هم باشه ( این قسمتی که ایراد داشت بود ) اما تنها وظیفش این نیست و باید از فایل ها و تنظیمات حیاتی آنتی ویروس نیز محافظت بشه ( حداقل این [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از Self Defence هستش . البته با توجه به بررسی رفتار Eset فعالیت Self Defense مشابه تعریف قبلی بنده هستش ) . مسلما پروسه ی اصلی ( همونی که فکر می کنین بنده GUI می بینم و کاربر باهاش تعامل داره) نمی تونه چنین وظیفه ای رو انجام بده ، به دلیل اینکه این پروسه برای تعامل با کاربر نیاز هستش که تحت یوزر فعلی کاربر اجرا بشه . Self Defense باید در تمامی حالات از محصول امنیتی مراقبت کنه و این امر توسط یک پروسه با سطح دسترسی یوزری که قابلیت Logon/logoff داره امکانپذیر نیست ( چون در صورت خروچ کاربر ، محصول امنیتی به صورت کامل از کار می افته اما بد افزار ها می تونن تحت دسترسی سایر کاربران ، حتی کاربر SYSTEM ، نیز فعالیت کنند )

در مورد خط قرمز: شما یک GUI میبیند ، درحالیکه پشتش یک پروسه فعال قرار داره....

بنده منظور شما رو از یک پروسه ی فعال که پررنگ هم نوشته شده متوجه نمیشم .

بزارین جملتون رو اصلاح کنم : کاربر یک GUI می بینه ، در حالی که پروسه ی مربوط به رابط GUI یک پروسه ی در حال اجرا تحت یوزر فعلی کاربر هستش و سایر پروسه های مربوط به محصول امنیتی تحت یوزر SYSTEM اجرا میشن .

---------------------------------------------

اما این بخش صحبت هاتون :

ایده بنیادی و اساسی تمام محصولات امنیتی:

1- محصول امنیتی نباید اجازه بده پروسه های فعالش قطع بشه 2- محصول امنیتی نباید اجازه بده هیچ پروسه فعال سیستمی و سایر نرم افزارها قطع بشه...... <<=هر ایده امینتی خلاف این اشتباه است.

من نمیدونم با چه طرز تفکری میشه این دو اصل را زیر سوال برد!....

در واقع باید بگیم ایده ی بنیادی و اساسی از دید شما !

اگر قرار نبود بسته شه پس چرا گزینه ی بسته شدن پروسه در تمامی محصولات امنیتی وجود داره ؟! طبق این اصل شما باید چنین گزینه ای اصلا توی محصولات امنیتی وجود نداشته باشه ولی وجود داره .

حداقل بهتر بود اینگونه تعریف می کردین که : "محصول امنیتی نباید اجازه بده پروسه های فعالش توسط سایر برنامه ها قطع بشه " که اینم اشتباهه !

برای مثال نقض بنده سطح دسترسی های کاربران مختلف رو در یک محصول امنیتی در عکس های زیر برای شما اوردم :
( اینکه چرا comodo انتخاب شد ، دلیلش تخریب Comodo نبوده ! چون از نظر Jadda محصول Eset ایراد امنیتی داشته ، مجبور بودم یک محصول امنیتی دیگه رو انتخاب کنم ، تصمیم گرفتم یک محصول بی طرف یعنی Kaspersky رو انتخاب کنم گفتم ممکنه برخی دوستان بیان حاشیه سازی کنند ، به این نتیجه رسیدم همون comodo انتخاب شه بهتره نه حاشیه ای ایجاد می شه و ضمنا Jadda متوجه میشه که شاید این ایدش اشتباه بوده )

  محتوای مخفی: ! 

پروسه ی Cis tray ، همون طور که می بینین به کاربر سطح پایین دسترسی Full control داده . برای اینکه بفهمین Full Control چی هستش، به عکس دوم دقت کنین :

  محتوای مخفی: ! 

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پروسه ی cis :

  محتوای مخفی: ! 

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پروسه ی Cmdagent که برای Administrator سطح دسترسی Special تعریف کرده . برای اینکه ببینین سطح دسترسی ها چی هستند به عکس دوم دقت کنین :

  محتوای مخفی: ! 

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پروسه ی Cavwp که البته برای سطح دسترسی Administrator تعریفی ارایه نکرده :

  محتوای مخفی: ! 

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همونطور که دیدین Comodo برای پروسه های Cis و Cistray به کاربر با سطح دسترسی پایین دسترسی Terminate کردن پروسه هاشو داده ( مشابه Eset و پروسه ی Egui. برای تست بسته شدن می تونین از Process hacker استفاده کنین ، البته شاید برخی دوستان با Process Explorer هم جواب بگیرن که بنده Process hacker رو به دلیل متن باز بودن و قابلیت های بیشتر انتخاب کردم ) . پس تحت شرایطی یک نرم افزار تحت اجرای کاربر با سطح دسترسی پایین می تونه بخشی از این دو محصول ( comodo و Eset ) رو از کار بندازه.

محصولی مثل Kaspersky چنین اجازه ای رو به کاربر با سطح دسترسی پایین نمیده و برای بستن حتما باید کاربر سطح دسترسی بالا ( Administrator ) داشته باشه . ( Kaspersky در صورتی که Self Defence فعال باشه و پروسه هاش توسط برنامه ی دیگه ای بسته بشن فورا اونارو بارگزاری مجدد می کنه ) محصولات مختلف بنا بر طراحی سازندگانشون رفتار های متفاوتی رو در برابر سطوج مختلف کاربری نشون میدن

ضمنا محصولات امنیتی برای کاربران مختلف و گروههای مختلف سطح دسترسی های مختلف تعیین می کنند ، به عنوان مثال ممکنه برخی سطح دسترسی رو به کاربر SYSTEM بدن و از سایر کاربران بگیرن ، و حتی ممکنه برخی سطح دسترسی هارو از کاربر SYSTEM بگیرن و به سایر کاربران بدن !

در ارتباط با اون اصل دوم نیز که با توجه به وضعیت اصل اول نیاز به توضیح در ارتباط با اشتباه بودنش نیست .

به هر حال ، شما گفتین با چه طرز تفکری این اصل زیر سوال میره ، در جواب باید بگم که با توجه به مورد بالا ، ظاهرا اصول بد تعریف شدند !

--------------------------------------------------------------

کاملا دارین وظایف Self-Defence را بد تعریف میکنید.... یا درستر محدودش میکنید..... وقتی پروسه قطع میشه و تا راه اندازی مجددش.... یک بازه زمانی هست که مخرب میتونه در این فاصله کارشو انجام بده!

بنده هم قبول دارم که وقتی پروسه ی آنتی ویروس از کار افتاد ، مخرب می تونه خیلی کارها بکنه .
اما مخرب نباید دقیقا یک کاری رو انجام بده : اتفاقی برای محصول امنیتی بیفته که نتونه مجددا بارگزاری بشه ( چون در اینصورت احتمال شناسایی بد افزار وجود داره و انجام وظایف بد افزار در دفعات بعدی غیر ممکن میشه) ، و این یکی از وظایف Self Defense هستش . و این نکته ی مد نظر بنده و یکی از تعاریف Self Defence ( حداقل از نظر Kaspersky در همون صفحه ای که لینک دادم ) هستش . این نکته توی Eset رعایت شده : پروسه ی Ekrn کاملا مراقب اوضاع هستش تا برخی دستکاری ها که منجر به عدم احرای محصول امنیتی در دفعاتی بعدی هستش انجام نشه .

[Jadda]

عرض سلام و خسته نباشید خدمت دوستان،

نکته ای که به نظرم عجیب اومد ، اینکه دوستان بسته شدن پنجره ی Eset رو به Self Defense مربوط دونستن ، که به نظرم تقریبا اشتباه هستش . Self Defence وظیفه ی مراقبت از پنجره ی اصلی نرم افزار رو در برابر بسته شدن ناگهانی نداره

اولا یک عقب نشینی نسبت به اون خط قرمزی که گفتین : بله ممکنه اشتباه بود اما نه کاملا . از وظایف Self Defence می تونه جلوگیری از بسته شدن آنتی ویروس هم باشه ( این قسمتی که ایراد داشت بود )

خب، ابتدا تشکر بابت اینکه اون ایده اشتباه اصلاح شد.... بازم میگم من اینجا اصلا با پنجره کاری ندارم! من چیزی که میبینم یک پروسه فعال است.

بعد اینکه قطع شدن یک پروسه فعال آنتی، واسه من ایراد هست...... به جرات میتونم بگم توی این سالهای فعالیتم.... این اولین بار بود که قطع پروسه یک آنتی ویروس را امری طبیعی بدونیم..... بنابراین وقتی میخوام در این باره صحبت بکنم حس میکنم درحال اثبات روز بودن روز انجام میدم!

بحث بسیار روشن هست:

چرا محصول امنیتی اجازه میده پروسه فعالش قطع بشه؟....
با توجه به لینکی که از کسپر قرار دادید، که در واقع محصول امنیتی اجازه این کار رو نمیده:

• termination of Kaspersky Anti-Virus processes

بسیار خب، حالا شما اومدین و این قابلیت که در آنتی ویروس هاست تا کاربر با اختیار خودش محصول امنیتی را Exit بکنه( که طبیعتا سطح دسترسی های متناسبی برای این امر برای اون پروسه تعریف شذه- آنچه که شما در مثالهاتون آوردید و سطح دسترسیها را با عکس نشون دادید) را باقطع پروسه آنتی ویروس با یک پروسه ناامن دیگری برابر میکنید.....

در رابطه با اون دو اصل هم دارید اشتباه فکر میکنید!

اگر قرار نبود بسته شه پس چرا گزینه ی بسته شدن پروسه در تمامی محصولات امنیتی وجود داره ؟! طبق این اصل شما باید چنین گزینه ای اصلا توی محصولات امنیتی وجود نداشته باشه ولی وجود داره .

دقیقا برداشت اشتباه در مورد اون دو اصل دارید..... اینکه کاربر بتونه محصول امنیتی را Exit بکنه - که قطعا دسترسیهای لازم قبلا توسط اون آنتی برای اون پروسه خاص برای کاربر تعریف شده با قطع همون پروسه با یک پروسه ناامن دیگر متفاوت هست..... آیا مخربها نمیتونن این مورد را شبیه سازی بکنن؟.... اگر بتونن حدقل ESET بهش پاسخ مثبت میده.... و این نکته اون جمله ای بود که من خطاب به دوست عزیزم آقا حمید عرض کردم برای ESET تشخیص مهم است....

نه، به همین راحتیها هم نیست.... چون یک لایه دیگر قبل از Self-defense و HIPS وجود داره و اون لایه: تشخیص ، است.

معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!

اخیرا تستهایی در این باره با کومودو نداشتم... اما تا جایی که یادم میاد، اتفاقا کومودو اجازه دسترسی هیچ پروسه ای رو به پروسه های خودش را نمیده.... بعدا سر فرصت عملا این مورد را با تست بهتون نشون میدم.... اگر غیر از این باشه ایراد هست (مخصوصا در رابطه با پروسه های ناامن).

[Public Enemy]

بهتره در ارتباط با این جمله های شما

معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!

بگم که بسیار عجولانه برداشت کردین .

permission هایی که خود هر نرم افزار معرفی کرده بخشی از پازل هستند ، اما این پازل دو تکه ی گم شده ی دیگه هم داره .

بخش دوم Token ها : همانند cookie های مرورگر عمل می کنند و حاوی برخی سطح دسترسی ها برای برنامه ها هستند . معمولا برنامه این token هارو از سطح دسترسی های تعیین شده توسط گروه کاربری تعیین می کنه . ویندوز طبق این token ها به برنامه اجازه میده که با سایر پروسه ها تعامل داشته باشند

و بخش سوم Command مربوط به خروج نرم افزار : که مهمترین بخش هستش. مسلما هر دستوری در این شرایط کار نمی کنه ، همانطور هم که قبلا گفتم ، در تست شماره ی 3 در ویدیوی شما از ارسال پیغام Post_quit توسط تابع Postquitmessage به پروسه ی مورد نظر استفاده شده . زمانی که این دستور به پروسه ارسال بشه ، پروسه مجبور به بسته شدن میشه

-----------------

به هر حال ، قطعه ی اول پازل یعنی Permission ها دست پروسه ی محصول امنیتی هستش و دو قطعه ی دیگه دست شما . شما شرایط رو فراهم کردین و محصول امنیتی هم "نه" نگفت . اما فورا نتیجه گرفتین که ایراد از سمت محصول امنیتی هستش . بنده نمی دونم اون فایل خودتون رو روی چند محصول امنیتی دیگه تست کردین . اما بنده با Process hacker و سطح دسترسی Administrator ( دسترسی Full token ) در هر 5 محصولی ( Kaskersky , Eset , Norton , Panda , Zonealarm ) که تست کردم ، پروسه ی هر 5 محصول بسته شدند ! پس اگر با این تئوری شما پیش بریم :

معنیش این هست که اگر مخربی از این دسترسی سو استفاده بکنه و اون رو شبیه سازی بکنه_ و ESET اون رو تشخیص نده_ اتفاقی که میافته اینه که ESET بهش پاسخ مثبت میده!!!

معنیش این میشه که اگر مخربی از این دسترسی سوء استفاده بکنه و اون رو شبیه سازی بکنه و این 5 محصول مخرب رو تشخیص ندند اتفاقی که میافته اینه که این 5 محصول بهش پاسخ مثبت میدن ! ( البته Kaspersky فورا پروسه اش رو ریلود میکرد ، اما طبق تئوری شما میشه برای ریلود شدن پشت سر هم Kaspersky هم یه فکری کرد ! )


بنده این نتیجه گیری شما رو به شدت عجولانه می بینم . حداقل می تونستین بسته شدن پروسه های این محصول ( یا محصولات ) رو با ابزار های محتلف ( و نه یه ابزار چون ممکنه اون یک ابزار دارای برخی محدودیت ها و یا ایراداتی نسبت به سایر ابزار ها باشه ، بلکه با ابزارهای بیشتر مثل Process explorer و Process hacker ) و متد های مختلف ( با اون ابزار شما 6 متد برای بستن پروسه در اختیار دارین اما با Process hacker هجده متد مختلف برای بستن پروسه در اختیار دارین ) تست کنین ، سپس بررسی بشه یک بد افزار چقدر می تونه از این طریق متد های کشف شده به محصول امنیتی آسیب وارد بکنه ، در نهایت حداقل با چندین نمونه تست محصول امنیتی در برابر متدهای بسته شدن ، به این نتیجه برسیم که آیا این محصول امنیتی در برابر این متد بسته شدن آسیب پذیر هستش یا خیر ، نه اینکه ببینیم یه ابزار با یه متد پنجره رو بست ، پس محصول آسیب پذیر هستش !

با توجه به لینکی که از کسپر قرار دادید، که در واقع محصول امنیتی اجازه این کار رو نمیده:

معمولا در صورت مقابله با بسته شدن یک پروسه پیغام عدم دسترسی ( Access Denied ) دیده میشه . اما بعدا در تست ها خواهید دید که در سطح دسترسی Administrator پس از اقدام برای بسته شدن Kaspersky ،پروسه بسته و پروسه ی جدید بارگذاری میشه .
---------------------

به هر حال بنده قبلا این ابزارهارو تست کرده ام . فکر نکنم در نتایج تغییر خاصی حاصل بشه ، اما صبر کردن هم ضرری نداره و منتظر نتایج تست های شما می مونیم ، پس از انجام تست ها توسط شما در ارتباط با Self Defense در Eset صحبت می کنیم که از حجم مطالب در پست ها کم بشه .


-----------------------------
آپدیت : لینک Process hacker برای دوستانی که قصد تست دارند :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[نیما سکیوریتی]

حالا من روی وب روت چک کردم ولی اومدم پروسس رو دستی ببندم گفت میخوایی پروسس بسته بشه ؟ اگه بسته بشه حفاظتت از بین میره .

ولی بار دوم و سوم پروسس رو نبست و پیغامی هم نداد .

[Farhad 8904]

سلام
دوستان کسی میدونه این ارور نود 32 چطوری رفع میشه؟

[Captain]

سلام
دوستان کسی میدونه این ارور نود 32 چطوری رفع میشه؟

گویا پروسس مربوطه به ویژگی Application Protocol با مشکل مواجه شده
شما درتنظیمات اون رو یکبار غیرفعال کنید و دوباره فعال کنید
امیدوارم درست بشه