Тест на предотвращение проникновения в ring0 II (результаты)
Автор
Сергей Ильин, в Тесты и сравнения
Recommended Posts
Объявления
-
Сообщения
-
От Ego Dekker · Опубликовано
Домашние антивирусы для Windows были обновлены до версии 18.1.10. -
От PR55.RP55 · Опубликовано
1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы. -
От demkd · Опубликовано
С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.
---------------------------------------------------------
4.99.12
---------------------------------------------------------
o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
посредников.
(!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
(!) то удаление исключений возможно лишь при использовании виртуализации реестра
(!) ИЛИ при приостановке защиты этого антивируса.
(!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
(!) и лишь существенно замедляет и усложняет процесс лечения.
o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
(Доступно для Windows Vista+)
o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
к мерам противодействия поиску.
o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
которой в этой системе нет.
o Антисплайсинг: расширен список контролируемых функций.
-
От PR55.RP55 · Опубликовано
Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл - выполнение Твика #35 с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е. если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать taskschd как-то это... -
От santy · Опубликовано
Все получилось. Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки. (Обошлось без загрузочного диска.)
-