Касперу пора закрываться .  Ноа Шахтман в статье для журнала Wired выставил ЛК как главного виновника в провале разведоперации ЦРУ(это называется допиарились на Flame ) и как угрозу национальной безопасности США. Обвинил в связях с ФСБ и Путиным, и просто назвав дядю Женю врагом свободного инета(так обожаемого в США).
После этой статьи не один американец, не захочет поставить авер от такой компании даже на халяву.

Решил проверить на похожесть нортоновский SONAR(что-то вроде автоматического хипс) и System Watcher каспера. ЛК нещадо копирует технологии Симантек, даже баги те же . SONAR уже с активным зловредом в памяти ничего сделать не может, SW показывает тоже самое. Что бы SW хоть как-то отличался от сонара, лк прикрутила туда "откат" который нахер не нужен, ибо запретив запуск откатывать ничего не придется. Потом всеми любимая песочница, на форуме Симанек несколько раз спрашивали о ней в нортоне, ответ один: зачем нам то, что только систему грузит и обходится мальварю на раз? ЛК сделала песочницу, но так как она была тупо скопирована с Sandboxie, о методах обхода можно и не говорить. Облако - очередная порция тупого копирования технологий Симантек, в том виде что оно сейчас у ЛК, облако Симантек было два года назад. А теперь вопрос: что ЛК сделала без тупого копирования? Наверно свой антируткит, но и тут не увязка, антируткит был скопирован Русаковым с антируткита доктора веба. А антируткит для веба написал тот же Русаков, просто он потом ушел в ЛК.

Если честно, то единственный нормальный каспер, это KIS 2009. Все что идут дальше все хуже и хуже.

Это я писал. И кстати недоверенные я взял так просто, на самом деле мальвари достаточно получить любую группу(кроме недоверенных) что бы успешно пакостить и обходить каспера. Например дропперу что бы установить руткит из сильно ограниченной группы(по умолчанию низкоуровневый доступ, создание служб и загрузка драйверов в этой группе запрещены) достаточно записать себя в реестр на первом месте и после ребута руткит успешно установится пока каспер отдыхает. А потом уже руткит вытрет из реестра запись о авторане дроппера. Вот и все действия и каспер их не увидит.

Продажи в 2012 за первое полугодие хуже чем за весь прошлый год.

Мое наблюдение за каспером продолжается.
Вообщем всем известно что по сигнатурам сканировать все аверы круты. Намного интереснее тема с проактивкой, ибо ловит по поведению и обойти достаточно тяжело.
Проактивка каспера, как говорят бабушки на лавочках одна из самых мощных. Я юзал кис 12 с последними обновлениями в ручном режиме. Как говорил Женя Касперский, то SW наблюдает за всеми действиями программ и бла-бла-бла. Цитировать этого кукловода я не собираюсь.
Я нашел два руткита, первый - всем известный TDL4, обходит защиту ядра на х64, успешно обходит проактивки как в момент установки, так и во время работы, уже полгода как не обновляется, а значит мертв. Цель: проверить связку SW+HIPS+PDM на обнаружение в активном виде.
Второй руткит - маячок. Не такой известен как TDL4 и в отличии от своего коллеги все делает с шумом и грохотом и не имеет защиты от проактивок, то есть задетектить нормальной проактивке не составит труда.
Теперь самое сладкое - тест.
Первым будет TDL4, запуск прошел на удивление очень спокойно и быстро, от HIPS выскочил лишь один алерт "Имя файла, пытается получить доступ к драйверу принтера". Ничего криминального, делаем вид что компьютерный интеллект на уровне домохозяйки и нажимаем "разрешить". Через пять минут выскакивет алерт от SW "обнаружено вероятное вредоносное ПО", так как цель проверить детект в активном виде нажимаем разрешить. PDM успешно отдохнул. Перезагрузим систему для запуска руткита.
Система успешно загрузилась, SW+HIPS+PDM на наличие руткита молчат. У PDM выставлено сканирование на скрытые объекты и процессы через каждые 5 минут, но не через 10, ни через 15 от PDM не поступает никаких сигналов, но в тоже время PDM успешно ловит OllyDBG c плагинами для скрытия отладчика. Молчит и SW, который детектил поведение руткита в памяти когда тот был в неактивном виде. В общем с TDL4(кстати сэмпл руткита от июля 2010 года) проактивка каспера успешно соснула.
Время маячка.
Маячок запустился успешно, тоже алерт от SW о подозрительном поведении и от HIPS на выключение системы.
После перезагрузки маячок запустился, и опять же SW+HIPS+PDM молчат и это на руткит который сопротивляться проактивка не умеет. Фейл
Вывод не утешительный, SW+HIPS+PDM у каспера могут орать только на нормальные программы, а ЛК на все говорить "Мы поймали Flame."

Нет, я в марте тестировал КИС 12 и там SW реагировал на BITS из комодо лейк теста только в ручном режиме. А неделю назад я поставил KIS 12 на виртуалкy и в авто режиме SW на него среагировал. Вообщем одно полезное дело ЛК сделала, SW поправила.
OLE automation - один из тестов из Comodo leak test и я его перепутал с BITS. Именно на BITS реагирует SW.

Поставил на виртуалке(VmWare) кис 12, чтобы по наблюдать за работой SW + HIPS + PDM(проактивка) в ручном режиме.
Вся эта связка держится на хипсе, убрать его и вся защита рушится. Кстати я протестировал SW в автоматике, все таки ЛК его научила нормально работать в автоматическом режиме.

http://forum.kasperskyclub.ru/index.php?showtopic=34374&st=0&#entry506478
"SW заточен как раз под авторежим.
HIPS заточен под любой режим, т.к. отлично настраиватеся, после чего не дает ни кучи, ни даже одиночных алертов, обеспечивая тем не менее защиту системы вполне на уровне."
Наглый пи..ешь и провокация.
Comodo Leak test в авторежиме каспер проваливает в дрова, 50 из 340, 30 балов набрала проактивка и 20 не помню за что. SW ругается на OLE automation только в ручном режиме, в авторежиме из любой группы статус теста "vulnerable".