نـقـاش اختبار اختراق Random PayLoad مع Kaspersky Endpoint Security 11

بارك الله فيك على الرد لكن رجاء" عندي بعض الأمور التي أود ن أفهمها .. الوضع الأفتراضي للحماية هو تحويل اي برنامج غير موثوق حسب مجتمع الكاسبرسكي الى Low restricted فمثلا" كان كراك لبرنامج معين فأنه سيسمح بتشغيله ( تحويله الى غير لموثوق لن يشغل اي كراك مهما كانت نظافته و ليس في هذا أي ذكاء حسب أعتقادي ) .. سؤالي هو أذا الكراك أظهر أي نشاط مشبوه فهل سيوقفه الكاسبرسكي بخاصية Behavior block أم أنه لن يوقفه ما دام سمح له من الأول . لأن كان عندي emsisoft anti malware و قمت بتحميل كراك للانترنت داونلود مانجر ( لا أستخدم الكراك الا في أضيق نطاق ) وكانت نسبة الفحص على الفايروس توتال 0/60 لكن بعد أستخدامه بفترة تم حذف الكراك بخاصية Behavior block .
سؤال أخير بارك الله فيك .. أستخدمت Symantic endpoint prtection 14 و بصراحة أستجابته أسرع في معالجة الملفات المشبوهة التي أقوم بتنزيلها للأختبار مثل AV test من spyshelter

 

طبقه application privilege control التى وضعتها الكاسبر لتصنيف البرامج حسب عدد المستخدمين للاسف تحتاج كثير من التعديلات

حيث ان الطبقه عندما تضع برنامج ما غير موثوق فى قاعده Low restricted يتم منحها كثير من الصلاحيات مثل ( قراءه / كتابه / تعديل / انشاء / حذف / الاتصال ) وهى من اهم الامور التى اصلا وجب الا تعطى لاى ملف يتم وضعه فى تلك القيود

application privilege control تراقب سلوكيات الملف لذلك نعم يستم ايقاف الملف وفق لسلوكه فى حال ظهر اى نشاطات مشبوهه

المشكله تكمن دائما فى القواعد الاولى التى يتم منحها للملف حيث ان من المفترض ان يتم منح بعض الصلاحيات وليس كامله حتى يتضح بعد ذلك سلوك الملف على المدى الطويل وليس العكس

اى ان الكاسبر منحت للملف كل الصلاحيات الممكنه فى الاول وهذا خطاء كبير من الافضل ان يتم منح الصلاحيات بالتتابع

لكن ربما الكاسبر لديها وجهه نظر فى هذا الامر لان عند تقييد الملف من الاول بصلايحات محدده كما اقطرحت فذلك يقوم بايقاف نسبه 90 % من جميع البرامج الغير موثوقه تماما

الامر يحتاج الى دراسه على المدى الطويل وليس بضع اختبار بسيط وقد اوضحت ذلك فى الموضوع فى احد المشاركات السابقه

الوحده جيده جدا وممتازه فى تصنيفتها وفق للمستخدمين لكن كنت افضل التعديل كما شرحت لك فى الاعلى لبيان العكس على المستخدم

بخصوص رده الفعل السريعه لكل من emsisoft وحتى Symantic فطبقات فيهم سريعه للغايه فى الوقت الحقيقى لقنص اى سلوك مشبوه وهذه نقطه تحسب لهم

 

بارك الله فيك على التوضيح .. لكن بعض البرامج الموثوقة لكن ليس لها signature عندما أخذت منها بعض الصلاحيات البسيطة لم تعمل فما بالك لو تضعها في غير الموثوقة أو high restricted . الذي أعجبني في اsymantic endpoint protection هو أنه يوضح لك وضع الملف من كونه يحتوي علي فايروس أو مشبوه ينصح بحذفه .نسخة الأندبوينت معقدة و تحتاج الى أدراك واسع للتحكم فيها . أتمنى عندما تجد الوقت المناسب توضح لنا أفضل الأعدادات لهذه النسخة .