Перейти к содержимому


Фото
- - - - -

Непонятное поведение КАТАНЫ, баг

катана баг детект карантин

  • Please log in to reply
23 ответов в этой теме

#1 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 22 Июнь 2021 - 22:16

В настройках защиты и блокировки подозрительных действий можно выбрать блокировать, разрешать и спрашивать для разных видов подозрительного поведения. Я попробовал с файлом hosts, выбрал спрашивать, добавил в файл несколько символов и сохранил - появился запрос разрешить или заблокировать изменения, все работает. Если же выбрать блокировать, то файл hosts изменить невозможно, тут тоже все понятно. Но вот есть программа FPS monitor и если параметр целостности запущенных приложений выбрать спрашивать, то при запуске монитора появляется такое странное окошко, где всего одна кнопка - исправить. Если ее нажать, то катана обнаруживает файлы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe и C:\ProgramData\FPSMonitor\hooks\fpsmon64.dll как вирусы и якобы помещает их в карантин. В менеджере карантина действительно отображаются эти два файла, но из папки C:\ProgramData\FPSMonitor\hooks они не удаляются, а остаются заблокированными. и снимается эта блокировка исключительно перезагрузкой компьютера, никакое отключение защиты и самозащиты не помогает. Если восстановить из карантина эти два файла, то они восстанавливаются с именами fpsmon64(1).exe и fpsmon64(1).dll. Ну это понятно, исходные файлы ведь заблокированы и с ними ничего нельзя сделать до перезагрузки. Но почему они блокируются, ведь в карантин должны были переместиться. И как отключить подобные детекты? В полном антивирусе есть настройки исключений, но тут исключений нет! Это вообще как так? Если я хочу, чтобы катана ни при каких обстоятельствах не проверяла определенную программу или определенную папку, то как их исключить? Один раз катана добавила в карантил файл SppExtComObjHook.dll и SppExtComObjPatcher.exe в карантин, я восстановил и больше эти файлы не трогает. Восстановление из карантина это аналог добавления в исключения или нет? Если нет, то почему тут нет исключений? Когда будет исправление бага с фпс монитором?

Прикрепленные файлы:



#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Июнь 2021 - 23:00

В катане есть исключения, вернее правила в превентивной защите, ровно как в большом брате. То что они залочены значит процесс нейтрализации ещё идёт, должны исчезнуть в большинстве случаев. Но в целом процесс лечения это сложная многоходовочка, часть операций может происходить после ребута.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Июнь 2021 - 23:03

Fps монитор работает по принципу инжекта своего кода в различные процессы, то что за это получает ожидаемо. Пришлите эти файлы оба мне в личку, глянем насколько им можно доверять. Можете создать правило в превентивной защите для этого приложения и выставить в разрешить нужные действия.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Июнь 2021 - 23:04

Поведенческий анализ через какое то время теряет интерес к файлам и процессам которые живут в системе, поэтому детекты не постоянны по своей натуре.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 22 Июнь 2021 - 23:09

А то, что файлы не удаляются, а блокируются, это нормально? Почему в карантине они есть и в исходной папке тоже есть? Очень похоже на баг. Может стоит вам поставить этот монитор и попробовать воспроизвести?



#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Июнь 2021 - 23:47

Я написал выше. Должен появится в конце балун с детектом DPH:Trojan.Inject.xxx и путем к файлу.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 23 Июнь 2021 - 03:24

Еще баг в катане. Если запустить фпс монитор, а потом стресс-тест в фурмарке, то при закрытии монитора остается заблокированный процесс fpsmon64.exe, файл программы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe. Такое пока проявляется только с фурмарком, в играх такого нет. Если же отключить и включить защиту, то бага с фурмарком нет. Это вообще какой-то эпический криворукий баг. Как такое вообще возможно? Почему блокируется процесс fpsmon64.exe, но если перед запуском монитора и фурмарка отключить и включить заново защиту, то бага нет? Фурмарк версии 1.26.0.0, фпс монитор 5305. Вам не кажется, что это уже слишком? 1000 рублей в год и такие серьезные труднонаходимые баги? Это если человек разбирается в компьютерах, он может понять закономерность и найти причину бага, а если это будет блондинка? Тогда причину бага можно вообще не найти никогда. Да даже если и опытный человек, но никогда не юзал фурмарк, скачает его, запустит, увидит баг с фпс монитором и подумает на фурмарк или на монитор, что логично, ведь только с фурмарком такой баг появляется. А на самом деле виноват доктор веб. И что это за окошко в моем первом посте, где только одна кнопка исправить? Почему не две кнопки разрешить и запретить? Кому-то серьезно надо заняться выпрямлением своих рук, так как качество кода совсем плохое уже. Тут где-то баг трекер был, туда еще можно писать? Куда надо отписать по этому багу, чтобы им занялись?



#8 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 23 Июнь 2021 - 11:53

И что это за окошко в моем первом посте, где только одна кнопка исправить? Почему не две кнопки разрешить и запретить? Кому-то серьезно надо заняться выпрямлением своих рук, так как качество кода совсем плохое уже.

Это юзабилисты такую глупость придумали: "исправить" - это запретить, а нажатие на крестик - это разрешить.
Более глупого решения я в жизни, наверно, не встречал.
Только вот к "качеству кода" это не имеет никакого отношения...

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#9 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 23 Июнь 2021 - 13:56

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?



#10 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 23 Июнь 2021 - 13:57

 

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?

 

bugs.drweb.com


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Июнь 2021 - 15:28

видел ваш тикет, и личку. все эти модули с марта еще в доверенных.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#12 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Июнь 2021 - 15:32

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820
2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms
 
староват у вас продукт мягко говоря

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#13 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 23 Июнь 2021 - 21:45

Это как так? Я вчера скачал его из личного кабинета, обновления проверял, там не требуется. Почему у вас на сайте старая катана? И почему не обновляется, если обновление вышло?

 

Программные модули
Dr.Web KATANA 
Dr.Web KATANA (1.0)
Dr.Web Anti-rootkit API 
dwarkapi.dll (11.5.7.201902131)
Dr.Web KATANA setup 
katana-setup.exe (1.0.18.12080)
Dr.Web Shellguard anti-exploit module 
dwsguard64.dll (12.6.2.05180)
Dr.Web Shellguard anti-exploit module 
dwsguard32.dll (12.6.2.05180)
Dr.Web Protection for Windows 
dwprot.sys (11.5.10.10080)
Dr.Web SysInfo library 
dwsysinfo.dll (11.5.3.201811230)
Dr.Web SysInfo 
dwsysinfo.exe (11.5.3.201811230)
Dr.Web KATANA Agent 
spideragent.exe (11.0.7.02271)
Dr.Web Updater 
drwupsrv.exe (11.5.19.06040)
Dr.Web Control Service 
dwservice.exe (11.5.2.09121)
Dr.Web Quarantine 
dwqrlib64.dll (11.5.6.03280)
Dr.Web Thunderstorm Cloud Client SDK 
ccsdk.dll (11.5.1.06070)

Прикрепленные файлы:


Сообщение было изменено Legion03: 23 Июнь 2021 - 21:46


#14 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 24 Июнь 2021 - 01:45

Так, мне в тикете написали обновить программу, перезагрузить компьютер и проверить. Но я не заметил, что еще написали включить облако. Сейчас я включил облако, выполнил обновление и баг вроде пропал. Попробую еще с другими программами протестировать. Так а что, без облака никак? Что будет передаваться Доктору при активном облаке? Разъясните подробнее пункт 2.2 политики конфиденциальности. Будет ли отправляться на серверы в облако каждый детект чего-нибудь у меня на компьютере? Если да, то будет ли отправляться с этим мой уникальный идентификатор, по которому меня можно будет вычислить? Можно ли избавиться от этого бага без всяких облаков (не хочу, чтобы за мной следили), или вы таким образом принуждаете пользователей к отправке статистики (а она анонимна?)

И какие именно модули у меня старые? Вот версии с включенным облаком

Программные модули

Dr.Web KATANA 
Dr.Web KATANA (1.0)
Dr.Web Anti-rootkit API 
dwarkapi.dll (11.5.7.201902131)
Dr.Web KATANA setup 
katana-setup.exe (1.0.18.12080)
Dr.Web Shellguard anti-exploit module 
dwsguard64.dll (12.6.2.05180)
Dr.Web Shellguard anti-exploit module 
dwsguard32.dll (12.6.2.05180)
Dr.Web Protection for Windows 
dwprot.sys (11.5.10.10080)
Dr.Web SysInfo library 
dwsysinfo.dll (11.5.3.201811230)
Dr.Web SysInfo 
dwsysinfo.exe (11.5.3.201811230)
Dr.Web KATANA Agent 
spideragent.exe (11.0.7.02271)
Dr.Web Updater 
drwupsrv.exe (11.5.19.06040)
Dr.Web Control Service 
dwservice.exe (11.5.2.09121)
Dr.Web Quarantine 
dwqrlib64.dll (11.5.6.03280)
Dr.Web Thunderstorm Cloud Client SDK 
ccsdk.dll (11.5.1.06070)

Сообщение было изменено Legion03: 24 Июнь 2021 - 01:46


#15 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 24 Июнь 2021 - 17:32

 

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820
2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms
 
староват у вас продукт мягко говоря

 

А вы Катану часто обновляете? :) Я уж и не помню когда она последний раз в новостях светилась.


Сообщение было изменено SergSG: 24 Июнь 2021 - 17:32


#16 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Июнь 2021 - 17:54

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820
2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms
 
староват у вас продукт мягко говоря

А вы Катану часто обновляете? :) Я уж и не помню когда она последний раз в новостях светилась.

 

drwbase.db и без новостей обновляется несколько раз в неделю. Сегодня, например. А вот Аркадий там именно такой и лежит, двухлетней давности.


Семь раз отрежь – один раз проверь

#17 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 24 Июнь 2021 - 19:40

А когда его обновят? И почему его не обновляют, если обновление уже вышло?



#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 24 Июнь 2021 - 21:08

с вашей старой базой разбираться надо вам, с тех. поддержкой. база выходит иногда ежедневно. а у вас уже пол года как старая


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 Legion03

Legion03

    Member

  • Posters
  • 223 Сообщений:

Отправлено 24 Июнь 2021 - 22:54

А как так может получиться, что у меня что-то там старое? Я же не пиратский дистрибутив скачал, а честно купил, а установщик скачал отсюда https://products.drweb.ru/home/katana/

Причем поставил всего два дня назад, это значит установщик старый там?



#20 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 25 Июнь 2021 - 00:15

А как так может получиться, что у меня что-то там старое? Я же не пиратский дистрибутив скачал, а честно купил, а установщик скачал отсюда https://products.drweb.ru/home/katana/

Причем поставил всего два дня назад, это значит установщик старый там?

Установщики обновляют крайне редко. Обновления загружаются в процессе установки или при первом же апдейте.

Почему у Вас не обновилась drwbase.db должна разобраться тех. поддержка. И логи, как я понимаю, находятся у них.





Also tagged with one or more of these keywords: катана, баг, детект, карантин

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых