Комментарии 41
Этому приколу сто лет , реально повод для статьи на Хабре?
Реально. За пределами хабра вам миллион людей стройным воем скажут, что Defender - лучший антивирус, а любые другие антивирусы покупают только конченые лохи. Так что сколько этот прикол длится, столько и писать.
Я Вам и изнутри Хабра скажу, что это очень даже неплохой антивирус, управляемый и расширяемый вплоть до EDR/XDR решений.
Про то, что ISO Kali в виртуалку и "магазинный" Kali нужно устанавливать в WSL заранее немного предприняв усилий - про это очень давно известно и инфоповодом IMHO не является. Хотя ... Больнее всего наступать на детские грабли, да.
Ну да, когда антивирус считает файл подозрительным, а потом не может его ни удалить, ни оставить, вешая всю систему - то это пользователь наступил на детские грабли.
А если антивирус прошляпил малварь, то тоже пользователь виноват - нехрен было малварь скачивать.
Ещё, у меня нет EDR/XDR решений , у меня есть 1 комп. И в такой ситуации у Defender нет настроек вообще. Добавить в исключения тормозной древний USB-диск нельзя. А когда одно время он вздумал ругаться на Rust, пришлось добавить в исключения всю папку Temp - иначе успокоить Defender было нельзя. Мой нынешний антивирус тоже ругается на Rust, но в исключения можно добавить по wildcard и только это конкретное подозрение.
Короче, как был фуфел, сляпаный на коленке чтобы был благородный повод собирать глубокую телеметрию, так и остался. Только ещё в рекламу миллиардик вбухали, похоже.
У меня в WSL одна из систем Kali. Антивирус - Defender, ось - W10 и W11. Свежие версии Kali Linux часто ставлю в Hyper-V из официального .ISO.
Перед установкой прочитал короткие пояснения, как правильно поставить и добавить в исключения. Никаких проблем. Может всё-таки достаточо специфичные вещи устанавливать надо с минимальной подготовкой, а не обвинять во всём "кривой ативирус"?
PS Wildcard, кстати, тоже вполне себе вменяемо поддерживается для исключений.
А при чём тут Kali вообще? Если антивирус так себя ведёт при детекциях, то что мне мешает взять обнаруживаемую малварь размером в пару килобайт, запаковать в ISO образ 10 000 копий с тривиальной разницей между ними, и этот образ весом 20Мб разослать?
*стройным воем говорит что дефендер хороший антивирус и ждёт законно заработанную часть от выделенного на рекламу миллиарда*
Нет, ну правда - тема на киберфоруме моя :) Такая проблема за годы пользования случилась раз. А я админю всякое и люди там скачивающие всякое попадаются всякие. Вот вам мой опыт - дефендер и правда максимально беспроблемный по сравнению с аналогами (мне довелось пользоваться симантеком (корпоративной версией), авастом, дрвёбом, касперским (корпоративной версией)и случайно - пандой на китайских тачках на контроллерах завода. Систему дефендер как раз не повесил, в отличии от того что бывало с этими вот парнями, просто зациклился в своих же логах. Работать при этом не перестал и проч. Баг? Баг. Вы доложили разработчику? Нет. Так чего ж шумите?
Антивирус это в принципе штука которая сидит в вашей системе и делает что то там. Это неприятно явление чисто с точки зрения юникс-вей. Но увы, это меньшее зло, необходимое потому что люди по своей природе склонны поднасрать своему ближнему (см. хакеры, вирусописатели, вирусорассылатели-шутники и проч.) Не рассылайте этот образ весом 20Мб. Пожалуйста :)
Ещё, у меня нет EDR/XDR решений , у меня есть 1 комп
К сожалению, вы находитесь в невыгодной ситуации. Это EDR/XDR решениям нет дела до вас, а не вам до них.
И в такой ситуации у Defender нет настроек вообще
Defender - это одна из самых гибких платформ с неплохим интеграциями для конечных устройств. Не поверю, что у антивируса (который является, кстати, лишь компонентом данной платформы) не хватает базовых настроек для ваших нужд.
Вообще-то в статье речь про ПК, а не рабочую станцию. И не про некую"платформу", а про софт для конечного пользователя. Соответственно, все эти ваши групповые политики и интюны, нифига не являются нормальным интерфейсом для его настроек.
А чем в текущих реалиях пк отличается от рабочей станции? Если вы намекаете на AD, то его наличие-отсутствие в случае с политиками роли не играет. Defender при всей своей скудности настроек стал нормальным антивирусом, при том бесплатным и по-божески грузящим систему. А то, что виндовс приходится твикать при помощи политик, тюнеров, реестра и ещё такой-то матери - ну так это всегда так было, и виндовс тут тоже ничем на фоне других ОС не выделяется. Человек, запускающий kali явно имеет претензии на какую-то квалификацию, нет?
лицензионными политиками.
По сути , Windows давно идет путем , то что это рабочая станция, управляемая работодателем. Это ваш личный компьютер и работодателю нет до не него дела? До свидания.
Человек, запускающий kali явно имеет претензии на какую-то квалификацию, нет?
Хах. Поинтересутесь на ЛОРе, почему "тема про Кали" уже стала местным мемом с неизменным цирком, и почему у кучи юзеров там тег "Kali" в игноре.
В текущих реалиях, как и всегда, он отличается тем, что управляется непосредственно пользователем, а не "обратитесь к своему администратору". И вот эти вот политики и реестры... а, ну это я собственно уже написал выше.
А то, что виндовс приходится твикать
Здесь разговор не про виндовс, а про конкретное приложение, которое без всех этих твиков порой просто не даёт сделать то, что нужно пользователю. И никакие EDR/XDR решения этого не оправдывают. Касперского почему-то можно настроить под себя вообще без правки реестра/групповых политик, а дефендер нельзя, вот и весь сказ.
Defender - "очень даже неплохой"? Вчера поставил на винду свежевыпущенный Lazarus 3.0. Сделал проект из одной формочки (пустой). Defender тут же сообщает, что получившийся exe-шник (т.е. пустая форма) это вредонос.
Defender имеет одно большое преимущество - очень маловероятно что его обновления приведут систему в незагружабельное состояние (и не ремонтопригодное кроме как "попробовать установить ту же версию винды поверх с USB" состояние или переподнимать с бекапаа). У KES'а вот получилось - Safe Mode не стартует, System Recovery point при установке он не сделал.
Все так и есть в принципе. И это я говорю с платной подпиской Касперского :)
Или вы думаете, что только дефендер может сносить что попало?
Только Дефендер нельзя уговорить, чтобы он этого не делал. Несколько раз я попадал в ситуации, когда он делает нежелательную фигню, и нет опции сказать ему, чтобы он так не делал, кроме как отключить целиком, например, всю детекцию шифровальщиков.
Да это еще что. Касперского вообще не заставишь файл вернуть после удаления. Поэтому я его и снес.
Заколебался пересоздавать venv для поделий на питоне. Если Касперскому что-то не понравилось и файл улетел в карантин, то все, можете любые исключения добавлять и пытаться восстановить файл - больше он там не появится с тем же названием.
Только Дефендер нельзя уговорить, чтобы он этого не делал
Да ладно. Тем же многие антивирусы грешат, Авира, например (по крайней мере, пока я ей пользовался). Касперский без соответствующей слегка неочевидной настройки.
Где вы находите столько долбо@бов?
Просто столкнулся с такой проблемой и решил поделиться решением, если вдруг найдётся кто-то такой же паникер-новичок как я.)
Тоже начал проходить курсы по кибербезопасности, но такой проблемы со своим дефендером не встретил
Значит, не наступили на мои же грабли.)
Просто хотелось написать целостное решение для таких же новичков как я, которые только учатся и могут допустить такие же ошибки.
Всего одно вводное предложение могло сильно улучшить отношение к неплохой в целом статье.
Просто хотелось написать целостное решение
Я бы тогда посоветовал проделать еще две вещи: во-первых, объяснить, что делает команда, а то иначе это заклинание :) в идеале еще и дать команду, отменяющую эффект первой; во-вторых, хотя бы в двух словах описать информацию по ссылкам. Знаете, как обидно бывает, когда ищешь решение какой-нибудь нетривиальной проблемы, находишь на старых форумах, вероятно, единственную во всем интернете ветку с ее обсуждением, которая заканчивается словами "вот по ссылке решение, мне помогло", а ссылка уже нерабочая? Или что-то на скриншотах, которые тоже уже не грузятся.
Возможно у меня еще всё впереди)
А что не так? Многие антивирусы агрятся на хакерские инструменты. Он же пишет "hacktool" Он не знает вы специально скачали или вам кто-то внедрил. Решение принимать вам. Причем это как бы известные программы из базы. Эвристический анализатор тоже должен агрится на специфический набор api вызовов. Обычно такое добро складывается в отдельную папку и заносится в исключения.
Оно и понятно. Никаких обвинений в сторону дефендера не имею, весьма хороший антивирус.)
Просто произошла вот такая нелепая ситуация, с которой пришлось немного повозиться и опубликовать решение. Самое забавное, в моем случае получилось объединить несколько проблем - это удаление исошника и остановка постоянного сканирования системы. Но что ж, все приходит с опытом.
Очень многие антивирусы имеют детект "угрозы" "hack tool" (у меня на работе Касперский, например, ругался на Process Explorer из Sysinternals Suite). А Kali, очевидно, более чем подходит под ""hack tool". Повторным детектом больших файлов тоже многие грешат (тот же Каспер и ДрВеб, как минимум). Дефендер хотя бы не вешается на этих больших файлах, в отличие от некоторых.
Достаточно дано лежит несколько образов Kali, виртуалка развернута, ничего подобного случаю автора нет.
Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.
Кто бы мог подумать.
Удивительно, почему это антивирус агрится на "софт для хакеров"))
Microsoft Defender обнаружил Kali Linux