Перейти к содержанию

Recommended Posts

spw

//Отделено от этого сообещения: http://www.anti-malware.ru/forum/index.php...ost&p=42138

Driver Verifier- одна сплошная бага, я вообще удивлён, что данный раздел тесторования так серьёзно рассматривается.

Ааааа!!!! :lol::lol::lol:

Давно так не смеялся.

Что, DefenseWall постоянно падает под DriverVerifier? И именно поэтому в нем (то есть в DriverVerifier) баги?! :lol::lol::lol:

Ну, всем все понятно как бы. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Что, DefenseWall постоянно падает под DriverVerifier? И именно поэтому в нем (то есть в DriverVerifier) баги?!

Если вы не сталкивались с ошибками DriverVerifier, то лучше молчать, чем показывать собственную некомпетенотость в данном техническом вопросе.

И нет, DefenseWall под Verifier'ом не падаем, но мне пришлось принять меры для того, чтобы обойти его недоработки. Или кто-то честно считает, что существуют программы без ошибок?

Да и вообще, попытки смеха над программами конкурентов- это типичный совок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Если вы не сталкивались с ошибками DriverVerifier, то лучше молчать, чем показывать собственную некомпетенотость в данном техническом вопросе.

Я вот по жизни все больше сталкивался с программистами, считающими, что падение под DriverVerifier - это его (DV) проблема, а не программиста.

И нет, DefenseWall под Verifier'ом не падаем, но мне пришлось принять меры для того, чтобы обойти его недоработки. Или кто-то честно считает, что существуют программы без ошибок?

Microsoft уже в курсе о данных ошибках? Раз уж на то пошло, может опубликуете суть этих ошибок?

Да и вообще, попытки смеха над программами конкурентов- это типичный совок.

1. Конкурентов никаких нет, поэтому не понял к чему это вообще.

2. "Смех" не над программой (и не над программами). А над конкретным заявлением (его сутью). И связан этот смех с тем, что я написал в первом абзаце данного сообщения. Слишком много в своей практике повидал людей, находящих "ошибки" в WRK, коде MessageBox и проч. нелепости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Microsoft уже в курсе о данных ошибках?

Да, в курсе.

Раз уж на то пошло, может опубликуете суть этих ошибок?

ObReferenceObjectByHandle при вызове внутри ядерных обработчиков определённых функций генерирует ложное сообщение DV об ошибке. Если мне память не изменяет, это происходит в обработчике ZwDuplicateObject, но могу и ошибиться- много времени с тех пор прошло, обошёл и забыл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Да, в курсе.

Ого! И что же Microsoft по этому поводу сообщил? Новые версии DriverVerifier как-то по-иному стали рассматривать UserMode'ные хэндлы с правами KernelMode? :lol::lol::lol: Может, просто стали сообщать, что так делать не стоит? ;)

ObReferenceObjectByHandle при вызове внутри ядерных обработчиков определённых функций генерирует ложное сообщение DV об ошибке. Если мне память не изменяет, это происходит в обработчике ZwDuplicateObject, но могу и ошибиться- много времени с тех пор прошло, обошёл и забыл.

Да-да, я вот пока вижу то, о чем я говорил выше. "Нашел баг в WRK". Советую ознакомиться с сутью "ложной" ошибки от DV.

P.S. На всякий случай: я не злобный. Мое отношение связано с тем, что некую откровенную глупость пытаются с умным видом выдать за правду. Это особенно актуально там, где люди "не в теме" и не понимают техническую сторону вопроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Ого! И что же Microsoft по этому поводу сообщил? Новые версии DriverVerifier как-то по-иному стали рассматривать UserMode'ные хэндлы с правами KernelMode? Может, просто стали сообщать, что так делать не стоит?

Проблема в том, что так делать стоит, иначе некоторые вполне даже юзермодные хендлы не будут референситься. А вообще- это оффтопик здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Проблема в том, что так делать стоит, иначе некоторые вполне даже юзермодные хендлы не будут референситься. А вообще- это оффтопик здесь.

Ну то есть, "что и требовалось доказать" ©. Полнейшее непонимание принципов разделения KM/UM, о чем и сообщает любезнейший DriverVerifier. Мнение которого, к сожалению, не только игнорируется (!), но и оспаривается. Ведь баг у Microsoft! :lol::lol::lol:

Продолжайте лезть дальше с максимальными правами к UM handle'ам. Что закончится, например, BSOD'ом, либо reference'ом полнейшего мусора, причем с правами SYSTEM'а.

Успехов в полетах. :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А вообще- это оффтопик здесь.

Уже не оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Andreiex
      Склыд хранилкин содержат в себе не одну ячейка для хранения вещей спб, на них занимаются хранение мебели спб, хранение вещей на время ремонта спб, а так же хранение вещей в питере Хранилкин, в первую очередь это ответственное хранение вещей спб хранение вещей на складе в спб склад хранения вещей спб  
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • mafanya
      Сделать настроение отличным на весь день помогут прикольные картинки на сайте https://proprikol.ru. Удобный интерфейс в сочетании с красивым дизайном понравятся каждому пользователю. Портал наполнен картинками различных жанров, просто перейдите в интересующую вас рубрику и наслаждайтесь просмотром. В честь дня рождения или какого-нибудь торжества есть поздравительные открытки. Для любителей смешных гифок на сайте отведена отдельная категория. Не забывайте делиться позитивом с друзьями. Для этого нужно скачать понравившуюся картинку, а затем отправить её любым удобным способом.
    • mafanya
    • Kuisa
      Тут стоит посмотреть себе качественные шторы плиссе https://alumdevelop.ru/solntsezashhitnye-sistemy/shtory-plisse/ Не так давно их заказывали себе и остались довольны. Смотрятся круто и цена скажу я вам очень даже адекватная на все это дело
×