Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

Kopeicev

Доброго времени суток, коллеги!

Возникла идея обновить тест на контроль проникновения в ring0

http://www.anti-malware.ru/hips_test_ring0

Предлагаю обсудить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Можно повторить этот тест в самое ближайшее время, как раз есть окно.

По прошлой методологии будет какие-то замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Думаю, стоит решить 2 вопроса:

1. Список продуктов.

2. ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Было бы интересно сравнить результаты на х86 и х64. Но это наверно трудоемко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
По прошлой методологии будет какие-то замечания?

не включать у Оутпоста режим автообучения :)

будет ли отключено автосоздание правил? или это не играет особой роли?

Снимок_2010_08_31_23_12_31.png

post-4500-1283282103_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
не включать у Оутпоста режим автообучения smile.gif

А по умолчанию этот режим включен до сих пор? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А по умолчанию этот режим включен до сих пор?

В мастере установки будет выбор типа установки: обычная или расширенная. Если выберите расширенную, то не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
не включать у Оутпоста режим автообучения smile.gif

Насколько я помню, это режим перед тестом отключался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А по умолчанию этот режим включен до сих пор? ;)

Там НЕТ УМОЛЧАНИЯ, есть выбор - простой режим или продвинутый. И этот выбор ОБЯЗАТЕЛЕН.

Не помню про автолерн, вроде отключали в дефолтном конфиге для простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возникла идея обновить тест на контроль проникновения в ring0
Можно повторить этот тест в самое ближайшее время, как раз есть окно.

Было бы очень интересно, да и рейтинг бы порталу в целом подняло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

вроде отключали в дефолтном конфиге для простого
нет, в простом режиме автолерн (на неделю) включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Так это ... сигнатуры же спалят их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ме-то-ды. Тесты Матусека же не палят, пока не провалят. :) Да и файловые АВ можно выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

http://www.anti-malware.ru/hips_test_ring0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это экспертов спрашивать надо. Кстати, где они?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Было бы интересно сравнить результаты на х86 и х64.

Это нужно сделать обязательно (если не хотим, чтобы у портала борода выросла :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что-то нужно туда добавить из нового?

Патчинг и загрузка из mbr. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Патчинг и загрузка из mbr. :)

Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

Дофига нового. И всегда были. Нереально без использования реальной малвары или без написания собственных тестов (аля Матусек) выдергивая способы из малвары. Ну, а про нахождение __своих__ способов я уж и не говорю :)

Поэтому тест будет уныл и неактуален, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

"Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах."

Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

SWW подскажи, а руткиты написанные под x86 работают на x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
SWW подскажи, а руткиты написанные под x86 работают на x64?

Вроде как нет, но вот TDSS под x64 уже появился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww

Дык, сделай красиво - подкинь тестовые тулзени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Патчинг и загрузка из mbr. smile.gif

Патчинг чего? MBR? Так было в сравнении:

CreateFileA \\.\PhysicalDriveX - посекторное чтение/запись диска (модификация файлов или главной загрузочной записи диска).
Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

опять же - было. Чтобы заюзоть IOCTL_SCSI_PASS_THROUGH_DIRECT нужно открыть диск с правами на запись. Разница лишь в том, что в прошлом сравнении использовался мебрут с kernel32:CreateFileA, а в этом TDL ntdll:ZwOpenFile.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • loveawake.ru
      Задача. Нужно чтобы в панели инструментов была кнопка, при нажатии на которую очищались бы следующие каталоги:

      d:z_temp
      e:z_temp

      Т.е. должно очищаться содержимое этих каталогов, а сами они должны оставаться.
      Можно ли решить эту задачку?
    • demkd
      ---------------------------------------------------------
       4.11.5
      ---------------------------------------------------------
       o Добавлена поддержка отслеживания процессов.
         Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
         достоверно определять все файлы, которые запускались с момента старта системы.
         Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
         момента запуска системы.
         Твик #39 включает отслеживание, твик #40 отключает.
         (!) После включения отслеживания процессов требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
         (!) Только дла активных и удаленных систем начиная с Vista (NT6.0).  o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
         pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
         можно открыть его информационное окно.
         Данные доступны с момента запуска системы, при включенном отслеживании процессов.  o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.  o Новая горячая клавиша:
         Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.  o В лог добавлена информация о времени старта Windows.  
    • santy
      кстати, сейчас удобно стало с фильтрующими правилами. добавил несколько правил по майнеру flock, и сразу попадают в отфильтрованный список все запчасти от майнера, по которым срабатывают созданные правила
    • demkd
      значит добавлю это дело в uVS, иногда будет полезно распутывать цепочки запуска
    • santy
      Привет. предложенный метод сработал.     но здесь он и в задачи попал, возможно не успел все зачистить    
×