Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

В этой теме 121 сообщений

Доброго времени суток, коллеги!

Возникла идея обновить тест на контроль проникновения в ring0

http://www.anti-malware.ru/hips_test_ring0

Предлагаю обсудить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно повторить этот тест в самое ближайшее время, как раз есть окно.

По прошлой методологии будет какие-то замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю, стоит решить 2 вопроса:

1. Список продуктов.

2. ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было бы интересно сравнить результаты на х86 и х64. Но это наверно трудоемко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По прошлой методологии будет какие-то замечания?

не включать у Оутпоста режим автообучения :)

будет ли отключено автосоздание правил? или это не играет особой роли?

Снимок_2010_08_31_23_12_31.png

post-4500-1283282103_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не включать у Оутпоста режим автообучения smile.gif

А по умолчанию этот режим включен до сих пор? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по умолчанию этот режим включен до сих пор?

В мастере установки будет выбор типа установки: обычная или расширенная. Если выберите расширенную, то не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не включать у Оутпоста режим автообучения smile.gif

Насколько я помню, это режим перед тестом отключался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по умолчанию этот режим включен до сих пор? ;)

Там НЕТ УМОЛЧАНИЯ, есть выбор - простой режим или продвинутый. И этот выбор ОБЯЗАТЕЛЕН.

Не помню про автолерн, вроде отключали в дефолтном конфиге для простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Возникла идея обновить тест на контроль проникновения в ring0
Можно повторить этот тест в самое ближайшее время, как раз есть окно.

Было бы очень интересно, да и рейтинг бы порталу в целом подняло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вроде отключали в дефолтном конфиге для простого
нет, в простом режиме автолерн (на неделю) включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Так это ... сигнатуры же спалят их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ме-то-ды. Тесты Матусека же не палят, пока не провалят. :) Да и файловые АВ можно выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это экспертов спрашивать надо. Кстати, где они?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Было бы интересно сравнить результаты на х86 и х64.

Это нужно сделать обязательно (если не хотим, чтобы у портала борода выросла :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что-то нужно туда добавить из нового?

Патчинг и загрузка из mbr. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Патчинг и загрузка из mbr. :)

Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

Дофига нового. И всегда были. Нереально без использования реальной малвары или без написания собственных тестов (аля Матусек) выдергивая способы из малвары. Ну, а про нахождение __своих__ способов я уж и не говорю :)

Поэтому тест будет уныл и неактуален, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

"Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах."

Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SWW подскажи, а руткиты написанные под x86 работают на x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SWW подскажи, а руткиты написанные под x86 работают на x64?

Вроде как нет, но вот TDSS под x64 уже появился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sww

Дык, сделай красиво - подкинь тестовые тулзени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Патчинг и загрузка из mbr. smile.gif

Патчинг чего? MBR? Так было в сравнении:

CreateFileA \\.\PhysicalDriveX - посекторное чтение/запись диска (модификация файлов или главной загрузочной записи диска).
Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

опять же - было. Чтобы заюзоть IOCTL_SCSI_PASS_THROUGH_DIRECT нужно открыть диск с правами на запись. Разница лишь в том, что в прошлом сравнении использовался мебрут с kernel32:CreateFileA, а в этом TDL ntdll:ZwOpenFile.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.