Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

Kopeicev

Доброго времени суток, коллеги!

Возникла идея обновить тест на контроль проникновения в ring0

http://www.anti-malware.ru/hips_test_ring0

Предлагаю обсудить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Можно повторить этот тест в самое ближайшее время, как раз есть окно.

По прошлой методологии будет какие-то замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Думаю, стоит решить 2 вопроса:

1. Список продуктов.

2. ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Было бы интересно сравнить результаты на х86 и х64. Но это наверно трудоемко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
По прошлой методологии будет какие-то замечания?

не включать у Оутпоста режим автообучения :)

будет ли отключено автосоздание правил? или это не играет особой роли?

Снимок_2010_08_31_23_12_31.png

post-4500-1283282103_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
не включать у Оутпоста режим автообучения smile.gif

А по умолчанию этот режим включен до сих пор? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А по умолчанию этот режим включен до сих пор?

В мастере установки будет выбор типа установки: обычная или расширенная. Если выберите расширенную, то не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
не включать у Оутпоста режим автообучения smile.gif

Насколько я помню, это режим перед тестом отключался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А по умолчанию этот режим включен до сих пор? ;)

Там НЕТ УМОЛЧАНИЯ, есть выбор - простой режим или продвинутый. И этот выбор ОБЯЗАТЕЛЕН.

Не помню про автолерн, вроде отключали в дефолтном конфиге для простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возникла идея обновить тест на контроль проникновения в ring0
Можно повторить этот тест в самое ближайшее время, как раз есть окно.

Было бы очень интересно, да и рейтинг бы порталу в целом подняло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

вроде отключали в дефолтном конфиге для простого
нет, в простом режиме автолерн (на неделю) включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Так это ... сигнатуры же спалят их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ме-то-ды. Тесты Матусека же не палят, пока не провалят. :) Да и файловые АВ можно выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

http://www.anti-malware.ru/hips_test_ring0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это экспертов спрашивать надо. Кстати, где они?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Было бы интересно сравнить результаты на х86 и х64.

Это нужно сделать обязательно (если не хотим, чтобы у портала борода выросла :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что-то нужно туда добавить из нового?

Патчинг и загрузка из mbr. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Патчинг и загрузка из mbr. :)

Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

Дофига нового. И всегда были. Нереально без использования реальной малвары или без написания собственных тестов (аля Матусек) выдергивая способы из малвары. Ну, а про нахождение __своих__ способов я уж и не говорю :)

Поэтому тест будет уныл и неактуален, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

"Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах."

Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

SWW подскажи, а руткиты написанные под x86 работают на x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
SWW подскажи, а руткиты написанные под x86 работают на x64?

Вроде как нет, но вот TDSS под x64 уже появился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww

Дык, сделай красиво - подкинь тестовые тулзени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Патчинг и загрузка из mbr. smile.gif

Патчинг чего? MBR? Так было в сравнении:

CreateFileA \\.\PhysicalDriveX - посекторное чтение/запись диска (модификация файлов или главной загрузочной записи диска).
Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

опять же - было. Чтобы заюзоть IOCTL_SCSI_PASS_THROUGH_DIRECT нужно открыть диск с правами на запись. Разница лишь в том, что в прошлом сравнении использовался мебрут с kernel32:CreateFileA, а в этом TDL ntdll:ZwOpenFile.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×