Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

Kopeicev

Доброго времени суток, коллеги!

Возникла идея обновить тест на контроль проникновения в ring0

http://www.anti-malware.ru/hips_test_ring0

Предлагаю обсудить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Можно повторить этот тест в самое ближайшее время, как раз есть окно.

По прошлой методологии будет какие-то замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Думаю, стоит решить 2 вопроса:

1. Список продуктов.

2. ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Было бы интересно сравнить результаты на х86 и х64. Но это наверно трудоемко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
По прошлой методологии будет какие-то замечания?

не включать у Оутпоста режим автообучения :)

будет ли отключено автосоздание правил? или это не играет особой роли?

Снимок_2010_08_31_23_12_31.png

post-4500-1283282103_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
не включать у Оутпоста режим автообучения smile.gif

А по умолчанию этот режим включен до сих пор? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А по умолчанию этот режим включен до сих пор?

В мастере установки будет выбор типа установки: обычная или расширенная. Если выберите расширенную, то не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
не включать у Оутпоста режим автообучения smile.gif

Насколько я помню, это режим перед тестом отключался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А по умолчанию этот режим включен до сих пор? ;)

Там НЕТ УМОЛЧАНИЯ, есть выбор - простой режим или продвинутый. И этот выбор ОБЯЗАТЕЛЕН.

Не помню про автолерн, вроде отключали в дефолтном конфиге для простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возникла идея обновить тест на контроль проникновения в ring0
Можно повторить этот тест в самое ближайшее время, как раз есть окно.

Было бы очень интересно, да и рейтинг бы порталу в целом подняло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

вроде отключали в дефолтном конфиге для простого
нет, в простом режиме автолерн (на неделю) включен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В идеале стоит известные методы вредоносов представить в виде тестовых вредоносов и проверить на них.

Так это ... сигнатуры же спалят их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ме-то-ды. Тесты Матусека же не палят, пока не провалят. :) Да и файловые АВ можно выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

http://www.anti-malware.ru/hips_test_ring0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это экспертов спрашивать надо. Кстати, где они?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Было бы интересно сравнить результаты на х86 и х64.

Это нужно сделать обязательно (если не хотим, чтобы у портала борода выросла :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что-то нужно туда добавить из нового?

Патчинг и загрузка из mbr. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Патчинг и загрузка из mbr. :)

Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
В отчете описаны методы, которые проверились в тесте. Что-то нужно туда добавить из нового?

Дофига нового. И всегда были. Нереально без использования реальной малвары или без написания собственных тестов (аля Матусек) выдергивая способы из малвары. Ну, а про нахождение __своих__ способов я уж и не говорю :)

Поэтому тест будет уныл и неактуален, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Ну это получается надо либо буткит применять или как то повторять его технологию, что на мой взгляд сложно.

"Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах."

Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

SWW подскажи, а руткиты написанные под x86 работают на x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
SWW подскажи, а руткиты написанные под x86 работают на x64?

Вроде как нет, но вот TDSS под x64 уже появился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww

Дык, сделай красиво - подкинь тестовые тулзени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Патчинг и загрузка из mbr. smile.gif

Патчинг чего? MBR? Так было в сравнении:

CreateFileA \\.\PhysicalDriveX - посекторное чтение/запись диска (модификация файлов или главной загрузочной записи диска).
Так актуален же tdss.mbr DeviceIoControl IOCTL_SCSI_PASS_THROUGH_DIRECT. Ну а если сложно, то зачем тогда браться за тест?

опять же - было. Чтобы заюзоть IOCTL_SCSI_PASS_THROUGH_DIRECT нужно открыть диск с правами на запись. Разница лишь в том, что в прошлом сравнении использовался мебрут с kernel32:CreateFileA, а в этом TDL ntdll:ZwOpenFile.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×