Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

Killer

Настоятельно предлагаю включить WIN7 X64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Настоятельно предлагаю включить WIN7 X64

Настоятельно рекомендую почитать MSDN/WDK и не пороть чушь.

Ключевые слова: подписанные драйверы, PatchGuard.

P.S. Да-да, единственный и неповторимый TDL4 и ВСЕ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

именно, SWW спасибо за ответ ты как всегда прав.

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
подписанные драйверы, PatchGuard.

Мммм... А что это?:)

Да-да, единственный и неповторимый TDL4

Согласен. Тьфу, ну и фиг с ним:)

и ВСЕ!

Ок, подождем еще полгода:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

А вдруг Killer хотел отсыпать немного этого вкусного зиродея и скомпелировать в месте?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

:) Вступаю и компелирую:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hitman_007
Пятерку берите.

А может лучше сразу и 4.1 и 5? Для наглядности, что же они там так сильно улучшили?

Интересно жж :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

А может лучше сразу и 4.1 и 5?
а лучше с самых первых версий, посмотрим на динамику изменений :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
а лучше с самых первых версий, посмотрим на динамику изменений :)

А лучше вы скинетесь Копейцеву по 1000$ и он сделает тест на всех операционных системах начиная с Windows 3.1

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

А лучше вы скинетесь Копейцеву по 1000$ и он сделает тест на всех операционных системах начиная с Windows 3.1
в конце предложения стоит смайл -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
P.S. Да-да, единственный и неповторимый TDL4 и ВСЕ!

Современные активаторы W7, к примеру SLIC-эмуляцией, в гробу видели этот "неповторимый" TDL4.

w7lxeemu33503.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Современные активаторы W7, к примеру SLIC-эмуляцией, в гробу видели этот "неповторимый" TDL4.

И как это относится к обсуждаемой теме? Ко вредоносному коду под x64. Напоминаю на всякий, мало ли ты еще не слез с бронетанка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
И как это относится к обсуждаемой теме? Ко вредоносному коду под x64. Напоминаю на всякий, мало ли ты еще не слез с бронетанка.

Как относиться загрузка до ОС и манипуляции с ней к проникновению в нулевое кольцо? А какое отношение имеешь ты к аверской индустрии? И руки прочь от бронетанка: максимум тебе в руки - совочек для копания.

И вообще привязка теста к каким-то известным сэмплам полный отстой, имхо. Может завтра откопают труп очередного рустока, который полгода назад на протяжении нескольких месяцев "насиловал миллионы пользователей во время сна", и что тогда? Тесты нужно делать на будущее так сказать. А то антивирусы защищают нас в прошлом, тесты делаются для старых методов, что-то свеженькое есть только в бсодящих бэтах, и вообще вся эта котовасия напоминает дешевую рекламу ускорителей интернета и дефрагментаторов памяти. Илья говорил, что экспертов ого-го набрали, но что-то результатов их деятельности не видно. Зачем он их набрал? Для соответствующего окружения персоны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Как относиться загрузка до ОС и манипуляции с ней к проникновению в нулевое кольцо?

см. TDL4. Остальное - не вредоносный код.

Остатки хреноты комментировать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
см. TDL4. Остальное - не вредоносный код.

Ну... обычно после егоного сэмпла ОС не грузится, а после активатора не только грузится, но и активирована. Я верно угадал "неповторимость" TDL4? :D

Если корректнее выразить мысль, то не важно какой код, а важно что проникает в 0. И тест должен быть с актуальными методами. Тут сэмплы не подходят. Тест же по существующей методологии скорее относится к "альтернативным".

P.S. Что ты за эксперт портала такой, что Илье с тестом помочь даже не можешь. Гнать таких за лежебочество.

Отредактировал dr_dizel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Ну... обычно после егоного сэмпла ОС не грузится, а после активатора не только грузится, но и активирована. Я верно угадал "неповторимость" TDL4? :D

Я не все ОСи еще проверил, но WinXP x86 грузится и все работает. Способ известен, был описан тысячу лет тому назад и есть сэмпл. Причем тут активаторы, я не понимаю???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
В тест предлагаю взять такие продукты, где есть HIPS:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 4.1

Еще можно в этот список добавить

Safe`n`Sec Deluxe

Online Solutions Security Suite 1.5

DefenceWall Personal Firewall

Предлагаю добавить в этот список Avira PSS 10. Там есть новый модуль ProActive. Интересно посмотреть, на что он способен.

Только нужно учесть, что он интегрирован в модуль Guard и, соответственно, при отключении Guarda (влияние сигнатурного детекта) тоже работать не будет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Ну так в продукте есть возможность отключить только сигнатурное детектирование?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Kopeicev

Вообще, в здравом уме ни один разработчик не будет делать такую фишку. Ее, понимаешь, еще надо будет тестировать. Ресурсы тратить ради того, чтобы кто-то проводил синтетические тесты и только?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Причем тут активаторы, я не понимаю???

Напряги. При том, что для проникновения в 0 не обязательно писать хитрый высокотехнологичный код. Методов множество, даже самые "каличные" есть и работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Итак, попытаюсь подвести итог. Были предложены продукты:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. Malware Defender Free

11. GeSWall

12. Lavasoft Personal Firewall

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

Замечания\предложения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

После обсуждения с одним из экспертов портала список был изменён:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. ESET Smart Security 4

11. Norton Internet Security 2011

12. Trend Micro Titanium Internet Security 2011

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

15. Mcafee Internet Security 2010

16. Panda Internet Security 2010

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

При тестировании Kaspersky и ZoneAlarm я так понимаю запуск семплов будет проходить из под браузера, в песочнице?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Учёл замечание Данилки

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. ESET Smart Security 4

11. Norton Internet Security 2011

12. Trend Micro Titanium Internet Security 2011

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

15. Mcafee Internet Security 2010

16. Panda Internet Security 2011

P.S. Решили что где есть песочница будем использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×