Тест на предотвращение проникновения в ring0 II (результаты)

[Илья Рабинович 521]

Пример: тут в теме много говорилось о песочницах, на практике любой пинч отправляет инфу из песочницы, да еще из винды, где все службы запускаются от имени пользователя System

1. Данный тест заточен на проверку конкретных участков защиты, самый опасный пинч- это пинч, который проник в ядро операционки.

2. А вот спорим, что не во всякой посочнице пинчеподобное поделие сможет не то, что отправить что-нибудь, а даже получить эти данные?

[SDA 750]

1. Данный тест заточен на проверку конкретных участков защиты, самый опасный пинч- это пинч, который проник в ядро операционки.

2. А вот спорим, что не во всякой посочнице пинчеподобное поделие сможет не то, что отправить что-нибудь, а даже получить эти данные?

Илья я бы поспорил и послушал бы твое мнение, но опять замодерируют, за флуд не по теме

[Kuzz 0]

ZoneAlarm Internet Security Suite, ZoneAlarm Internet Security Suite и

под таблицей 1

[ntoskrnl 155]

Спасибо за тест, но, как уже замечено выше, тест не имеет никакой практической пользы. Поясню. В шапке было указано

Выбранные нами набор методов является всего лишь минимальной (качественной) проверкой реализации функционала HIPS

(переподчеркнуто мной). Т.е. разумно было бы ожидать тест именно функциональных возможностей средств защиты против разного рода угроз, в том числе и не самых стандартных. Фактически же тест свёлся к проверке заводских настроек с помощью примеров из MSDN. Что проку, например, тестировать

ChangeDrvPath - данный тест пытается добавить параметр ImagePath с путем к своему драйверу у системного сервиса beep с помощью функции ChangeServiceConfigA.

если с включенным UAC уже попытка открытия OpenSCManager на запись возвращает ERROR_ACCESS_DENIED? Не могу сказать обо всех тестируемых, многими давно не пользовался, разве что полностью согласен с отсутсвием ХИПСов в Авире и Нортоне (странно, что они вообще рассматривались в тесте), но вот эти товарищи:

4. Касперский и Комодо проходят тест только в случае ручного запуска утилит под сендбоксом.

у меня в работе постоянно, так что есть вопросы.

Про галочки в Касперском выше уже писали, а вот по поводу Комодо у меня сложилось впечатление, что тестировался он при Defense+ в Safe Mode. Но позвольте, у него пять режимов песочницы, включая блокирующий, и пять режимов Дифенс-плюс, зачем же проверять функционал в режиме малых ограничений? Если уже в параноидальном режиме для Комодо не существует никаких "доверенных" файлов а весь доступ ограничивается в соответствии с прописанными правилами, где ничего не стоит указать для всех, включая доверенные, запрос (а не разрешение) на установку драйвера, открытие физического диска и т.п.? Это ведь десяток кликов от силы. При том что и Касперский, и, особенно, Комодо предоставляют возможность весьма тонких настроек доступа к разным объектам. Непонятно, зачем функциональные возможности проверять на коробочных настройках. И ссылки на то, что "редкий юзер долетит ... полезет что-то настраивать" и т.п. это не очень серьёзно, мы все хорошо знаем, что до последнего времени все версии WinNT в настройках по умолчанию предлагали поработать админом без пароля. От уважаемого ресурса резонно было бы ожидать как раз рекомендаций для этого обычного пользователя, какие галки ему где стоит включить/выключить, тем паче что раздел зовется " Тесты, сравнения и аналитика". А в данном виде этот тест очень напоминает прогонку дюжины антивирусов по залежалой куче досовых вирусов, с сожалению.

[Danilka 678]

Выскажу крамолу :

на практике любой пинч отправляет инфу из песочницы

Не из любой. Это так к слову.

Чуть позже сами тестовые утилиты передам Данилке.

Да, ждем.

[Umnik 997]

1. Пока не будет ясно, почему тулзы попадали в Доверенные, любые результаты по KIS считаю неверными. На сколько я понял, проходили по KSN, а это значит, что для продукта они столь же безопасны, как и notepad.

2. Перед проверками нужно выбивать приложения из списков вендоров. Все и всех. Достаточно изменить 1 символ в hex редакторе, чтобы смысл у теста появился. Ведь вендоры могут как заведомо блокировать приложения с этим хешем, так и заведомо разрешать.

3. Запускать тулзы в Песочнице KIS - только трата времени. По умолчанию приложения в ней не запускаются, так что это вообще можно выкинуть из теста. Будет тест песочниц, тогда и будете стартовать их там.

4. Сергей, считаю нужно добавить прозрачности тестов. Ход проведения тестирования и возникающие вопросы должны быть в теме в разделе экспертов. Так можно будет вовремя завернуть результаты и стартовать сначала. Это предложение я сейчас вынесу в Совет.

[fyga 0]

Что проку, например, тестировать

...

если с включенным UAC уже попытка открытия OpenSCManager на запись возвращает ERROR_ACCESS_DENIED?

Простите, а где вы нашли UAC в XP?

[Umnik 997]

Прошу администрацию и экспертов пройти по ссылке http://www.anti-malware.ru/forum/index.php?showtopic=15912

[Danilka 678]

Тестовые тузлы получили. Будем разбираться.

[Danilka 678]

Да, тесты реально по KSN в доверенных, так как они ничего опасного не делуют. В общем все тут ясно. А в песочнице можно было не тестить - так как это получился тест песочницы.

[Kopeicev 94]

Да, тесты реально по KSN в доверенных, так как они ничего опасного не делуют. В общем все тут ясно. А в песочнице можно было не тестить - так как это получился тест песочницы.

У нас тест HIPS, песочница тоже HIPS, так что всё хорошо

[Razboynik 105]

Да, тесты реально по KSN в доверенных, так как они ничего опасного не делуют.

Наверное и Нортон так же вылетел из теста. Сонар проверяет и не находит опасных действий.

Возможно и другие продукты аналогично.

[Umnik 997]

У нас тест HIPS, песочница тоже HIPS, так что всё хорошо smile.gif

Нет, не все. Это было бы так, если бы KIS запускал ограниченные приложения в песочнице. Но он этого не делает. Плюс нормально бы было, если бы это был тест чисто песочниц.

[Umnik 997]

Так, по KIS могу сказать, что если бы использовали другую тулзень или хотя бы изменили 1 символ, то провален был бы только ChangeDrvPath. А с остальными вендорами как? 3-ий проход?

[Синтез_морфи 0]

Скажите пожалуйста, почему вы взяли данную сборку Kaspersky Internet Security 2011 11.0.2.556 данная сборка была отозвана разработчиками и официальная сборка это 11.0.1.400 (a.. Почему для этой сборки нет тестов?

[Сергей Ильин 1538]

Так, по KIS могу сказать, что если бы использовали другую тулзень или хотя бы изменили 1 символ, то провален был бы только ChangeDrvPath. А с остальными вендорами как? 3-ий проход?

Тут как посмотреть. Если так получилось, что тулза попала в базу KSN как чистая и далее в доверенные, то где гарантии, что такое не может повториться еще раз, но уже на каком-то вредоносе? Мы как раз рассмотрели все варианты и написали корректно. Если попадает что-то в доверенные - все, финиш. Если в недоверенные, то будет пропущен только ChangeDrvPath. Если в песочнице запускать - все будет заблокировано гарантированно.

Скажите пожалуйста, почему вы взяли данную сборку Kaspersky Internet Security 2011 11.0.2.556 данная сборка была отозвана разработчиками и официальная сборка это 11.0.1.400

Если вы прочитаете посты выше, то поймете, что дело совсем не в сборке тут. Ничего бы не изменилось, если бы была взята 11.0.1.400

[Kopeicev 94]

Скажите пожалуйста, почему вы взяли данную сборку Kaspersky Internet Security 2011 11.0.2.556 данная сборка была отозвана разработчиками и официальная сборка это 11.0.1.400 (a.. Почему для этой сборки нет тестов?

У вас не совсем верные сведения, сборка не была отозвана разработчикам, просто сейчас не выложена русская локализация этой сборки, а например, японская локализация до сих пор лежит тут: http://www.kaspersky.ru/kaspersky_internet...urity_downloads что подтверждает что сборка 556 это официальный CF2 к KIS2011.

[Danilka 678]

Если так получилось, что тулза попала в базу KSN как чистая и далее в доверенные, то где гарантии, что такое не может повториться еще раз, но уже на каком-то вредоносе?

Тузла попала в доверенные, потому что это именно "эта" тузла и она нам известна, как безвредная. А вредонос в базу не попадет.

[Umnik 997]

Тут как посмотреть. Если так получилось, что тулза попала в базу KSN как чистая и далее в доверенные, то где гарантии, что такое не может повториться еще раз, но уже на каком-то вредоносе?

В вирлабе. В Доверенные добавляет специальный отдел. Эта тулза не выполняет ни одного вредоносного действия. По этой причине она _руками_, после анализа была добавлена в Доверенные.

Мы как раз рассмотрели все варианты и написали корректно.

Критичная ошибка в самом начале - использование доверенного ПО.

Если попадает что-то в доверенные - все, финиш.

Угу. Только как неизвестное туда попадет? В Доверенные можно попасть либо по подписи доверенного CA, либо по KSN, либо если юзер руками засунет.

Если в недоверенные, то будет пропущен только ChangeDrvPath.

Если в Недоверенные, то будет 100% прохождения - Недоверенным запрещено запускаться. Если будет вне Доверенные, то будет провален только этот кейс. Но это про KIS, а как про остальных?

Если в песочнице запускать - все будет заблокировано гарантированно.

Вообще не факт. Ведь могут быть и баги самого SandBox.

[Kopeicev 94]

Вообще не факт. Ведь могут быть и баги самого SandBox.

Из методов использованных в этом тесте все были заблокированы в Sandbox.

[Umnik 997]

Kopeicev

В этом тесте вообще не должно было быть песочницы нашей Я лишь ответил на фразу Сергея.

[Синтез_морфи 0]

У вас не совсем верные сведения, сборка не была отозвана разработчикам, просто сейчас не выложена русская локализация этой сборки, а например, японская локализация до сих пор лежит тут: http://www.kaspersky.ru/kaspersky_internet...urity_downloads что подтверждает что сборка 556 это официальный CF2 к KIS2011.

Ясно, спасибо. Я просто не углядел.

[Guest evik]

Kopeicev

В этом тесте вообще не должно было быть песочницы нашей Я лишь ответил на фразу Сергея.

Umnik , ты смотрел мой канал?. ВСЕ подряд зверушки получают рейтинг опасности 0-20, работают и выходят в сеть(там это показано), и более таго Я легко из любой вообще зверушки с рейтингом опасности 100(в основном это работа вирь лаба ) сделаю рейтинг опасности от 0 до 20. Лишь бы файл поддавался защите упаковщиками, протекторами, крипторами.

Так что в доверенные просто так не чего не попадает, Вы сами признались что добавили их зарание(тестовые программки нужно было - модифицировать до низкого рейтинга опасности, как в жижни) -наверно чтобы сильно не краснеть, а патом наводить тень на плетень(ну это Я делаю правильные выводы).

Что касается песочницы, то вашей точно не должно было быть, Я ранее уже тут писал, вот так. Правильная оценка KIS 2011 в данном тестировании это 0%.

[OlegAndr 236]

Виталик, же говорят смените один байтик с программе и прогоните тесты заново.

[Guest evik]

Виталик, же говорят смените один байтик с программе и прогоните тесты заново.

Не байтик, - какие мы хитрые , а до низкого рейтинга опасности 0.