Перейти к содержанию
K_Mikhail

Отключение файлового монитора

Recommended Posts

K_Mikhail

Преамбула: Сидели с dot_sent-ом, пили пиво, вели всякие беседы, я крутил его HTC с установленным Dr.Web for Android.

Суть: По нажатию в меню Dr.Web for Android на кнопку SpIDerGuard, файловый монитор оказался просто выключенным. Повторное нажатие на кнопку SpIDerGuard обратно включает проверку.

Несколько ввела в ступор сама лёгкость того, как отключается проверка файловой системы -- никаких confirm-alerts, никаких вызовов с просьбой ввести N-разрядную каптчу посредством, допустим, c некой виртуальной клавиатуры. Простое нажатие на значок отображения SpIDerGuard.

Интересно, насколько просто отключается файловый монитор в др. продуктах под Android со стороны пользователя? Допустим, на данный момент времени известные троянцы под Android рассылали SMS, собирали данные с последующей их отправкой на нужный сервер, но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было. Возможно, будет (?).

На текущий момент, можно было бы легко посадить на ту же SD-карту какой-то autoruner или Exploit.Cpllnk. А так, по крайней мере, пришлось бы ещё сделать некие доп. манипуляции руками при попытке остановить проверку файловой системы.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Покопал apk-шки с DreamDroid: в них раздавали файлик rageagainstthecage (ELF) вроде как для этих целей...

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Что-то я аналогичного в Dr.Web for Android не узрел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Моделируем ситуацию:

1) Я держу в руках телефон, хозяин экрана не видит (сидим напротив друг друга). Я лёгким движением пальца снимаю SpIDerGuard, сажаю на SD-карту какого-то зверя. Допустим, тот же Win32.Sector вкупе с Exploit.Cpllnk, который этот Win32.Sector и стартует при подключении к компу\ноуту. Затем с невинным видом отдаю телефон. И никто ничего не заметил.

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Моделируем ситуацию:

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Ни у кого не предусмотрена защита от подобной ситуации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Ну, в Dr.Web for Android же есть защита SD-карты от autorun.inf и, после вправления мозгов, защита от Exploit.Cpllnk.

Да даже если и отвлечься от win32 -- отключил монитор, записал вредную apk-шку в надежде, что она впоследствии будет установлена.

Суть в другом -- проверяется сам факт того, насколько просто вообще привнести на аппарат с установленным антивирусом для Android какой-то вредоносный объект. Как раз за счёт того, насколько легко можно отключить монитор файловой системы. Неважно - сам ли это телефон или SD-карта.

Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Допустим, я прибиваю тасккиллером процесс SpIDerGuard. Исходим из логики -- имеется ли возможность SpIDerGuard вывести алерт\запрос пароля\каптчу о том, что его пытаются прибить\остановить?

Ни у кого не предусмотрена защита от подобной ситуации.

Во! Это я и хотел узнать. Спасибо. Хотя как-то не радует такое положение вещей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex Gorgeous

Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Вообще говоря навредить можно и без рутовых прав

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Здесь мне так видится, что отображение статуса состояния антивируса -- вещь из серии "писями по воде вилано", ибо монитор отрубил, заразу на носитель посадил, аппарат отдал, никто на то, что цвет иконки поменялся, внимания не обратил, или обратил, но с большой временнОй задержкой.

А в случае того же пароля, повторюсь, мне придётся обратиться к владельцу аппарата, и объяснять цель того, зачем я хочу отключить монитор. А этого нет.

В качестве некой альтернативы, можно при отключении монитора жужжать виброзвонком (всяко владелец услышит и поинтересуется ;)).

На счёт рута -- как я говорил выше, в DreamDroid в поставке шёл файл, как раз для этих целей (судя из описания в комментариях к нему на VT).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

А вот и не согласен. Могу согласиться только с тем, что защита в той версии KMS, что лежит в Android Market, неидеальна, но и она защищает не только от жены. Защититься можно и от вредоносов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Вы легким движением руки убиваете с помощью тасккиллера все процессы

Сервисы же

Вообще говоря навредить можно и без рутовых прав

Речь шла, по-моему, именно об автокликере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Сервисы же

Думаете, сервисы нельзя сбить?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Защититься можно и от вредоносов :rolleyes:

Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
:rolleyes:

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
:rolleyes:

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш, типа watchdog

И прощай батарейка B)

Я угадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш

Фу, как грубо...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Ок, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Фу, как грубо...

Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Контора пока не моя :) , да и подобные выпады меня уже давно не задевают, разве что грустно смотреть на негатив и всеобщую обозленность, царящие вокруг - люди словно стали жить по принципу не наехал ни на кого - прожил день зря

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×