K_Mikhail

Отключение файлового монитора

В этой теме 41 сообщений

Преамбула: Сидели с dot_sent-ом, пили пиво, вели всякие беседы, я крутил его HTC с установленным Dr.Web for Android.

Суть: По нажатию в меню Dr.Web for Android на кнопку SpIDerGuard, файловый монитор оказался просто выключенным. Повторное нажатие на кнопку SpIDerGuard обратно включает проверку.

Несколько ввела в ступор сама лёгкость того, как отключается проверка файловой системы -- никаких confirm-alerts, никаких вызовов с просьбой ввести N-разрядную каптчу посредством, допустим, c некой виртуальной клавиатуры. Простое нажатие на значок отображения SpIDerGuard.

Интересно, насколько просто отключается файловый монитор в др. продуктах под Android со стороны пользователя? Допустим, на данный момент времени известные троянцы под Android рассылали SMS, собирали данные с последующей их отправкой на нужный сервер, но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было. Возможно, будет (?).

На текущий момент, можно было бы легко посадить на ту же SD-карту какой-то autoruner или Exploit.Cpllnk. А так, по крайней мере, пришлось бы ещё сделать некие доп. манипуляции руками при попытке остановить проверку файловой системы.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Покопал apk-шки с DreamDroid: в них раздавали файлик rageagainstthecage (ELF) вроде как для этих целей...

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Что-то я аналогичного в Dr.Web for Android не узрел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Моделируем ситуацию:

1) Я держу в руках телефон, хозяин экрана не видит (сидим напротив друг друга). Я лёгким движением пальца снимаю SpIDerGuard, сажаю на SD-карту какого-то зверя. Допустим, тот же Win32.Sector вкупе с Exploit.Cpllnk, который этот Win32.Sector и стартует при подключении к компу\ноуту. Затем с невинным видом отдаю телефон. И никто ничего не заметил.

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Моделируем ситуацию:

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Ни у кого не предусмотрена защита от подобной ситуации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Ну, в Dr.Web for Android же есть защита SD-карты от autorun.inf и, после вправления мозгов, защита от Exploit.Cpllnk.

Да даже если и отвлечься от win32 -- отключил монитор, записал вредную apk-шку в надежде, что она впоследствии будет установлена.

Суть в другом -- проверяется сам факт того, насколько просто вообще привнести на аппарат с установленным антивирусом для Android какой-то вредоносный объект. Как раз за счёт того, насколько легко можно отключить монитор файловой системы. Неважно - сам ли это телефон или SD-карта.

Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Допустим, я прибиваю тасккиллером процесс SpIDerGuard. Исходим из логики -- имеется ли возможность SpIDerGuard вывести алерт\запрос пароля\каптчу о том, что его пытаются прибить\остановить?

Ни у кого не предусмотрена защита от подобной ситуации.

Во! Это я и хотел узнать. Спасибо. Хотя как-то не радует такое положение вещей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Вообще говоря навредить можно и без рутовых прав

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Здесь мне так видится, что отображение статуса состояния антивируса -- вещь из серии "писями по воде вилано", ибо монитор отрубил, заразу на носитель посадил, аппарат отдал, никто на то, что цвет иконки поменялся, внимания не обратил, или обратил, но с большой временнОй задержкой.

А в случае того же пароля, повторюсь, мне придётся обратиться к владельцу аппарата, и объяснять цель того, зачем я хочу отключить монитор. А этого нет.

В качестве некой альтернативы, можно при отключении монитора жужжать виброзвонком (всяко владелец услышит и поинтересуется ;)).

На счёт рута -- как я говорил выше, в DreamDroid в поставке шёл файл, как раз для этих целей (судя из описания в комментариях к нему на VT).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

А вот и не согласен. Могу согласиться только с тем, что защита в той версии KMS, что лежит в Android Market, неидеальна, но и она защищает не только от жены. Защититься можно и от вредоносов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы легким движением руки убиваете с помощью тасккиллера все процессы

Сервисы же

Вообще говоря навредить можно и без рутовых прав

Речь шла, по-моему, именно об автокликере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сервисы же

Думаете, сервисы нельзя сбить?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Защититься можно и от вредоносов :rolleyes:

Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:rolleyes:

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:rolleyes:

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш, типа watchdog

И прощай батарейка B)

Я угадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш

Фу, как грубо...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Ок, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Фу, как грубо...

Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Контора пока не моя :) , да и подобные выпады меня уже давно не задевают, разве что грустно смотреть на негатив и всеобщую обозленность, царящие вокруг - люди словно стали жить по принципу не наехал ни на кого - прожил день зря

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      Факт. 1) Когда вышла крайняя версия утилиты: Tdsskiller ? Ответ: Апрель 2017 т.е.  новых rootkit - тов не было... скоро, как год уже не было новых... 2) За год резко снизилось число ADWARE агентов. 3) Снизилось число заражений шифраторами. 4) Число заражений файловыми вирусами. 5) Блокировщики экрана превратились в анахронизм - в живых динозавров. Почему это происходит ? а) Были приняты меры, как разработчиками программ так и пользователями. Появились более защищённые браузеры, эффективные Free Antivirus - ы, повысился уровеньосведомлённости пользователей PC ( сейчас даже бабушки знают, что нужно проверять файл hosts ) Как результат - модификация ( злонамеренная ) файла hosts практически прекратилась. ADWARE - файлы часто подписывают Электронно цифровой подписью ( ЭЦП  ) - и платили ( платят )  за это деньги... Как результат: Овчинка перестала стоить выделки. ( дебет не сходиться с кредитом ) Число левых ЭЦП резко сократилось... б) Крупные компании практически перестали досаждать пользователям такими продуктами как:  Guard mail.ru;  Яндекс praetorian и т.д. так, как рынок уже поделили... с) Сменилась прицельна точка с Windows на Android  системы. д) Также по всей видимости произошла переориентация у плохих дядей. На данный момент  появились возможности заработать относительно легальным путём - те же .js майнеры на сайтах... Резко возросло число преступлений - со стороны мошенников соответственно это привело к снижению активности на иных направлениях. Кроме того технический прогресс не стоит на месте. Раньше мы постоянно использовали CD\DVD - USB диски. сейчас же благодаря появлению облачных хранилищ, доступности интернета, скорости передачи данных... Обмен дисками снизился на несколько порядков. Как результат практически исчезли Autorun вирусы и резко снизилось число файловых заражений. Изменилось отношение пользователей к безопасности - отношение стало более ответственным. так, как нормальная работа PC и сохранение информации напрямую стала связана с доходами - работа в интернете, передача данных, отчётов, банковские переводы, регистрации и т.д. Чаще стали покупать лицензии, к антивирусам, а не использовать взломанные версии. Были внедрены многоуровневые системы  проверки данных. К примеру: данные проверяет почтовый сервер и только потом данные передаются пользователю, где они повторно проверяются. Появились онлайн сканеры типа: herdProtect; threatinfo.net; reasoncoresecurity.com У вируса\adware остаётся мало шансов уйти от обнаружения ведь файл анализирует: 60 + антивирусов. Была налажена схема\линия обмена данными между антивирусными компаниями - угрозы быстро обнаруживают и нейтрализуют - что резко снижает время активности вируса\угрозы и снижает доходность. В связи с многочисленными атаками на баки были предприняты доп. меры, как со стороны банков, так и со стороны правоохранительных органов - о чём свидетельствую аресты. Разработка искусственного интеллекта ( его элементов ) - совершенствование механизмов эвристики. Создание общих баз данных по угрозам - определение закономерностей в коде, принципах распространения. Внедрение оплаты компаниями за найденные в их продуктах уязвимости - что также привело к росту стоимости информации на чёрном рынке. Сменились направления атак. Чаще стали атаковать: Китай и Корею. ------------ Но не стоит расслабляться. Произошло переключение на майнинг   вирусы   и по прежнему  свирепствуют шифраторы да и рекламные агенты продолжают нас радовать.
    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525
    • stroitel80
      Надо попробовать на старом компе и все станет ясно
    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301