K_Mikhail

Отключение файлового монитора

В этой теме 41 сообщений

Преамбула: Сидели с dot_sent-ом, пили пиво, вели всякие беседы, я крутил его HTC с установленным Dr.Web for Android.

Суть: По нажатию в меню Dr.Web for Android на кнопку SpIDerGuard, файловый монитор оказался просто выключенным. Повторное нажатие на кнопку SpIDerGuard обратно включает проверку.

Несколько ввела в ступор сама лёгкость того, как отключается проверка файловой системы -- никаких confirm-alerts, никаких вызовов с просьбой ввести N-разрядную каптчу посредством, допустим, c некой виртуальной клавиатуры. Простое нажатие на значок отображения SpIDerGuard.

Интересно, насколько просто отключается файловый монитор в др. продуктах под Android со стороны пользователя? Допустим, на данный момент времени известные троянцы под Android рассылали SMS, собирали данные с последующей их отправкой на нужный сервер, но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было. Возможно, будет (?).

На текущий момент, можно было бы легко посадить на ту же SD-карту какой-то autoruner или Exploit.Cpllnk. А так, по крайней мере, пришлось бы ещё сделать некие доп. манипуляции руками при попытке остановить проверку файловой системы.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Покопал apk-шки с DreamDroid: в них раздавали файлик rageagainstthecage (ELF) вроде как для этих целей...

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Что-то я аналогичного в Dr.Web for Android не узрел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Моделируем ситуацию:

1) Я держу в руках телефон, хозяин экрана не видит (сидим напротив друг друга). Я лёгким движением пальца снимаю SpIDerGuard, сажаю на SD-карту какого-то зверя. Допустим, тот же Win32.Sector вкупе с Exploit.Cpllnk, который этот Win32.Sector и стартует при подключении к компу\ноуту. Затем с невинным видом отдаю телефон. И никто ничего не заметил.

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Моделируем ситуацию:

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Ни у кого не предусмотрена защита от подобной ситуации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Ну, в Dr.Web for Android же есть защита SD-карты от autorun.inf и, после вправления мозгов, защита от Exploit.Cpllnk.

Да даже если и отвлечься от win32 -- отключил монитор, записал вредную apk-шку в надежде, что она впоследствии будет установлена.

Суть в другом -- проверяется сам факт того, насколько просто вообще привнести на аппарат с установленным антивирусом для Android какой-то вредоносный объект. Как раз за счёт того, насколько легко можно отключить монитор файловой системы. Неважно - сам ли это телефон или SD-карта.

Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Допустим, я прибиваю тасккиллером процесс SpIDerGuard. Исходим из логики -- имеется ли возможность SpIDerGuard вывести алерт\запрос пароля\каптчу о том, что его пытаются прибить\остановить?

Ни у кого не предусмотрена защита от подобной ситуации.

Во! Это я и хотел узнать. Спасибо. Хотя как-то не радует такое положение вещей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Вообще говоря навредить можно и без рутовых прав

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Здесь мне так видится, что отображение статуса состояния антивируса -- вещь из серии "писями по воде вилано", ибо монитор отрубил, заразу на носитель посадил, аппарат отдал, никто на то, что цвет иконки поменялся, внимания не обратил, или обратил, но с большой временнОй задержкой.

А в случае того же пароля, повторюсь, мне придётся обратиться к владельцу аппарата, и объяснять цель того, зачем я хочу отключить монитор. А этого нет.

В качестве некой альтернативы, можно при отключении монитора жужжать виброзвонком (всяко владелец услышит и поинтересуется ;)).

На счёт рута -- как я говорил выше, в DreamDroid в поставке шёл файл, как раз для этих целей (судя из описания в комментариях к нему на VT).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

А вот и не согласен. Могу согласиться только с тем, что защита в той версии KMS, что лежит в Android Market, неидеальна, но и она защищает не только от жены. Защититься можно и от вредоносов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы легким движением руки убиваете с помощью тасккиллера все процессы

Сервисы же

Вообще говоря навредить можно и без рутовых прав

Речь шла, по-моему, именно об автокликере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сервисы же

Думаете, сервисы нельзя сбить?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Защититься можно и от вредоносов :rolleyes:

Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:rolleyes:

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:rolleyes:

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш, типа watchdog

И прощай батарейка B)

Я угадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш

Фу, как грубо...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Ок, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Фу, как грубо...

Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Контора пока не моя :) , да и подобные выпады меня уже давно не задевают, разве что грустно смотреть на негатив и всеобщую обозленность, царящие вокруг - люди словно стали жить по принципу не наехал ни на кого - прожил день зря

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS