Перейти к содержанию
K_Mikhail

Отключение файлового монитора

Recommended Posts

K_Mikhail

Преамбула: Сидели с dot_sent-ом, пили пиво, вели всякие беседы, я крутил его HTC с установленным Dr.Web for Android.

Суть: По нажатию в меню Dr.Web for Android на кнопку SpIDerGuard, файловый монитор оказался просто выключенным. Повторное нажатие на кнопку SpIDerGuard обратно включает проверку.

Несколько ввела в ступор сама лёгкость того, как отключается проверка файловой системы -- никаких confirm-alerts, никаких вызовов с просьбой ввести N-разрядную каптчу посредством, допустим, c некой виртуальной клавиатуры. Простое нажатие на значок отображения SpIDerGuard.

Интересно, насколько просто отключается файловый монитор в др. продуктах под Android со стороны пользователя? Допустим, на данный момент времени известные троянцы под Android рассылали SMS, собирали данные с последующей их отправкой на нужный сервер, но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было. Возможно, будет (?).

На текущий момент, можно было бы легко посадить на ту же SD-карту какой-то autoruner или Exploit.Cpllnk. А так, по крайней мере, пришлось бы ещё сделать некие доп. манипуляции руками при попытке остановить проверку файловой системы.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Собственно, вопрос -- насколько просто отключается файловый монитор в др. продуктах под Android со сторону пользователя и насколько данная лёгкость оправдана? Мне зиждется, что, всё же, необходимо затруднить отключение монитора файловой системы.

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Покопал apk-шки с DreamDroid: в них раздавали файлик rageagainstthecage (ELF) вроде как для этих целей...

О Касперском. Тоже тапом. Перед тапом нужно ввести пароль, чтобы войти в антивирус. Пароль обязателен при первом запуске KMS.

Что-то я аналогичного в Dr.Web for Android не узрел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Судя по собственному опыту, парольной защиты в Dr.Web для Андроида нет вообще. Во всяком случае, я ее не нашел.

Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

Моделируем ситуацию:

1) Я держу в руках телефон, хозяин экрана не видит (сидим напротив друг друга). Я лёгким движением пальца снимаю SpIDerGuard, сажаю на SD-карту какого-то зверя. Допустим, тот же Win32.Sector вкупе с Exploit.Cpllnk, который этот Win32.Sector и стартует при подключении к компу\ноуту. Затем с невинным видом отдаю телефон. И никто ничего не заметил.

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Моделируем ситуацию:

2) Аналогичное расположение участников, но, при попытке отключить монитор меня просят чего-то там ввести (тот же пароль, допустим). В этом случае придётся объяснить хозяину телефона с какого перепугу мне вдруг понадобилось отключать антивирусный монитор на аппарате. Т.е. посадка вредоносного объекта на SD в этом случае многократно усложняется, вплоть до невозможности.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Т.е. в Dr.Web for Android защиты от таких ситуаций не предусмотрено никоим образом?

Ни у кого не предусмотрена защита от подобной ситуации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ммм, а почему антивирус на мобильной платформе должен защищать от win32?

Ну, в Dr.Web for Android же есть защита SD-карты от autorun.inf и, после вправления мозгов, защита от Exploit.Cpllnk.

Да даже если и отвлечься от win32 -- отключил монитор, записал вредную apk-шку в надежде, что она впоследствии будет установлена.

Суть в другом -- проверяется сам факт того, насколько просто вообще привнести на аппарат с установленным антивирусом для Android какой-то вредоносный объект. Как раз за счёт того, насколько легко можно отключить монитор файловой системы. Неважно - сам ли это телефон или SD-карта.

Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Вы легким движением руки убиваете с помощью тасккиллера все процессы, сажаете трояна, запускаете все обратно или просто перезагружаете телефон и отдаете в обратно в руки счастливому владельцу. При этом действии введения пароля нигде не требуется.

Допустим, я прибиваю тасккиллером процесс SpIDerGuard. Исходим из логики -- имеется ли возможность SpIDerGuard вывести алерт\запрос пароля\каптчу о том, что его пытаются прибить\остановить?

Ни у кого не предусмотрена защита от подобной ситуации.

Во! Это я и хотел узнать. Спасибо. Хотя как-то не радует такое положение вещей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex Gorgeous

Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
но никто из них не проверял наличие установленного в системе антивируса и не пытался его каким-то образом нарушить его работу (остановить мониторинг\удалить приложение). Т.е. прецедентов противодействия установленным антивирусам на Android пока не было.

Без рута этого не сделать. В Андроиде одно приложение не может влиять на другое до такой степени, т.к. они живут в разных песочницах.

Вообще говоря навредить можно и без рутовых прав

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Для таких целей у большинства антивирусов есть иконка монитора. Висит - значит работает. Нет - проверяйте что не так.

У некоторых еще есть дополнительно виджеты, в которых отображается статус антивируса в той или иной степени. У того же Dr.Web, например, даже если вы отключили показ значка при работающем мониторе, виджет всё равно покажет его активное/не активное состояние.

Что касается удаления антивируса трояном, как уже было сказано, для этого необходим root. А с рутом и пароли/каптчи и прочее мало чем помогут.

Здесь мне так видится, что отображение статуса состояния антивируса -- вещь из серии "писями по воде вилано", ибо монитор отрубил, заразу на носитель посадил, аппарат отдал, никто на то, что цвет иконки поменялся, внимания не обратил, или обратил, но с большой временнОй задержкой.

А в случае того же пароля, повторюсь, мне придётся обратиться к владельцу аппарата, и объяснять цель того, зачем я хочу отключить монитор. А этого нет.

В качестве некой альтернативы, можно при отключении монитора жужжать виброзвонком (всяко владелец услышит и поинтересуется ;)).

На счёт рута -- как я говорил выше, в DreamDroid в поставке шёл файл, как раз для этих целей (судя из описания в комментариях к нему на VT).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Её там нет и она там совершенно не нужна. Если у приложения, представляющее угрозу, будут права на убийство чужих процессов, то никакой пароль не спасет. ИМХО парольная защита на входе Касперского нужна не для защиты от вирусов, а для защиты от жены. Лучше это у Виктора уточнить.

А вот и не согласен. Могу согласиться только с тем, что защита в той версии KMS, что лежит в Android Market, неидеальна, но и она защищает не только от жены. Защититься можно и от вредоносов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Вы легким движением руки убиваете с помощью тасккиллера все процессы

Сервисы же

Вообще говоря навредить можно и без рутовых прав

Речь шла, по-моему, именно об автокликере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Сервисы же

Думаете, сервисы нельзя сбить?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Защититься можно и от вредоносов :rolleyes:

Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Вы научились перехватывать события о том, что приложение кто то пытается убить? Или о чем то другом речь?

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
:rolleyes:

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Собственно, я для этой цели (выяснить -- у кого и насколько легко со стороны пользователя отключается антивирусный монитор) и создал тему. Особенно после того, как узрел, что SpIDerGuard стопится едва заметным движением пальца без каких-либо confirm-alert'ов, паролей, каптч и.т.п.

Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

А можно на словах? В свете как раз минимизации тех рисков, которые исходно были мной описаны?

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
:rolleyes:

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш, типа watchdog

И прощай батарейка B)

Я угадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Мое мнение такое: все имеющиеся на рынке антивирусные решения выгружаются из памяти с той или иной степенью легкости. Где-то это делается совсем элементарно, где-то есть "защита от жены". Конечно, я могу ошибиться и упустить из виду какое-либо мега-решение...

Защищаться безусловно нужно. Знаю ли я решение и если знаю, заключается ли оно в "перехватывать события о том, что приложение кто то пытается убить" я сейчас анонсировать не готов.

Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Т.е., в виде некоторого предварительного вывода:

1) На данный момент времени антивирусные мониторы файловой системы весьма легко отключаются (исходя из изначально описанной ситуации), но данной проблемой никто особо (или вообще) не озадачивался.

2) Технически можно усложнить выгрузку и\или отключение монитора файловой системы путём запроса пароля\вывода каптчи. Как доп. альтернатива -- подача сопутствующего звукового сигнала\жужжание виброзвонка.

Я правильно понял?

Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Судя по нежеланию рассказывать, на сцену готовиться выкатиться какой то трэш

Фу, как грубо...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ага, с одной оговоркой - доподлинно известно, что существует по крайней мере одна компания, которая все-таки озадачивается проблемой

Ок, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko
Фу, как грубо...

Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Вы все таки конкуренты, не стоит обижаться на такое, а лучше относитесь со спортивным азартом.

Товарищи из вашей конторы вообще не стесняются в выражениях

Контора пока не моя :) , да и подобные выпады меня уже давно не задевают, разве что грустно смотреть на негатив и всеобщую обозленность, царящие вокруг - люди словно стали жить по принципу не наехал ни на кого - прожил день зря

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×