Перейти к содержанию
Vsevolod

(Anti) WinLock тест для проверки HIPS на предотвращение заражения через браузер

Recommended Posts

Vsevolod

http://www.softogen.ru/lab/softogen-lab/mi...urity-test.html

http://kadets.info/showthread.php?t=86568

IMHO, программу надо делать не exe файл, а в виде интерфейса вэб-страницы. Вероятно, с использованием JаvаSсriрt.

Программу эту защитные антивирусные программы могут обнюхать и сравнить с базой локальной или облачной, реагируя соответствующе (надо отключать антивирусы в комбайнах при тесте).

Программа сама у всех с разными настроенными для нее в HIPS правами. Тестируют: кто в авторежиме, кто нет. Права этой программы в настройках HIPS могут не совпадать с правами браузеров. В настройках некоторых HIPS простому пользователю непросто разобраться, сравнить и понять. В авторежиме, что чаще, у браузеров полные или почти полные права как у доверенных приложений или с небольшими ограничениями, что увеличивает вероятность пропуска через уязвимости.

Предлагаю реализовать данное предложение на этом сайте. Реализация функционала техзадания алгоритма много времени и сил у специалиста не займет, это мне как программисту (не вэб) понятно. Плюс дополнительный разноплановый интерес к сайту и его проекту.

Угрозы WinLock в наше время для простых пользователей, которых большинство, одни из самых визуально и эмоционально понятных, если не самые.

В продолжение данных тем:

http://www.anti-malware.ru/forum/index.php?showtopic=20324

http://www.anti-malware.ru/forum/index.php?showtopic=19500

Будет ли тест на заражение сайтами (drive-by)? Если да, браузеры будут настроены по умолчанию? И какие браузеры? Или их настройка заведомо должна быть низкой, чтобы не получилось так, что вирус до фаервола (вернее его HIPS) не дойдет и тест превратится в тест браузеров?
Это вторая часть теста - защита от внешних атак. Будем такое делать. Уже собираем эксплойты, которые как и в случае с активным заражением будет отражать основные методы и векторы атаки (использовать наиболее популярные уязвимости). Систему будем брать непропатченную конечно, иначе атак не пройдет. Браузер какой брать - это будет зависеть от конкретного эксплойта.

Будет на сайте опция онлайн-теста на проникновение WinLock - будет замечательно!

Далее, не останавливаясь на достигнутом, можно будет подумать и о реализации опций других подобных онлайн-тестов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×