Перейти к содержанию
Vsevolod

(Anti) WinLock тест для проверки HIPS на предотвращение заражения через браузер

Recommended Posts

Vsevolod

http://www.softogen.ru/lab/softogen-lab/mi...urity-test.html

http://kadets.info/showthread.php?t=86568

IMHO, программу надо делать не exe файл, а в виде интерфейса вэб-страницы. Вероятно, с использованием JаvаSсriрt.

Программу эту защитные антивирусные программы могут обнюхать и сравнить с базой локальной или облачной, реагируя соответствующе (надо отключать антивирусы в комбайнах при тесте).

Программа сама у всех с разными настроенными для нее в HIPS правами. Тестируют: кто в авторежиме, кто нет. Права этой программы в настройках HIPS могут не совпадать с правами браузеров. В настройках некоторых HIPS простому пользователю непросто разобраться, сравнить и понять. В авторежиме, что чаще, у браузеров полные или почти полные права как у доверенных приложений или с небольшими ограничениями, что увеличивает вероятность пропуска через уязвимости.

Предлагаю реализовать данное предложение на этом сайте. Реализация функционала техзадания алгоритма много времени и сил у специалиста не займет, это мне как программисту (не вэб) понятно. Плюс дополнительный разноплановый интерес к сайту и его проекту.

Угрозы WinLock в наше время для простых пользователей, которых большинство, одни из самых визуально и эмоционально понятных, если не самые.

В продолжение данных тем:

http://www.anti-malware.ru/forum/index.php?showtopic=20324

http://www.anti-malware.ru/forum/index.php?showtopic=19500

Будет ли тест на заражение сайтами (drive-by)? Если да, браузеры будут настроены по умолчанию? И какие браузеры? Или их настройка заведомо должна быть низкой, чтобы не получилось так, что вирус до фаервола (вернее его HIPS) не дойдет и тест превратится в тест браузеров?
Это вторая часть теста - защита от внешних атак. Будем такое делать. Уже собираем эксплойты, которые как и в случае с активным заражением будет отражать основные методы и векторы атаки (использовать наиболее популярные уязвимости). Систему будем брать непропатченную конечно, иначе атак не пройдет. Браузер какой брать - это будет зависеть от конкретного эксплойта.

Будет на сайте опция онлайн-теста на проникновение WinLock - будет замечательно!

Далее, не останавливаясь на достигнутом, можно будет подумать и о реализации опций других подобных онлайн-тестов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      кто-то невнимательно читал: В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса Пока не будет документации как вытаскивать эти данные из шедулера такой графы не будет, мало того эта информация доступна только для поздних билдов Windows 10, на младших версиях и базовом билде Windows 10 такую информацию получить невозможно.
    • PR55.RP55
      Demkd "CPU" =. Похоже, что с защищёнными процессами это не работает. Запустил в несколько потоков сканирование в ESET  показывает нагрузку в 1-2% При том, что архивация в 7-zip под 50% --------- И всё таки одно дело когда работает центральный процессор... Например на старых версиях Intel Atom  всегда нагружен под завязку и это мало о чём говорит. Другое дело если процесс работает с видео картой. Я бы добавил к инфо. данные по: GPU  
    • stepangrnec
      купить лотерейный билет лото  мгновенная лотерея онлайн 
    • demkd
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}
      Windows.StateRepositoryPS.dll используется в ShellExperienceHost.exe, который в результате и рубится из-за исключения уже в другой библиотеке - StartUI.dll при нажатии на кнопку меню с виндовым флажком, как это связано с Windows.StateRepositoryPS.dll не совсем ясно, поскольку в событиях не видно никаких проблем с соответствующим ему COM.
      "Для них недостаточно просто назначить Full Access для Everyone" тут это прокатывает и все работает если впрямую назначить Everyone и дать полный доступ, а uVS ранее просто и незатейливо сбрасывал dacl в null и отключал наследование, что если верить msdn обеспечивает полный доступ к ключу всем и оно так и есть, но как оказалось нравится это не всем причем таким странным образом, поэтому теперь и dacl и owner всегда возвращаются в исходное состояние во избежании.
    • Такси Курумоч
      Такси Курумоч Аэропорт Самара с квитанцией, чеком Сайт: http://g-transfer.ru
      Email: [email protected]
      Viber/Whatsapp +79272040919
      Телефон +79991709505   Воспользовался услугами данной трансферной компании, и решил обязательно поделиться со всеми)
×