Vsevolod

Тест на переполнение буфера

В этой теме 15 сообщений

Один из тестов из арсенала Comodo, аж 2007 год.

http://download.comodo.com/cpf/download/se...OTester_x32.exe

Основной целью теста является проверка на способность HIPS противостоять атаке переполнения буфера через доверенное приложение.

Под данным приложением подразумеваем самое часто используемое, соответственно, самое уязвимое приложение с используемым им медиа-расширениями - браузер.

Один из самых распространенных видов атак, результатом чего обычно следует неособо затруднительное выполнение злоумышленником произвольного кода.

Говорилось о тесте еще тут:

http://www.anti-malware.ru/forum/index.php...ost&p=16855

И тут пару лет назад:

http://forum.kaspersky.com/index.php?showt...t&p=1540391

Печалька.

Запрещать и серьезно ограничивать первоначальный запуск проинсталлированной утилиты, ограничивая больше, чем браузер, должный сохранить свой функционал, нельзя - теряется смысл теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Если предметнее вопрос DEP поднимать, то помним, различая, что DEP работает в 2-х режимах:

- аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода».

- программном, для остальных процессоров.

http://download.comodo.com/cpf/download/se...OTester_x64.exe под x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Тест под x64 также 2007 года, 7-ра выпущена в продажу на 2 года позже.

Что, впрочем, не отрицает возможность тестов на 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Windows 7 SP1 x64 (DEP):

8aadb7829322f7409db9aa1ec5ddbe35.jpg

Windows 7 SP1 x64 (DEP) + Comodo Internet Security Premium:

4035a4d936ac99c4d88c447b5e4d21fd.jpg

0d0b800c928bf210095b1e4d50064ff2.jpg

Странно, что CIS не проходит полностью свой тест...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На XP x32 CIS проходит полностью. KIS не проходит.

На x32 этапов теста меньше в 2 раза по понятной причине: на x64 тест обоих вариантов.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На XP x32 проходит полностью.

Но там этапов теста меньше.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

777.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Не проходится именно Ret2Libc (x64) - или тест не правильно отрабатывает или в CIS разработчики какой-то косяк допустили.

На прохождение этого теста теоретически должна влиять только галочки в настройках Обнаруживать внедрение shell-кода (защита от переполнения буфера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На XP x32 CIS проходит полностью. KIS не проходит.

KIS его в доверенные суёт из за ЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS его в доверенные суёт из за ЦП

И?

Comodo его тоже доверенным приложением считает - помоему защита от переполнения буфера должна работать в любом случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS его в доверенные суёт из за ЦП

Внимательно читаем начало темы.

Цифровая подпись только на инсталляторе, на программных процессах теста ее нет на x32, про x64 не скажу.

Доверенным KIS считает тест по хэшу через КСН, не обозначен угрозой, и пользовались им нередко.

Если изменят именно это, то будет примитивная заточка под тест.

Если тест при KIS будет стартовать с большими, чем относительно достаточно браузеру для корректной работы, ограничениями, то тест отработает некорректно.

Смысл, чтобы именно HIPS реагировал, и в процессе теста, а не сразу, и не антивирус.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Windows 7 SP1 x64 (DEP):

Desperado_Troll, понял в чем проблема была у меня с версией x64. У меня DEP был включен только для основных программ и служб Windows (значение по умолчанию). Поэтому было много провалов.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Похоже недоработали ребята из ЛК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS