Перейти к содержанию
Vsevolod

Тест на переполнение буфера

Recommended Posts

Vsevolod

Один из тестов из арсенала Comodo, аж 2007 год.

http://download.comodo.com/cpf/download/se...OTester_x32.exe

Основной целью теста является проверка на способность HIPS противостоять атаке переполнения буфера через доверенное приложение.

Под данным приложением подразумеваем самое часто используемое, соответственно, самое уязвимое приложение с используемым им медиа-расширениями - браузер.

Один из самых распространенных видов атак, результатом чего обычно следует неособо затруднительное выполнение злоумышленником произвольного кода.

Говорилось о тесте еще тут:

http://www.anti-malware.ru/forum/index.php...ost&p=16855

И тут пару лет назад:

http://forum.kaspersky.com/index.php?showt...t&p=1540391

Печалька.

Запрещать и серьезно ограничивать первоначальный запуск проинсталлированной утилиты, ограничивая больше, чем браузер, должный сохранить свой функционал, нельзя - теряется смысл теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Если предметнее вопрос DEP поднимать, то помним, различая, что DEP работает в 2-х режимах:

- аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода».

- программном, для остальных процессоров.

http://download.comodo.com/cpf/download/se...OTester_x64.exe под x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Тест под x64 также 2007 года, 7-ра выпущена в продажу на 2 года позже.

Что, впрочем, не отрицает возможность тестов на 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Windows 7 SP1 x64 (DEP):

8aadb7829322f7409db9aa1ec5ddbe35.jpg

Windows 7 SP1 x64 (DEP) + Comodo Internet Security Premium:

4035a4d936ac99c4d88c447b5e4d21fd.jpg

0d0b800c928bf210095b1e4d50064ff2.jpg

Странно, что CIS не проходит полностью свой тест...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

На XP x32 CIS проходит полностью. KIS не проходит.

На x32 этапов теста меньше в 2 раза по понятной причине: на x64 тест обоих вариантов.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
На XP x32 проходит полностью.

Но там этапов теста меньше.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

777.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Не проходится именно Ret2Libc (x64) - или тест не правильно отрабатывает или в CIS разработчики какой-то косяк допустили.

На прохождение этого теста теоретически должна влиять только галочки в настройках Обнаруживать внедрение shell-кода (защита от переполнения буфера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
На XP x32 CIS проходит полностью. KIS не проходит.

KIS его в доверенные суёт из за ЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
KIS его в доверенные суёт из за ЦП

И?

Comodo его тоже доверенным приложением считает - помоему защита от переполнения буфера должна работать в любом случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
KIS его в доверенные суёт из за ЦП

Внимательно читаем начало темы.

Цифровая подпись только на инсталляторе, на программных процессах теста ее нет на x32, про x64 не скажу.

Доверенным KIS считает тест по хэшу через КСН, не обозначен угрозой, и пользовались им нередко.

Если изменят именно это, то будет примитивная заточка под тест.

Если тест при KIS будет стартовать с большими, чем относительно достаточно браузеру для корректной работы, ограничениями, то тест отработает некорректно.

Смысл, чтобы именно HIPS реагировал, и в процессе теста, а не сразу, и не антивирус.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Windows 7 SP1 x64 (DEP):

Desperado_Troll, понял в чем проблема была у меня с версией x64. У меня DEP был включен только для основных программ и служб Windows (значение по умолчанию). Поэтому было много провалов.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Похоже недоработали ребята из ЛК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×