Перейти к содержанию
Vsevolod

Тест на переполнение буфера

Recommended Posts

Vsevolod

Один из тестов из арсенала Comodo, аж 2007 год.

http://download.comodo.com/cpf/download/se...OTester_x32.exe

Основной целью теста является проверка на способность HIPS противостоять атаке переполнения буфера через доверенное приложение.

Под данным приложением подразумеваем самое часто используемое, соответственно, самое уязвимое приложение с используемым им медиа-расширениями - браузер.

Один из самых распространенных видов атак, результатом чего обычно следует неособо затруднительное выполнение злоумышленником произвольного кода.

Говорилось о тесте еще тут:

http://www.anti-malware.ru/forum/index.php...ost&p=16855

И тут пару лет назад:

http://forum.kaspersky.com/index.php?showt...t&p=1540391

Печалька.

Запрещать и серьезно ограничивать первоначальный запуск проинсталлированной утилиты, ограничивая больше, чем браузер, должный сохранить свой функционал, нельзя - теряется смысл теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Если предметнее вопрос DEP поднимать, то помним, различая, что DEP работает в 2-х режимах:

- аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода».

- программном, для остальных процессоров.

http://download.comodo.com/cpf/download/se...OTester_x64.exe под x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Тест под x64 также 2007 года, 7-ра выпущена в продажу на 2 года позже.

Что, впрочем, не отрицает возможность тестов на 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Windows 7 SP1 x64 (DEP):

8aadb7829322f7409db9aa1ec5ddbe35.jpg

Windows 7 SP1 x64 (DEP) + Comodo Internet Security Premium:

4035a4d936ac99c4d88c447b5e4d21fd.jpg

0d0b800c928bf210095b1e4d50064ff2.jpg

Странно, что CIS не проходит полностью свой тест...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

На XP x32 CIS проходит полностью. KIS не проходит.

На x32 этапов теста меньше в 2 раза по понятной причине: на x64 тест обоих вариантов.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
На XP x32 проходит полностью.

Но там этапов теста меньше.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

777.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Не проходится именно Ret2Libc (x64) - или тест не правильно отрабатывает или в CIS разработчики какой-то косяк допустили.

На прохождение этого теста теоретически должна влиять только галочки в настройках Обнаруживать внедрение shell-кода (защита от переполнения буфера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
На XP x32 CIS проходит полностью. KIS не проходит.

KIS его в доверенные суёт из за ЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
KIS его в доверенные суёт из за ЦП

И?

Comodo его тоже доверенным приложением считает - помоему защита от переполнения буфера должна работать в любом случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
KIS его в доверенные суёт из за ЦП

Внимательно читаем начало темы.

Цифровая подпись только на инсталляторе, на программных процессах теста ее нет на x32, про x64 не скажу.

Доверенным KIS считает тест по хэшу через КСН, не обозначен угрозой, и пользовались им нередко.

Если изменят именно это, то будет примитивная заточка под тест.

Если тест при KIS будет стартовать с большими, чем относительно достаточно браузеру для корректной работы, ограничениями, то тест отработает некорректно.

Смысл, чтобы именно HIPS реагировал, и в процессе теста, а не сразу, и не антивирус.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Windows 7 SP1 x64 (DEP):

Desperado_Troll, понял в чем проблема была у меня с версией x64. У меня DEP был включен только для основных программ и служб Windows (значение по умолчанию). Поэтому было много провалов.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Похоже недоработали ребята из ЛК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alenabelgov
      Когда мне нужно приобрести прогграмное обеспечение то я беру тут https://kupime.kz/ сайт содержит множиство бесплатных обьявлений
    • demkd
      ничего, это новые файлы, а не модификация старых. ничего интересного не заметил, да и времени нет на это нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
       
    • Svetik2244
      Вы много путешествуете по экзотическим странам и уже смогли отведать множество необычных фруктов и ягод? Тогда попытайте свои силы, пройдя тест на их узнавание https://express-novosti.ru/interesting/tests/2147508093-test-smozhete-li-vyi-uznat-vse-eti-ekzoticheskie-fruktyi.html . чтобы было удобнее и проще возвращаться к вопросам, скопируйте специальный код ссылки и вставьте на свой сайт.
    • Svetik2244
      Научитесь сами создавать себе рекламу, так сэкономите кучу денег. Есть бесплатные курсы в интернете.
    • PR55.RP55
      Реализовать возможность добавлять произвольную информацию в Инфо. Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта. Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ??? Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило. т.е. Можно создать себе некую памятку. Например оператору не хватает информации которую предоставляет ему UVS по умолчанию. Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д. + Возможность сохранить не отдельную строку, а всю информацию из окна Инфо. т.е. делать быстрые записи\сохранение информации. Актуально, как при работе с системой, так и при работе с образами.
×