Перейти к содержанию
Vsevolod

Тест на переполнение буфера

Recommended Posts

Vsevolod

Один из тестов из арсенала Comodo, аж 2007 год.

http://download.comodo.com/cpf/download/se...OTester_x32.exe

Основной целью теста является проверка на способность HIPS противостоять атаке переполнения буфера через доверенное приложение.

Под данным приложением подразумеваем самое часто используемое, соответственно, самое уязвимое приложение с используемым им медиа-расширениями - браузер.

Один из самых распространенных видов атак, результатом чего обычно следует неособо затруднительное выполнение злоумышленником произвольного кода.

Говорилось о тесте еще тут:

http://www.anti-malware.ru/forum/index.php...ost&p=16855

И тут пару лет назад:

http://forum.kaspersky.com/index.php?showt...t&p=1540391

Печалька.

Запрещать и серьезно ограничивать первоначальный запуск проинсталлированной утилиты, ограничивая больше, чем браузер, должный сохранить свой функционал, нельзя - теряется смысл теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
А если на машине включен DEP? Что покажет такой тест?

Ага, у меня на Windows7 (правда x64) без всяких HIPS, но с включенным DEP тест проходится на ура. Все три подтеста - Protected.

Если предметнее вопрос DEP поднимать, то помним, различая, что DEP работает в 2-х режимах:

- аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода».

- программном, для остальных процессоров.

http://download.comodo.com/cpf/download/se...OTester_x64.exe под x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
C этим все не так радужно на моей машине :) Первые 2 - Protected, остальные - Vulnerable. Немного странно ...

Тест под x64 также 2007 года, 7-ра выпущена в продажу на 2 года позже.

Что, впрочем, не отрицает возможность тестов на 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Windows 7 SP1 x64 (DEP):

8aadb7829322f7409db9aa1ec5ddbe35.jpg

Windows 7 SP1 x64 (DEP) + Comodo Internet Security Premium:

4035a4d936ac99c4d88c447b5e4d21fd.jpg

0d0b800c928bf210095b1e4d50064ff2.jpg

Странно, что CIS не проходит полностью свой тест...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

На XP x32 CIS проходит полностью. KIS не проходит.

На x32 этапов теста меньше в 2 раза по понятной причине: на x64 тест обоих вариантов.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
На XP x32 проходит полностью.

Но там этапов теста меньше.

На вопрос отвечаете что, какой режим Проактивной защиты, какая выбрана Конфигурация CIS, какие допнастройки?

Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

777.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Вопрос возникает только на последнем этапе теста Ret2Libc (x32), до этого наверно DEP отрабатывает - отвечаю завершить работу и тогда этот этап теста проходится, при нажатие пропустить соответственно проваливается.

Все настройки смотрите во вложенном файле настроек конфигурации.

Настройки - с первого раза не прикрепилось...

777.7z

Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Далеко не только в DEP дело, процессор у меня без DEP.

Не взыщите, но разбираться в дебрях индивидуального конфиг-файла не всем знакомой программы муторно и долго.

Если вопрос задает, значит уже тормозит угрозу.

За себя скажу, что у меня:

Конфигурация: Proactive Security, она по проактивной защите мощнее чем прочие дефолтные 2 варианта.

Режим проактивной защиты: Безопасный или Параноидальный.

Антивирус выключен.

Опциональные внутренние настройки на максимуме.

Тормозит тестовые угрозы даже при отключении облака.

Не проходится именно Ret2Libc (x64) - или тест не правильно отрабатывает или в CIS разработчики какой-то косяк допустили.

На прохождение этого теста теоретически должна влиять только галочки в настройках Обнаруживать внедрение shell-кода (защита от переполнения буфера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
На XP x32 CIS проходит полностью. KIS не проходит.

KIS его в доверенные суёт из за ЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
KIS его в доверенные суёт из за ЦП

И?

Comodo его тоже доверенным приложением считает - помоему защита от переполнения буфера должна работать в любом случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
KIS его в доверенные суёт из за ЦП

Внимательно читаем начало темы.

Цифровая подпись только на инсталляторе, на программных процессах теста ее нет на x32, про x64 не скажу.

Доверенным KIS считает тест по хэшу через КСН, не обозначен угрозой, и пользовались им нередко.

Если изменят именно это, то будет примитивная заточка под тест.

Если тест при KIS будет стартовать с большими, чем относительно достаточно браузеру для корректной работы, ограничениями, то тест отработает некорректно.

Смысл, чтобы именно HIPS реагировал, и в процессе теста, а не сразу, и не антивирус.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Windows 7 SP1 x64 (DEP):

Desperado_Troll, понял в чем проблема была у меня с версией x64. У меня DEP был включен только для основных программ и служб Windows (значение по умолчанию). Поэтому было много провалов.

P.S. Вот вам и показатель готовности KIS противостоять зеро-дэй угрозам.

Похоже недоработали ребята из ЛК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Bernard
      Не расстраивайтесь. Везде цены разные и в этом я убедился на собственном опыте. Когда нужен был сайт обращался во многие веб-студии. Выбрал для себя самый оптимальный вариант вот эту веб студию  space-site.com.ua . И не пожалел. За адекватную цену ребята разработали отличный сайт на платформе Ларавел. Я очень доволен.
    • PolinKa
      Добрый вечер. У меня свой интернет-магазин. Никак не могу его раскрутить. Обратилась в веб студию. Но мне там за эту услугу запросили кругленькую сумму. Подскажите куда еще можно обратиться? Но только что б цены были у них адекватные.
    • Alushaa
      Для желающих похудеть есть хорошее приложение https://veadug.com/1744-runtastic.html Можете им сами пользоваться, оно реально безумно крутое и я не жалею что пользуюсь им сам
    • Dilyaako
      Когда возникают поиски с рестораном, то стоит воспользоваться интернетом, там есть вся интересующая информация. Понятное дело, что названия всех заведений никто не знает, но есть специальные сайты, например, как этот https://www.restoclub.ru/, где собрана вся необходимая информация по заведениям. Есть их рейтинг. Так сделать выбор будет совсем не сложно. Мы этим сайтом пользуемся всегда, когда планируем сходить в ресторан или кафе.
    • PR55.RP55
      В  Инфо.  файла добавлять:  Пример: Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o." где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью. т.е. Легальных - подписанных файлов в системе как правило много. У вирусов файлов значительно меньше. т.е. речь идёт не просто о файле - речь идёт о группе файлов. + Это подстраховка оператора от ошибки. Оператор удалил два файла, но в Инфо. оператор видит |  3  | ----------- Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа ) По настройке: settings.ini или командой меню. ------------ Можно добавить в лог уведомление: Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE ! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |    
×