Перейти к содержанию
AM_Bot

Технологии ЛК обеспечат защиту от вирусов на этапе загрузки

Recommended Posts

AM_Bot

kaspersky.jpg«Лаборатория Касперского» объявляет о выпуске не имеющей аналогов в мире антивирусной системы для современного интерфейса загрузки операционных систем UEFI. Новый Антивирус Касперского для UEFI обеспечит безопасную загрузку компьютера, проверив системные файлы на наличие в них вредоносного кода ещё до начала работы операционной системы и основного антивируса.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
kaspersky.jpg«Лаборатория Касперского» объявляет о выпуске не имеющей аналогов в мире антивирусной системы для современного интерфейса загрузки операционных систем UEFI. Новый Антивирус Касперского для UEFI обеспечит безопасную загрузку компьютера, проверив системные файлы на наличие в них вредоносного кода ещё до начала работы операционной системы и основного антивируса.

подробнее

Статья и "изобретение" спасателей галактики откровенный пиар и надувательство неопытных пользователей. Ведь сами же пишут "Одну из самых серьёзных опасностей для компьютеров создают сегодня буткиты и руткиты – вредоносные программы, которые загружаются до операционной системы или на ранних стадиях ее работы и скрывают своё присутствие от систем антивирусной защиты", а UEFI Secure Boot в Windows 8 именно для этого и предназначен. Только об этом в статейке не написано.

Для информации:

Тот уровень безопасности, который обеспечивает UEFI с безопасной загрузкой, означает, что системы большинства клиентов будут защищены от атак, нацеленных на загрузчики.

Подробнее про защиту UEFI можно почитать в первоисточнике -Защита среды, предшествующей загрузке операционной системы, с помощью UEFI http://blogs.msdn.com/b/b8_ru/archive/2011/09/26/uefi.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sia88

С Windows 8 мы поняли.

А что касается ранних версий Windows? И будет ли реализация в продуктах для домашних пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING
С Windows 8 мы поняли.

А что касается ранних версий Windows? И будет ли реализация в продуктах для домашних пользователей?

Поддерживаю вопрос....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EVIK№1
Статья и "изобретение" спасателей галактики откровенный пиар и надувательство неопытных пользователей.

Вот это правильно.

Kraftway. был мой первый ПК вообще, они короче собирали во всяком случаи тогда отстой ПК в СВОЙ корпус, из отстой комплектующих, да ещё дешевых и продавали в три дорого. И там у меня стоял предустановленный Касперский, не помню наверно 6 версия. Всё это тормозило и не работало, синие экраны, сначала накрылся жесткий диск, заменил, потом материнская плата, а потом я это барахло отдал, подарил. Да и за нормальные деньги мне продали слабенький ПК, там всё было отстой, и материнка, и процессор, и Касперский, блок питания, и видео карта. Да и даже корпус был мини, только выбросить его.

Я, короче купил нормальный корпус для ПК, и всё комплектующие, хорошие, новые, и мощные, и собрал самый хороший ПК сам, и дешевле. Торговый центр, м. Новые Черемушки.

:)

Ну, а по теме, такое барахло будет у нескольких пользователей барахла. И с чего вы взяли что если Касперский нечего не увидел и не защитил во время запуска/установки rootkit, может быть и через любые рабочие уязвимости, до перезагрузки, он поймает что то во время загрузки. Нечего он не увидит.

Поэтому, у меня есть программная USB флешка с ESET SysRescue, интеграция технологий в железо, да, да. :)

Eugene Rodionov:

ELAM

In the rest of this blog post I’d like to say a few words on the effectiveness of ELAM (Early Launch Anti-Malware Module) against bootkit threats, based on example of Win32/Gapz.

ELAM is a new feature introduced in Microsoft Windows 8 operating systems. It allows antivirus software to load its own dedicated module: this provides assurance that it will be started before any other 3rd party kernel-mode drivers. This gives security software an advantage against fighting rootkit threats but the interesting question is whether it helps in fighting bootkits?

Win32/Gapz: New Bootkit Technique:

http://www.welivesecurity.com/2012/12/27/w...tkit-technique/

:)

1115.png

post-19903-1366197046_thumb.png

Отредактировал EVIK№1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Насколько я понимаю, в ЛК просто адаптировали старт своего продукта под стандарты UEFI, чтобы он мог работать c ELAM, как показано на этом рисунке:

0675.Figure_2D00_1_2D002D002D00_Windows_

Или речь идет все таки о поддержки UEFI для старых версий Windows?

EVIK№1, твоя схема не прокатит, так как UEFI проверяется параметры загрузки и что попало там не сможет стартовать, в этом вся суть технологии.

С Windows 8 мы поняли.

А что касается ранних версий Windows? И будет ли реализация в продуктах для домашних пользователей?

На уровне ОС поддержка UEFI появилась в Windows 8, раньше этого не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING
kaspersky.jpg«Лаборатория Касперского» объявляет о выпуске не имеющей аналогов в мире антивирусной системы для современного интерфейса загрузки операционных систем UEFI. Новый Антивирус Касперского для UEFI обеспечит безопасную загрузку компьютера, проверив системные файлы на наличие в них вредоносного кода ещё до начала работы операционной системы и основного антивируса.

подробнее

Цитата из Вики =

Windows 8 совместно с UEFI 2.3.1 закрывают дыру в безопасности текущей схемы BIOS, которая позволяет любому загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы. В отличие от BIOS, UEFI будет позволять загружаться только подтверждённым загрузчикам ОС в случае, если разрешена безопасная загрузка. Это означает, что вредоносное ПО в загрузчиках находиться больше не сможет.

Объясните пожалуйста = различия функций данных объектов (Антивирус Касперского и UEFI )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Цитата из Вики =

Windows 8 совместно с UEFI 2.3.1 закрывают дыру в безопасности текущей схемы BIOS, которая позволяет любому загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы. В отличие от BIOS, UEFI будет позволять загружаться только подтверждённым загрузчикам ОС в случае, если разрешена безопасная загрузка. Это означает, что вредоносное ПО в загрузчиках находиться больше не сможет.

Объясните пожалуйста = различия функций данных объектов (Антивирус Касперского и UEFI )

В цитате и есть ответ :) Антивирус в отличие от руткита и иного зловреда будет "подтвержденным загрузчиком", и запуститься ему как следствие ничего не помешает. И очень важно то, что запустится он до запуска операционной системы, что позволит видеть/убивать руткитов и буткитов (которые еще не активны), проводить сложное лечение (которое на запущенной системе или при активном зловреде сделать сложно) и так далее. И заблокировать работу такого решения для зловреда весьма сложно ... вот в этом вся соль идеи.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING

Спасибо за ответ!

Понятно....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EVIK№1
EVIK№1, твоя схема не прокатит, так как UEFI проверяется параметры загрузки и что попало там не сможет стартовать, в этом вся суть технологии.

Да и как UEFI отличит легитимные параметры загрузки от нелегитимных, надо тогда все все параметры подписать, и где-то хранить, а потом только их загружать, с самого старта ПК.

А зачем тогда EMET, значит без неё(EMET) даже не подписанный драйвер загрузится, а UEFI разрешит загрузку параметров. Кстати там написано, что EMET не видит не документированную загрузку драйверов, не контролирует, и нечего не может сделать.

Вот: http://blogs.msdn.com/b/b8_ru/archive/2011/09/26/uefi.aspx

Другая база данных содержит хэши вредоносных программ и встроенного ПО и блокирует выполнение этих вредоносных компонентов.

Вот и вся защита, и ещё вопрос будут ли у UEFI хещи, тем более zero-day и сможет ли она увидеть, контролировать, и блокировать загрузку нелегитимных параметров.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Тема очень интересная. Правда, непонятно, как будет дальше развиваться конкуренция антивирусных компаний, когда поддержка технологии появится у нескольких известных антивирусных брендов.

Этой технологии не хватает возможности перепрошивать что-то таким образом в материнке, чтобы включалась поддержка другого антивируса.

Пока эту нишу заняла только ЛК, этой проблемы, конечно, нет.

Зайцев Олег, можете ли прокомментировать ситуацию по связанной теме. Интересует мнение по технологии McAfee Deep Defender?

Тоже реализация на аппаратной стороне. Понятно, что кроме McAfee там вряд ли кто будет в связке с железом от Intel.

Но как соотносятся технологии UEFI и McAfee/Intel между собой по качеству защиты? Правда ли там 100% защиты от 0-day-руткитов, как они пишут?

Т.е. можете как-то сравнить эти технологии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EVIK№1

Ошибочка не EMET, а ELAM. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Да и как UEFI отличит легитимные параметры загрузки от нелегитимных, надо тогда все все параметры подписать, и где-то хранить, а потом только их загружать, с самого старта ПК.

А зачем тогда EMET, значит без неё(EMET) даже не подписанный драйвер загрузится, а UEFI разрешит загрузку параметров. Кстати там написано, что EMET не видит не документированную загрузку драйверов, не контролирует, и нечего не может сделать.

Насколько я разобрался, UEFI контролирует целостность процесса загрузки, если так можно выразится. Процесс загрузки контролируется покомопонентно и идет проверка с тем, что записано в TPM и если какой-то компонент вдруг изменился, то он загружен не будет.

В цитате и есть ответ Антивирус в отличие от руткита и иного зловреда будет "подтвержденным загрузчиком", и запуститься ему как следствие ничего не помешает. И очень важно то, что запустится он до запуска операционной системы, что позволит видеть/убивать руткитов и буткитов (которые еще не активны), проводить сложное лечение (которое на запущенной системе или при активном зловреде сделать сложно) и так далее. И заблокировать работу такого решения для зловреда весьма сложно ... вот в этом вся соль идеи.

Я правильно понимаю, что новость можно было бы просто выпустить под заголовком "Антивирус Касперского теперь поддерживает технологию ELAM"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Я правильно понимаю, что новость можно было бы просто выпустить под заголовком "Антивирус Касперского теперь поддерживает технологию ELAM"? :)

Сергей, ELAM вообще не имеет отношение к указанной новости. ELAM мы используем с релиза 2013-ки. KAV for UEFI - это отдельный продукт, работающий в UEFI.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Юрий Паршин, т.е. он стартует до ядра Windows самостоятельно, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EVIK№1
Сергей, ELAM вообще не имеет отношение к указанной новости. ELAM мы используем с релиза 2013-ки. KAV for UEFI - это отдельный продукт, работающий в UEFI.

На нескольких материнских платах Kraftway, у нескольких пользователей, с очень сомнительной эффективностью. Наверное тоже USB SysRescue только хуже, дороже, и ещё много чем хуже.

ELAM

Как вы его можете использовать, а? Если его буткиты обходят. :)

Отредактировал EVIK№1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Юрий Паршин, т.е. он стартует до ядра Windows самостоятельно, я правильно понял?

Да, это - UEFI расширение, которое не привязано никак к установленной ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EVIK№1
Да, это - UEFI расширение, которое не привязано никак к установленной ОС.

То есть закос под Microsoft, подделка. :)

Сергей, ELAM вообще не имеет отношение к указанной новости. ELAM мы используем с релиза 2013-ки.

А тут Касперский видать проверяет подписи у драйверов когда они уже загрузились. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
b423057
Тот уровень безопасности, который обеспечивает UEFI с безопасной загрузкой, означает, что системы большинства клиентов будут защищены от атак, нацеленных на загрузчики.

http://community.norton.com/t5/Norton-Prot...One/ba-p/828686

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VIKING

Цитата из статьи =

Антивирус Касперского для UEFI начинает свою работу еще до загрузки операционной системы и традиционных защитных продуктов, обеспечивая уже совершенно иной, превентивный характер защиты».

Другими словами КUEFI это отдельный продукт от Касперского, работающий от включения ПК до запуска ОС...

Или я не прав?

Тогда вопрос =

Данный продукт может влиять на основной АВ после запуска ОС?

Допустим на ПК установлен основным АВ другой антивир (не АВ Касперского)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

UEFI Secure Boot в Windows 8 не даст загрузиться руткитам и буткитам и зачем тут касперский? Наверное потому что "масло масляное" :lol:

И причем тут UEFI с безопасной загрузкой в посте по эксплойтам для поделия Oracle и социальной инженерии :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Поддержка безопасной загрузки и ELAM существует уже и в KIS 2013, для Win 8, здесь соль в другом -

Благодаря интеграции модуля Антивируса Касперского для UEFI в оболочку безопасности Kraftway Secure Shell на материнской плате, проверка загрузочных файлов в компьютере будет автоматически выполняться с самого первого дня его работы. На сегодняшний день компания Kraftway выпускает пять моделей материнских плат с интегрированными модулями безопасности «Лаборатории Касперского».

Они презентовали эту технологию на выставке к Крокусе - идея в аппаратном модуле доверенной загрузки на материнской плате, который обеспечивает железячный якорь для цепочки доверия. Причем доверия на российских стандартах крипты...

Подробностей я не знаю , пересказываю их доклад.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×