Перейти к содержанию

Recommended Posts

vaber

У меня есть предложение к AM к проведению небольшого сравнения антивирусов (IS) в плане возможности обнаружения ими актуальных и часто используемых малварой/адварой методик по обходу UAC на win7/win8.1 x86/x64.

Наиболее актуальные на текущий момент и часто используемые 2 способа.

1. Подмена загружаемой DLL autoelevate приложением. Оно же "DLL search order hijacking". Наиболее известный способ, расписанный в сети, давно и часто используемый. Как пример, "подкладывание" фейковой CRYPTBASE.dll в каталог system32\sysprep и последующий запуск autoelevate приложения sysprep.exe. Активно ипользуется такая атака на несколько подобных приложений с различными вариациями имен dll. Причем в Китае массово даже в легитимном софте...

2. Использование shim (RedirectEXE) на autoelevate приложение, например cliconfg.exe. Первоначально такой способ использовался в BlackEnergy, затем в Gootkit (буткит на исходных кодах буткита Cidox\Rovnix). Затем же в этом же Gootkit, который "превратился" из буткита в безфайловую малвару по аналогии с активнораспространяемым сейчас Poweliks. + массово рапросраняемая сейчас adware и троянский загрузчик.

Проверять можно на наиболее интересных IS - симантек, трендмайкро, макафи, есет. Можно добавить и пару бесплатных. Консумерские версии антивирусов.

Если такая тема заинтересует и будет желание провести такое небольшое сравнение, то я с удовольствием поделюсь необходимыми семплами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1.

Ключевой тут является вот эта фраза:

Активно ипользуется такая атака на несколько подобных приложений с различными вариациями имен dll

Ее даже не пришлось мне самому говорить, Василий сам это сказал. Защита от этого должна быть на концептуальном уровне, а не костыль вида "создание такой-то dll в такой-то папке - плохо". Для нормального тестирования этого пункта нужно не только несколько itw-сэмплов с разной эксплуатацией этого, но еще и несколько лик-тулз (закрытых разумеется). Для чего? Чтоб никто не заточился.

2.

Если для этого заюзать itw-тушки, то как добиться того, чтобы увидеть работу механизма блокировки обхода UAC, а не блокирование самой малвари? (сигнатурный детект, эвристика, облако, эмуляция, песочница, само поведение в конце концов). Тут нужен кодинг ликтеста, имхо.

А сам-то ты что думаешь? Ловит такое кто-то из перечисленных тобой аверов или нет (хоть на уровне "так чует моя левая пятка")? Вот моя интуиция подсказывает, что никто это не ловит. Возможно только у каспера есть на второй пункт поведенческий костыль вида детекта на последовательность запуска этих процессов и таких манипуляций с файлами (правило вида: непонятное приложение запускает сдбинст&кликонфиг&лоад_аппхелп&еще чего-нибудь).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Защита от этого должна быть на концептуальном уровне, а не костыль

На концептуальном уровне должны делать защиту программисты в MS.

Для нормального тестирования этого пункта нужно не только несколько itw-сэмплов с разной эксплуатацией этого, но еще и несколько лик-тулз (закрытых разумеется). Для чего? Чтоб никто не заточился.

Я предлагаю не так высоко прыгать - просто сравнение, не тестирование. Затачиваться никто не будет - или есть защита или ее нет. Ликтесты можно...ноя предалагаю проще, именно то, что раздают ITW. Выбор достаточен. На ликтесты может и не быть срабатываний, т.к. хз как у кого что реализовано (возможно детект не простой может быть, а с подключением облака, статистики, эвристики и прочее).

2.

Если для этого заюзать itw-тушки, то как добиться того, чтобы увидеть работу механизма блокировки обхода UAC, а не блокирование самой малвари? (сигнатурный детект, эвристика, облако, эмуляция, песочница, само поведение в конце концов). Тут нужен кодинг ликтеста, имхо.

Присоединяйся с ликтестами. Касаемо проблем именно с детектом самих бинарей...тут нужно идти от продукта - глянуть, какой модуль за что отвечает и можно ли как-то заюзать семпл, несмотря на детект (вполне возможно, для кого-то будет достаточно файловый ав отрубить и т.п)

А сам-то ты что думаешь? Ловит такое кто-то из перечисленных тобой аверов или нет (хоть на уровне "так чует моя левая пятка")? Вот моя интуиция подсказывает, что никто это не ловит. Возможно только у каспера есть на второй пункт поведенческий костыль вида детекта на последовательность запуска этих процессов и таких манипуляций с файлами (правило вида: непонятное приложение запускает сдбинст&кликонфиг&лоад_аппхелп&еще чего-нибудь).

Если бы я знал, я бы сравнение не предлагал бы провести :). Я понятия не имею, кто будет, а кто не будет на это обращать внимание.

З.Ы. Аверы - сотрудники антивирусной компании, разрабы, вирусаналитики и т.п., а не сами антивирусы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Я предлагаю не так высоко прыгать - просто сравнение, не тестирование. Затачиваться никто не будет - или есть защита или ее нет. Ликтесты можно...ноя предалагаю проще, именно то, что раздают ITW. Выбор достаточен. На ликтесты может и не быть срабатываний, т.к. хз как у кого что реализовано (возможно детект не простой может быть, а с подключением облака, статистики, эвристики и прочее).

Ну можно в принципе и itw файлы брать, будет быстрее и проще, но упремся в сложность разработки того, что у какого антивируса можно отключить, чтоб не резал файл другими функциями.

С Симантеком будут проблемы - они молятся на репутацию - итого файл будет иметь плохую репутацию (ура, мы победили!), или будет неизвестен (нулевая репутация и лерн на работу и подозрения - ура, мы победили!), а если обмануть репутацию или она будет хорошей, то тут два варианта - "обманывать нечестно", а второй - "файл известен по облаку, что он хороший, потому ему такая деятельность разрешается, мы половину адвари адварью не считаем". У вас патовая Ситуация с симантеком - он победит в любом случае :punish:

Тестируйте все с лик-тестами на vbs - сима там в не шибко хорошем свете, простите за выражение :P

Аверы - сотрудники антивирусной компании, разрабы, вирусаналитики и т.п., а не сами антивирусы.

ну это в вашей тусе мож так принято, а по всем интернетам чтоб долго не писать "антивирус" пишут коротко "авер", поэтому из контекста можно видеть о чем идет речь :)

Если бы я знал, я бы сравнение не предлагал бы провести

А я б наоборот делал ;)

А вообще сейчас у Сергея на подходе тест лечения активного заражения + сравнение бесплатных ав, наверняка все ресурсы туда уйдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея интересна, думаю нужно сделать. Это как раз свежая тема будет, а не перемывание старых тестов.

Кто готов взять за такой тест - пишите мне в личку ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Идея интересна, думаю нужно сделать. Это как раз свежая тема будет, а не перемывание старых тестов.

Отлично. Тем более проведение подобного сравнения много ресурсов не займет. И времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
а если обмануть репутацию или она будет хорошей, то тут два варианта - "обманывать нечестно", а второй - "файл известен по облаку, что он хороший, потому ему такая деятельность разрешается, мы половину адвари адварью не считаем". У вас патовая Ситуация с симантеком - он победит в любом случае :punish:

Тестируйте все с лик-тестами на vbs - сима там в не шибко хорошем свете, простите за выражение :P

Как вы обманите репутацию, Insight Symantec в частности? Думаю никак, она сама иногда ошибается, на практике - редко, если только на чуть-чуть.

Тест должен отражать реальные условия, а не "заваливать" вендора. Это просто ни к чему.

vbs беда всех, их не видят экспертные HIPSы, облако по ним тоже не работает. Не актуальны vbs в "голом" виде, вирлабовцы подскажут лучше здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Обман репутации - в смысле выход из разряда неизвестных и подозрительных, инфу раскрывать не буду.

vbs нужен не для нагибания Симы, а для упрощения разработки ликтеста и для изоляции детекта, т.е исключения факторов репутации, эмуляции, эвристики и т.д, но это потребует усилий, а ресурсов нет, потому придется взять готовую малварь/адварь. Лично я плохо себе представляю как на Симе протестировать малварь для определения его умения реагировать на обход uac, с vbs же примерно представляю.

Судя по Вашей подписи (предположительно) у Вас поболее будет знаний, чем у меня в области интерфейса настроек Симантека, поэтому предлагаю высказать свой взгляд на возможность такого теста на нем.

Актуальность vbs вредоносов не шибко относится к данной теме, все-таки о другом речь, но от себя могу заметить, что по разным странам актуальность таких малварей может разниться на порядок и более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
Обман репутации - в смысле выход из разряда неизвестных и подозрительных, инфу раскрывать не буду.

vbs нужен не для нагибания Симы, а для упрощения разработки ликтеста и для изоляции детекта, т.е исключения факторов репутации, эмуляции, эвристики и т.д, но это потребует усилий, а ресурсов нет, потому придется взять готовую малварь/адварь. Лично я плохо себе представляю как на Симе протестировать малварь для определения его умения реагировать на обход uac, с vbs же примерно представляю.

Судя по Вашей подписи (предположительно) у Вас поболее будет знаний, чем у меня в области интерфейса настроек Симантека, поэтому предлагаю высказать свой взгляд на возможность такого теста на нем.

Актуальность vbs вредоносов не шибко относится к данной теме, все-таки о другом речь, но от себя могу заметить, что по разным странам актуальность таких малварей может разниться на порядок и более.

Ничего не посоветую, слишком специфический тест.

По поводу популярности VBS: здесь поможет статистика KSN (http://securelist.ru/statistics/), больше в Африке распространены VBS черви, особенно Dunihou, на него Symantec имеет защиту.

Больше нет засветок VBS вредоносов или они есть, но действительно распространения не имеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

dunihou это общий детект каспера, как хеур.генерик, он сейчас много семейств в этот детект сует. Это как заявить, что каспер имеет защиту от всего Trojan.Gen по классификации Симы. Но это оффтоп. По тесту же я выше уже все неплохо пожевал. Я б может на себя взял небольшую часть теста в области кодинга, но пока мы не знаем как изолировать такой детект. Хотя если время будет может что сделаю и сам потыкаю, все равно имеются сервера незанятые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот, кстати, EP_X0FF и тулзу по образцу и подобию буткита backboot/Pitou выложил.

UACME

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

К слову о кодинге на vbs - зловред на vbs по итогам года у Каспера входит в топ-10 (7 место):

http://securelist.ru/analysis/ksb/24580/ka...ka-za-2014-god/

Что хорошо говорит о его "распространения не имеет", если что :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
К слову о кодинге на vbs - зловред на vbs по итогам года у Каспера входит в топ-10 (7 место):

http://securelist.ru/analysis/ksb/24580/ka...ka-za-2014-god/

Что хорошо говорит о его "распространения не имеет", если что :)

Посмотрите выше, я вам давал ссылку на securelist, там он вообще по миру на 4 месте (за последние 30 дней), но где конкретно? Африка? Южная Америка? Монголия? (кстати из-за чего именно там?) Я говорил о РФ, США, Европе, просто не уточнил. А червяк один и тот же, его уже все вендоры выучили. У Symantec на него и сигнатуры, и эвристика на семейство, и IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Значит если будет время, придется доказать показательно свое 10 сообщение этой темы. Как-то много вас товарищей пользователей Симы набежало и все требуют подтверждений моим словам, приходится давать, хотя я привык, что мои слова принимают на веру :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Сами себе противоречите. Итак, вы дали ссылку последнюю на отчёт (7 место в рейтинге), внимательно сравните наименование детектов в отчёте и по текущей статистике, о которой я вам изначально говорил, ну вы написали, мол "дженерик", хотя там ни слова нет об этом (а говорил я о Worm.VBS.......), другое дело HEUR:Win32.Trojan.Generic (он же эмулятор, он же общий и т.д.) и выясните: чем же они отличаются. :D

Так если это "дженерик", чего опять об этом писать? Это же не говорит о распространённости конкретного зловреда? Я, кстати, до сих пор не верю в то, что это "дженерик", ибо об этом не написано, странное дело получается, зачем тогда так путаться, там не писать, а в другом детекте писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Хорошо, поясню как с этим обстоят дела в вирлабе, ибо у вас все на уровне "верю не верю":

Процитирую сам себя:

dunihou это общий детект каспера, как хеур.генерик, он сейчас много семейств в этот детект сует. Это как заявить, что каспер имеет защиту от всего Trojan.Gen по классификации Симы

Речь идет о зловредах .vbs.Dinihou. - без указания конкретной модификации - т.е если говорить именно по такой формуле - все как я сказал: на данный момент это гигантский общий детект и с конкретными сигнатурами, и с эвристиками, и с детектами на vbs-пакерокрипторы и прочие (возможно, даже есть блэкджек и ...). Просто примите это на веру.

Поэтому говорить (процитирую вас), что

в Африке распространены VBS черви, особенно Dunihou, на него Symantec имеет защиту.

просто нельзя. В этом детекте слишком много семейств совершенно разных и сказать, что Сима абсолютно все их детектит... в общем не шибко верно.

Примеры:

Мегапопулярный вбс червяк с флешек, имеет кучу заливок на вт (причем давнешний), комменты, голосовалку (Сима чего-то не видит его):

https://www.virustotal.com/ru/file/9830a1f9...9b355/analysis/

Строго аналогичная ситуация:

https://www.virustotal.com/ru/file/1d8be644...edd81/analysis/

А вот примеры того, что Сима все-таки детектит (каспер их палит общим детектом Dinihou):

https://www.virustotal.com/ru/file/f9331b62...424f9/analysis/ (Сима: VBS.Downloader.Trojan)

https://www.virustotal.com/ru/file/b1e71d8f...c017a/analysis/ (Сима: Backdoor.Trojan)

Как видно, согласно тому же Симе - это разные зловредики, а не один тот же с парой измененных байт (как мини иллюстрация к моим словам).

Теперь поговорим за конкретный детект, который колеблется на 4-7 местах в топе ЛК:

VBS.Dinihou.r

Судя по всему именно про него вы написали (если я правильно понял):

А червяк один и тот же, его уже все вендоры выучили. У Symantec на него и сигнатуры, и эвристика на семейство, и IPS.

Ежели вы это написали про целиком Dinihou, то про это я уже выше пояснил. Но и с этим конкретным детектом не все гладко - это "зараженные" ярлыки, которые мегапопулярны в странах с широким распространением флешек и социального общения вида "пришел в гости". Это как ответ на ваш вопрос "(кстати из-за чего именно там?)" :)

Это тупо ярлык. Зачем там сигнатуры/эвристика/ипс - непонятно. Достаточно одного тупого детекта в виде простейшего регэкспа.

Вот погуглил пару свежих ярлыков (детектов у Симы на них нет):

https://www.virustotal.com/ru/file/183627cb...fc362/analysis/

https://www.virustotal.com/ru/file/671e3bac...611d1/analysis/

А вот тоже свежий ярлык, на который у Симы вполне понятный детект (VBS.Dunihi!lnk):

https://www.virustotal.com/ru/file/8883b330...0ee64/analysis/

Все это говорит об одном - у Симы на эти ярлыки есть простейшая сигнатурка, но она далеко не полная (плохой регэксп написали).

PS: Все это я написал не потому, что хочу показать какой Сима плохой, а его последователи не являются экспертами в ИБ, а чтоб немного поубавить пыл - общайтесь спокойно на форуме, не надо в каждое сообщение бросать одновременно вызов/недоверие к словам собеседника/рекламу Симы/стеб. Изначально все это я писал просто словами, сейчас мне пришлось взяться за клаву и набросать аргументацию/доказательства своим словам. В следующий раз не буду вестись на стеб и провокации. Будете по человечески спрашивать - буду адекватно по человечески объяснять, но не виде постоянного спора.

PS2: товарищи администрация, если посчитаете данное обсуждение неуместным в этой теме, то перенесите куда-то

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
Хорошо, поясню как с этим обстоят дела в вирлабе, ибо у вас все на уровне "верю не верю":

Процитирую сам себя:

Речь идет о зловредах .vbs.Dinihou. - без указания конкретной модификации - т.е если говорить именно по такой формуле - все как я сказал: на данный момент это гигантский общий детект и с конкретными сигнатурами, и с эвристиками, и с детектами на vbs-пакерокрипторы и прочие (возможно, даже есть блэкджек и ...). Просто примите это на веру.

Поэтому говорить (процитирую вас), что

просто нельзя. В этом детекте слишком много семейств совершенно разных и сказать, что Сима абсолютно все их детектит... в общем не шибко верно.

Примеры:

Мегапопулярный вбс червяк с флешек, имеет кучу заливок на вт (причем давнешний), комменты, голосовалку (Сима чего-то не видит его):

https://www.virustotal.com/ru/file/9830a1f9...9b355/analysis/

Строго аналогичная ситуация:

https://www.virustotal.com/ru/file/1d8be644...edd81/analysis/

А вот примеры того, что Сима все-таки детектит (каспер их палит общим детектом Dinihou):

https://www.virustotal.com/ru/file/f9331b62...424f9/analysis/ (Сима: VBS.Downloader.Trojan)

https://www.virustotal.com/ru/file/b1e71d8f...c017a/analysis/ (Сима: Backdoor.Trojan)

Как видно, согласно тому же Симе - это разные зловредики, а не один тот же с парой измененных байт (как мини иллюстрация к моим словам).

Теперь поговорим за конкретный детект, который колеблется на 4-7 местах в топе ЛК:

VBS.Dinihou.r

Судя по всему именно про него вы написали (если я правильно понял):

Ежели вы это написали про целиком Dinihou, то про это я уже выше пояснил. Но и с этим конкретным детектом не все гладко - это "зараженные" ярлыки, которые мегапопулярны в странах с широким распространением флешек и социального общения вида "пришел в гости". Это как ответ на ваш вопрос "(кстати из-за чего именно там?)" :)

Это тупо ярлык. Зачем там сигнатуры/эвристика/ипс - непонятно. Достаточно одного тупого детекта в виде простейшего регэкспа.

Вот погуглил пару свежих ярлыков (детектов у Симы на них нет):

https://www.virustotal.com/ru/file/183627cb...fc362/analysis/

https://www.virustotal.com/ru/file/671e3bac...611d1/analysis/

А вот тоже свежий ярлык, на который у Симы вполне понятный детект (VBS.Dunihi!lnk):

https://www.virustotal.com/ru/file/8883b330...0ee64/analysis/

Все это говорит об одном - у Симы на эти ярлыки есть простейшая сигнатурка, но она далеко не полная (плохой регэксп написали).

PS: Все это я написал не потому, что хочу показать какой Сима плохой, а его последователи не являются экспертами в ИБ, а чтоб немного поубавить пыл - общайтесь спокойно на форуме, не надо в каждое сообщение бросать одновременно вызов/недоверие к словам собеседника/рекламу Симы/стеб. Изначально все это я писал просто словами, сейчас мне пришлось взяться за клаву и набросать аргументацию/доказательства своим словам. В следующий раз не буду вестись на стеб и провокации. Будете по человечески спрашивать - буду адекватно по человечески объяснять, но не виде постоянного спора.

PS2: товарищи администрация, если посчитаете данное обсуждение неуместным в этой теме, то перенесите куда-то

Спасибо за доп. инфу. Один момент. Ок, я могу быть не прав насчёт "дженерика", но почему я сомневаюсь - описал выше.

Вы писали про TOP 7, там Worm.VBS....

Я писал тоже о нём раньше. Когда я говорил о распространённости лишь в опред. странах, указывая этого же зловреда (тот же самый детект) вы сказали, что это "дженерик", ладно, но что главное - по нему нельзя говорить о распространённости. Однако посмотрите на пост №13 - вы тут же использовали это как доказательство его "популярности". Т.е. вы нарушили смысл собственного суждения или я вас не понял. Вы хотели сказал, что это дженерик для любых VBS-ов и не обязательно Dunihi?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Вы хотели сказал, что это дженерик для любых VBS-ов и не обязательно Dunihi?

Да, просто Dinihou.* - тут огромнейшая солянка из разных VBS-зловредов (в т.ч и Dunihi). Но не прям таки для любых - у каспера есть и другие деткты на VBS-малварь, просто в него толкают больше всего. А конкретно Dinihou.r - детект "зараженных" ярлыков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот, кстати, EP_X0FF и тулзу по образцу и подобию буткита backboot/Pitou выложил.

UACME

Вернусь снова к обсуждению сравнения. EP_X0FF более основательно взялся за эту утилитку и постоянно ее совершенствует исходя из публичных методов. Все перечисленное в первом посте в ней есть в различных вариациях + под x86-32/x64. Так что можно проводить сравнение исключительно на этой утилите + проверка малварными семплами, если вдруг будет подозрение на "заточку" под конкретно утилиту.

 

З.Ы. В марте одно семейство малвари обновилось, там используется еще один способ обхода UAC (в прочем, там не только UAC-ом интересен - там и инжект в произвольный процесс, в том числе и антивирусов под SD ;) ). Думаю, уже скоро о нем кто-нибудь да напишет. И, соотвественно, весьма вероятно, обновится и эта утилита. Как раз пока будем обсуждать тест на лечение активного заражения и подойдет время к проведению этого сравнения =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

инжект в произвольный процесс, в том числе и антивирусов под SD

 

То есть он произвольный и проверять возможность самозащиты нужно тысячи раз на каждый антивирус? То есть есть у антивируса 5-10-15 процессов, а всего только в диспетчере их отображается скажем 79 - выбирается любой 1?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

З.Ы. В марте одно семейство малвари обновилось, там используется еще один способ обхода UAC (в прочем, там не только UAC-ом интересен - там и инжект в произвольный процесс, в том числе и антивирусов под SD ;) ). Думаю, уже скоро о нем кто-нибудь да напишет. И, соотвественно, весьма вероятно, обновится и эта утилита. Как раз пока будем обсуждать тест на лечение активного заражения и подойдет время к проведению этого сравнения =)

 

 

http://www.kernelmode.info/forum/viewtopic.php?f=16&p=25612#p25609

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Сергей Ильин

Все перечисленное в первом посте в ней есть в различных вариациях + под x86-32/x64. Так что можно проводить сравнение исключительно на этой утилите + проверка малварными семплами, если вдруг будет подозрение на "заточку" под конкретно утилиту.

 

Как самплы возьмем "в довесок" к этой утилите?

 

Может быть ситуация, что тулза будет кем-то из вендоров детектироваться сигнатурами (такое было в предыдущих тестах с утилитами). Что делать в этом случае?

 

Если на тулзу реакции не будет, но на вредоносы через какие-то костыли будет детект, то как быть в этом случае?

 

Пока я не очень понимаю методику подсчета итоговых результатов теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

 

Как самплы возьмем "в довесок" к этой утилите?

 

Может быть ситуация, что тулза будет кем-то из вендоров детектироваться сигнатурами (такое было в предыдущих тестах с утилитами). Что делать в этом случае?

 

Если на тулзу реакции не будет, но на вредоносы через какие-то костыли будет детект, то как быть в этом случае?

 

Пока я не очень понимаю методику подсчета итоговых результатов теста.

 

Я предлагаю не тест, а сравнение. Более упрощенно и быстро.

В большиснтве AV, я думаю, можно будет отключить файловый антивирус и, так или иначе, запустить утилиту. Вредоносные программы можно использовать лишь как дополнительное подтверждение реагирования\не реагирования на утилиту (на часть методов, т.к. там есть и  методы, не применяемые в точности в malware, но прекрасно работающие).

Вообще для данного сравнения абсолютно все-равно, есть ли сигнатурный детект на утилиту или семплы малвари. Тут главное, как антивирус будет реагировать на метод обхода UAC. А уж там, по результатам, будем думать. Если вдруг случится такое, что на утилиту срабатывания нет, а на малварь, с тем же по сути методом обхода, есть. Такое может быть...но вряд ли будет)

 

Подсчитывать там не проблема - в утилите есть на данный момент 9 способов, останется +\- ставить)

 

Но вообще в целом, AV не вовсе не обязаны хоть как-то реагировать именно но обход UAC. Чисто академический интерес. Кто такие методики детектирует и запрещает, а кто никак не реагирует. Тоже результат :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×