p2u

Трудный тест или нет?

В этой теме 60 сообщений

Для развлечения. :)

На разных форумах (даже на форуме самого автора данного теста - Comodo) создаётся какая-то паника вокруг уровня (не)прохождения данного теста для файрволов/комбайнов. Кто хочет попробовать, вот: Comodo Leaktests v.1.1.0.3.zip (тестирование по 34 разным параметрам):

1 - 4. RootkitInstallation

5 - 9. Invasion

10 - 19. Injection

20 - 21. InfoSend: ICMP + DNS test

22 - 26. Impersonation

27 - 34. Hijacking

P.S.: Есил антвирус говорит, что это нежелательная программа - игнорировать. При тестирование только разрешить запуск.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тесты ActiveDesktop, SetWindowsHookEx написаны неправильно. FileDrop- вообще фигня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тесты ActiveDesktop, SetWindowsHookEx написаны неправильно. FileDrop- вообще фигня.

Зловреды иногда тоже неграмотно пишут, но они всё же заражают комп... ;)

Или вы имеете в виду, что будет BSoD?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

БСоДа не замечено.

Тест падает, если в HIPS KIS ему запрещать все, кроме запуска (по умолчанию настройки не такие).

Date    21:45:43 - 03.12.2008OS    Windows XP SP3 build 26001. RootkitInstallation: MissingDriverLoad    Protected2. RootkitInstallation: LoadAndCallImage    Protected3. RootkitInstallation: DriverSupersede    Protected4. RootkitInstallation: ChangeDrvPath    Vulnerable5. Invasion: Runner    Protected6. Invasion: RawDisk    Protected7. Invasion: PhysicalMemory    Protected8. Invasion: FileDrop    Vulnerable9. Invasion: DebugControl    Protected10. Injection: SetWinEventHook    Protected11. Injection: SetWindowsHookEx    Vulnerable12. Injection: SetThreadContext    Protected13. Injection: Services    Protected14. Injection: ProcessInject    Protected15. Injection: KnownDlls    Vulnerable16. Injection: DupHandles    Protected17. Injection: CreateRemoteThread    Protected18. Injection: APC dll injection    Protected19. Injection: AdvancedProcessTermination    Protected20. InfoSend: ICMP Test    Protected21. InfoSend: DNS Test    Protected22. Impersonation: OLE automation    Protected23. Impersonation: ExplorerAsParent    Error24. Impersonation: DDE    Error

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ Umnik

Но вопрос, конечно, ещё в том, насколько оценка самого теста - правильной. Вы это проверили? Такие тесты как PCFlank, например, могут говорить вам, что не прошли тест, хотя данные НЕ были переданы. Именно поэтому я создал тему здесь, а не в одном из более серьёзных разделов.

Вот это, например:

4. RootkitInstallation: ChangeDrvPath Vulnerable

В отношении КИСа не очень верится на самом деле...

И это тоже:

15. Injection: KnownDlls Vulnerable

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u

Паул, я не говорю о точности теста. Я говорю о его поведении. Не удалось пройти этап - падение. Это ненормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Паул, я не говорю о точности теста. Я говорю о его поведении. Не удалось пройти этап - падение. Это ненормально.

Я это понял, Umnik. Мне казалось, что это даже комментировать не надо. :)

Вопрос остаётся - вы проверили, что КИС действительно пропускает приведённые мной элементы (4 и 15)? Трюк с драйвером, например, удался?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Outpost Pro с максимальными настройками. На все запросы ответ - запретить. Результат:

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected

2. RootkitInstallation: LoadAndCallImage Protected

3. RootkitInstallation: DriverSupersede Protected

4. RootkitInstallation: ChangeDrvPath Vulnerable

5. Invasion: Runner Protected

6. Invasion: RawDisk Vulnerable

7. Invasion: PhysicalMemory Protected

8. Invasion: FileDrop Vulnerable

9. Invasion: DebugControl Protected

10. Injection: SetWinEventHook Protected

11. Injection: SetWindowsHookEx Protected

12. Injection: SetThreadContext Protected

13. Injection: Services Protected

14. Injection: ProcessInject Protected

15. Injection: KnownDlls Vulnerable

16. Injection: DupHandles Vulnerable

17. Injection: CreateRemoteThread Protected

18. Injection: APC dll injection Protected

19. Injection: AdvancedProcessTermination Vulnerable

20. InfoSend: ICMP Test Protected

21. InfoSend: DNS Test Protected

22. Impersonation: OLE automation Protected

23. Impersonation: ExplorerAsParent Protected

24. Impersonation: DDE Protected

25. Impersonation: Coat Protected

26. Impersonation: BITS Vulnerable

27. Hijacking: WinlogonNotify Protected

28. Hijacking: Userinit Protected

29. Hijacking: UIHost Vulnerable

30. Hijacking: SupersedeServiceDll Vulnerable

31. Hijacking: StartupPrograms Vulnerable

32. Hijacking: ChangeDebuggerPath Vulnerable

33. Hijacking: AppinitDlls Protected

34. Hijacking: ActiveDesktop Protected

Score 230/340

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или вы имеете в виду, что будет BSoD?

Нет, я имею в виду, что эти тесты проверяют возвращаемое значение, а не реальное исполнение согласно выполненной функции. Пример- я блокирую SetWindowsHookEx, но возвращаю фейковый хендл. Тест показывает что DW будто бы не блокирует эту функцию, но реальность отличается от теорий CLT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Score 230/340

Неплохо. Если мониторить ключ

Key: HKLM\SYSTEM\ControlSet???\Control\Terminal Server\Wds\rdpwd

Value: StartupPrograms

То тогда можно получить ещё лучше результат. Это относится к '31. Hijacking: StartupPrograms Vulnerable'. :)

Источник - wilderssecurity.

Paul

Нет, я имею в виду, что эти тесты проверяют возвращаемое значение, а не реальное исполнение согласно выполненной функции. Пример- я блокирую SetWindowsHookEx, но возвращаю фейковый хендл. Тест показывает что DW будто бы не блокирует эту функцию, но реальность отличается от теорий CLT.

Понял, спасибо. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Неплохо. Если мониторить ключ
Key: HKLM\SYSTEM\ControlSet???\Control\Terminal Server\Wds\rdpwd

Value: StartupPrograms

То тогда можно получить ещё лучше результат. Это относится к '31. Hijacking: StartupPrograms Vulnerable'. :)

Источник - wilderssecurity.

Можно ли это сделать пользовательскими методами в настройках Аутпоста, без вмешательства в файл machine.ini?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно ли это сделать пользовательскими методами в настройках Аутпоста, без вмешательства в файл machine.ini?

Не могу сказать. :(

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Трюк с драйвером, например, удался?

Да, КИС не проходит пока такой ликтест...правда не знаю насколько он актуален - в малварах такого я лично не встречал еще, более того - такой трюк позволит загрузить драйвер только после рестарта ПК. Как следует из названия ликтеста №4 - он сводится к изменению в системном сервисе пути к файлу-драйвера ImagePath (в ликтесте изменяется путь к beep.sys и успех/неуспех определяется по возвращаемому значению).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и успех/неуспех определяется по возвращаемому значению

Что ещё раз подтверждает кривые руки програмеров из Comodo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович

Или заточка под свой Продукт.

vaber

Это дело мониторится, но не блокируется. Если в настройках PDM включить "Изменение ядра ОС". Тогда можно будет любоваться на алерт с единственной кнопкой "Пропустить". Правда посыпятся фолсы на некоторые программы. Например, на infrarecorder

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Это дело мониторится, но не блокируется. Если в настройках PDM включить "Изменение ядра ОС". Тогда можно будет любоваться на алерт с единственной кнопкой "Пропустить". Правда посыпятся фолсы на некоторые программы. Например, на infrarecorder

Что? Причем тут изменение ядра системы? Тут другое ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При том, что именно этой настройкой КИС реагирует на тест :) Или я проморгал момент. Позже точно гляну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
При том, что именно этой настройкой КИС реагирует на тест smile.gif

Что-то ты путаешь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или заточка под свой Продукт.

Да, или заточка под свои продукты, что тоже тоже очень плохо, ибо ведёт к пряиому обману пользователей.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как следует из названия ликтеста №4 - он сводится к изменению в системном сервисе пути к файлу-драйвера ImagePath

Это звучит само по себе уже рисковано, нет? Он же делает это через Service Control Manager, или я ошибаюсь? Даже если такой трюк позволит загрузить драйвер только после рестарта ПК, это, как мне кажется, всё-таки серьёзный риск.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это звучит само по себе уже рисковано, нет? Он же делает это через Service Control Manager, или я ошибаюсь? Даже если такой трюк позволит загрузить драйвер только после рестарта ПК, это, как мне кажется, всё-таки серьёзный риск.

Да, через SCM. Загрузить его можно и сразу, но это будет обнаружено. Сам лик проверяет лишь факт возможности изменить ключ. Да, риск есть, поэтому думаю в ближайшее время будут исправлять. есть, кстати, и еще способы загрузить драйвер после рестарта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что-то ты путаешь :)

Каюсь. Я напутал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как следует из названия ликтеста №4 - он сводится к изменению в системном сервисе пути к файлу-драйвера ImagePath (в ликтесте изменяется путь к beep.sys и успех/неуспех определяется по возвращаемому значению).

Я вот тоже заметил, что оно хочет менять популярный сейчас beep.sys. Но у меня загрузка и старт его отключён, так что пришлось его включать и перезагружаться для чистоты эксперимента.

Под админом.

Outpost Firewall Pro 2009 ver. 6.5.2490.360.0654 (beta)

Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected

2. RootkitInstallation: LoadAndCallImage Protected

3. RootkitInstallation: DriverSupersede Protected

4. RootkitInstallation: ChangeDrvPath Vulnerable

5. Invasion: Runner Protected

6. Invasion: RawDisk Protected

7. Invasion: PhysicalMemory Protected

8. Invasion: FileDrop Protected

9. Invasion: DebugControl Protected

10. Injection: SetWinEventHook Protected

11. Injection: SetWindowsHookEx Protected

12. Injection: SetThreadContext Protected

13. Injection: Services Protected

14. Injection: ProcessInject Protected

15. Injection: KnownDlls Protected

16. Injection: DupHandles Protected

17. Injection: CreateRemoteThread Protected

18. Injection: APC dll injection Protected

19. Injection: AdvancedProcessTermination Vulnerable

20. InfoSend: ICMP Test Protected

21. InfoSend: DNS Test Protected

22. Impersonation: OLE automation Protected

23. Impersonation: ExplorerAsParent Protected

24. Impersonation: DDE Protected

25. Impersonation: Coat Protected

26. Impersonation: BITS Protected

27. Hijacking: WinlogonNotify Protected

28. Hijacking: Userinit Protected

29. Hijacking: UIHost Protected

30. Hijacking: SupersedeServiceDll Protected

31. Hijacking: StartupPrograms Protected

32. Hijacking: ChangeDebuggerPath Protected

33. Hijacking: AppinitDlls Protected

34. Hijacking: ActiveDesktop Protected

Score 320/340

P.S. Причём тест "4. RootkitInstallation: ChangeDrvPath" при чистых настройках фаервол не проваливает, но на обычной системе в 99,99% (правило services.exe) он проваливает из-за ошибок в дизайне - практически нет настройки контроля опосредованного доступа. Но это отдельная печальная тема.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня такая же конфигурация и версия: 340/340 (в Локальная безопасность во всех вкладках всегда отмечено все; на все запросы жал "блокировать")

Сейчас поставил 6.5.2509.366.0663 - стал неактивен Веб-контроль (Выключен для обеспечения совместимости со сторонним ПО) - в бете он работал, и никак не включить, а мне он нужен!

А по тесту 340/340

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...