Перейти к содержанию
Ingener

Самозащита защитного софта...

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

Глупости.

Любой мало-мальский грамотный антируткит снимает все хуки с любого софта. Вы же его запускаете на равных с защищаемым софтом. Тот же антируткит "снимет" все хуки и с малварь-дефендера. В процессах SYSTEM все равны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Похоже, что непреступной самозащиты всё таки не бывает...

именно что так, при попадании в ring 0, самозащита перестает играть какую бы то ни было роль..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Хы. Думаете просто так есть запросы на внедрение драйверов? Не у Доктора, у Доктора их нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Обсуждаем в этой теме самозащиту защитного софта: нужна ли она, насколько навороченной должна быть, у каких продуктов она лучше и т.д.

Она может потребоваться как (пустой) аргумент для продвижения продуктов. Практически она никакую роль не играет - если зловред заточен против определённого продукта, то тогда спасения по-любому нет. С некоторыми программами защиты даже смысла нет их убивать - пропадает сеть (пример: Comodo 2). Обход всегда лучше.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Способы килянья ав-софта можно (условно) разделить на три группы:

1). Из кернел мода

2). Из юзер мода

3). Эксплоит

Если рассмотреть более подробно:

1). Загружаем драйвер - тут или стандартным путем если нет проверок или с небольшими извращениями (другой функцией), путем замены, просто редактирование реестра и т.д и т.п...

Затем снимаем перехват/ы или еще делаем, что нам нужно...

2). Тут нельзя выстроить такой четкой картины как в предыдущем пункте - что хотим, то и делаем (различные способы завершения процессов, затирания файлов, внедрения своих либ, перевод даты, отнятие прав, атака на гуй и т.д и т.п).

3). Конкретно против конкретного антивируса - эксплуатация его уязвимости. Недавно была тема от Василия - вот самый ближайший пример этого способа.

:)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Тогда итоги тестов на самозащиту - про то что Dr.Web 5 имеет 100% самозащиту дезинформация и не правда.

Ingener, в результатах тестирования, проведенного AM говорилось о том, что "этот антивирус отразил все 100% моделируемых атак, набрав 38 баллов.",

а не "имеет 100% самозащиту".

При проведении экспериментов по "убиению" Вы использовали учетную запись с правами администратора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

Ingener, использование учетной записи с правами администратора, либо отключение UAC,

изначально нарушает первоосновы безопасности, поэтому эксперименты с использованием

ограниченной учетной записи были бы более логичными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Подразмыслив над этой темой пришёл к выводу, что если продукт не имеет hips - то говорить о его хорошей самозащите бессмысленно, т.к. чем он будет препятствовать загрузке зловредами драйверов для его убийство

Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM. В НОДе 3-ем (первой тройке) подобное тоже относительно отслеживалось - он карантинил драйвер AVZ и тем себя спасал.

Vadim Fedorov

Осталось объяснить это всем-всем-всем остальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Хорошо скажем так - если в продукте нет модуля для контроля загрузки драйверов - то нельзя говорить о его хорошей самозащите...

Конечно. Кто сейчас работает под пользователем? Это наверное только в корпоративной среде используется и то не везде.

К тому же доктору применяем мамонтобаг "sc pause spidernt" - паузим фильтр, грузим драйвер для прибития защиты, а в трей можно значок свой повесить и всё.

Не понимаю, что мешает сделать хотя бы галактекоопасностезапрос или запрет на загрузку драйвера без подписи. Отпало бы большинство проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM.

А PDM- это не HIPS? Зашибись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
К тому же доктору применяем мамонтобаг "sc pause spidernt"

До сих пор?!?!??!???!???! Проверял?

А PDM- это не HIPS? Зашибись...

Будем на уровне запятых выяснять разницу? Для KIS и его пользователей это два разных компонента. Хотя в целом PDM можно считать HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
До сих пор?!?!??!???!???! Проверял?

А это "сикрет"? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
А это "сикрет"? :D

Просто странно, что эту известную дыру не закрыли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Просто странно, что эту известную дыру не закрыли...

А что странного- спайдер x64 тоже где то далеко-далеко.... :)

P.S. А "дыра" есть...? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Повторил эксперемент в учётной записи гостя с включенной UAC - результат аналогичен.

Ну так у Вас же MD уже стоит, стартует как сервис, драйвер загружает. Чего же Вы ожидали? :)

Хорошо, скажем так - если в продукте нет модуля для контроля загрузки драйверов, то нельзя говорить о его хорошей самозащите...

Не совсем так. Самозащита прежде всего используется для препятствия нарушению работы антивируса вредоносными программами из режима пользователя. Если вредоносный код попал в режим ядра, то, как уже говорили выше, самозащита уже не может быть надежной. Более того, в некоторых антивирусах/фаерволах разрешено системным процессам влиять на процессе защитного продукта и проч. От того и получается, что эффективность самозащиты резко повышается, когда есть мониторинг загрузки драйверов, всяких способов проникновения в ring0, изменения памяти процессов, секций и проч и проч + еще повышается, если используется ограниченная учетная запись и система постоянно обновляется (использование эксплоита для записи в ring0 или повышения привилегий в системе никто не отменял).

Именно по этому, касаясь именно самозащиты, в тесте на ам использовались методы только из режима пользователя (+ 2 банальных из ядра). Но и, само собой, в том тесте не использовались все-все возможные методы, а только самые простейшие и доступные.

Просто странно, что эту известную дыру не закрыли...

Как там докторовцы говорят - это не баг, это фича =)

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
P.S. А "дыра" есть...? ;)
C:\XP\system32>sc queryex spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 4  RUNNING							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0	PID                : 1160	FLAGS              :C:\XP\system32>sc pause spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 7  PAUSED							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0C:\XP\system32>c:\test.comEICAR-STANDARD-ANTIVIRUS-TEST-FILE!C:\XP\system32>
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

dr_dizel ^_^

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Уже не актуально на текущей версии веба.

Ага:

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Уже не актуально на текущей версии веба.

Ну вот чисто на коленке для текущей бэты. :P

DrPoC.zip

DrPoC.zip

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
    • PR55.RP55
      Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.    
    • PR55.RP55
      По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
×