Перейти к содержанию
Ingener

Самозащита защитного софта...

Recommended Posts

Arakcheev

Глупости.

Любой мало-мальский грамотный антируткит снимает все хуки с любого софта. Вы же его запускаете на равных с защищаемым софтом. Тот же антируткит "снимет" все хуки и с малварь-дефендера. В процессах SYSTEM все равны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Похоже, что непреступной самозащиты всё таки не бывает...

именно что так, при попадании в ring 0, самозащита перестает играть какую бы то ни было роль..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Хы. Думаете просто так есть запросы на внедрение драйверов? Не у Доктора, у Доктора их нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Обсуждаем в этой теме самозащиту защитного софта: нужна ли она, насколько навороченной должна быть, у каких продуктов она лучше и т.д.

Она может потребоваться как (пустой) аргумент для продвижения продуктов. Практически она никакую роль не играет - если зловред заточен против определённого продукта, то тогда спасения по-любому нет. С некоторыми программами защиты даже смысла нет их убивать - пропадает сеть (пример: Comodo 2). Обход всегда лучше.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Способы килянья ав-софта можно (условно) разделить на три группы:

1). Из кернел мода

2). Из юзер мода

3). Эксплоит

Если рассмотреть более подробно:

1). Загружаем драйвер - тут или стандартным путем если нет проверок или с небольшими извращениями (другой функцией), путем замены, просто редактирование реестра и т.д и т.п...

Затем снимаем перехват/ы или еще делаем, что нам нужно...

2). Тут нельзя выстроить такой четкой картины как в предыдущем пункте - что хотим, то и делаем (различные способы завершения процессов, затирания файлов, внедрения своих либ, перевод даты, отнятие прав, атака на гуй и т.д и т.п).

3). Конкретно против конкретного антивируса - эксплуатация его уязвимости. Недавно была тема от Василия - вот самый ближайший пример этого способа.

:)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Тогда итоги тестов на самозащиту - про то что Dr.Web 5 имеет 100% самозащиту дезинформация и не правда.

Ingener, в результатах тестирования, проведенного AM говорилось о том, что "этот антивирус отразил все 100% моделируемых атак, набрав 38 баллов.",

а не "имеет 100% самозащиту".

При проведении экспериментов по "убиению" Вы использовали учетную запись с правами администратора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

Ingener, использование учетной записи с правами администратора, либо отключение UAC,

изначально нарушает первоосновы безопасности, поэтому эксперименты с использованием

ограниченной учетной записи были бы более логичными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Подразмыслив над этой темой пришёл к выводу, что если продукт не имеет hips - то говорить о его хорошей самозащите бессмысленно, т.к. чем он будет препятствовать загрузке зловредами драйверов для его убийство

Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM. В НОДе 3-ем (первой тройке) подобное тоже относительно отслеживалось - он карантинил драйвер AVZ и тем себя спасал.

Vadim Fedorov

Осталось объяснить это всем-всем-всем остальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Хорошо скажем так - если в продукте нет модуля для контроля загрузки драйверов - то нельзя говорить о его хорошей самозащите...

Конечно. Кто сейчас работает под пользователем? Это наверное только в корпоративной среде используется и то не везде.

К тому же доктору применяем мамонтобаг "sc pause spidernt" - паузим фильтр, грузим драйвер для прибития защиты, а в трей можно значок свой повесить и всё.

Не понимаю, что мешает сделать хотя бы галактекоопасностезапрос или запрет на загрузку драйвера без подписи. Отпало бы большинство проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM.

А PDM- это не HIPS? Зашибись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
К тому же доктору применяем мамонтобаг "sc pause spidernt"

До сих пор?!?!??!???!???! Проверял?

А PDM- это не HIPS? Зашибись...

Будем на уровне запятых выяснять разницу? Для KIS и его пользователей это два разных компонента. Хотя в целом PDM можно считать HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
До сих пор?!?!??!???!???! Проверял?

А это "сикрет"? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
А это "сикрет"? :D

Просто странно, что эту известную дыру не закрыли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Просто странно, что эту известную дыру не закрыли...

А что странного- спайдер x64 тоже где то далеко-далеко.... :)

P.S. А "дыра" есть...? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Повторил эксперемент в учётной записи гостя с включенной UAC - результат аналогичен.

Ну так у Вас же MD уже стоит, стартует как сервис, драйвер загружает. Чего же Вы ожидали? :)

Хорошо, скажем так - если в продукте нет модуля для контроля загрузки драйверов, то нельзя говорить о его хорошей самозащите...

Не совсем так. Самозащита прежде всего используется для препятствия нарушению работы антивируса вредоносными программами из режима пользователя. Если вредоносный код попал в режим ядра, то, как уже говорили выше, самозащита уже не может быть надежной. Более того, в некоторых антивирусах/фаерволах разрешено системным процессам влиять на процессе защитного продукта и проч. От того и получается, что эффективность самозащиты резко повышается, когда есть мониторинг загрузки драйверов, всяких способов проникновения в ring0, изменения памяти процессов, секций и проч и проч + еще повышается, если используется ограниченная учетная запись и система постоянно обновляется (использование эксплоита для записи в ring0 или повышения привилегий в системе никто не отменял).

Именно по этому, касаясь именно самозащиты, в тесте на ам использовались методы только из режима пользователя (+ 2 банальных из ядра). Но и, само собой, в том тесте не использовались все-все возможные методы, а только самые простейшие и доступные.

Просто странно, что эту известную дыру не закрыли...

Как там докторовцы говорят - это не баг, это фича =)

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
P.S. А "дыра" есть...? ;)
C:\XP\system32>sc queryex spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 4  RUNNING							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0	PID                : 1160	FLAGS              :C:\XP\system32>sc pause spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 7  PAUSED							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0C:\XP\system32>c:\test.comEICAR-STANDARD-ANTIVIRUS-TEST-FILE!C:\XP\system32>
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Уже не актуально на текущей версии веба.

Ага:

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Уже не актуально на текущей версии веба.

Ну вот чисто на коленке для текущей бэты. :P

DrPoC.zip

DrPoC.zip

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Сергей Ильин
      И правильно   А главное используйте современную версию  ОС, устанавливайте все обновления  (особенно браузера) и не работайте под админом.
    • Сергей Ильин
      К сожалению, не все так просто. Можно ничего не качать и спокойно заразиться вирусом, просто зайдя в любимый сайт, или сёрфя в интернете. Ну или кликнув на ссылку в фишинговом письме. Поэтому всегда будут заражения, кражи денег, шифровальщики и тп
    • Сергей Ильин
      Так и есть. Потому что почти все антивирусные вендоры забили на анализ упакованных объектов. И их можно понять - смысла нет. Некоторые упаковщики сразу детектятся как подозрительные, неважно что там внутри. А все остальное детектится после распаковки и во время запуска у пользователя.    А вот это неверное. Видно, что автор не совсем понимает как работают те же песочницы и поведенческий анализ. Они никакой неразберихи не добавляют, а как раз позволяют обнаружить "неизвестные" сигнатурному движку угрозы по специфическому поведению.
    • Сергей Ильин
      Открыл офис и нанял сотрудников зачем? И что они должны успевать?
    • Сергей Ильин
      Все общение с форума перешло в соцсети. В Facebook, Twitter, Вконтакте все довольно активно. Если здесь интересно общаться, то это можно возобновить, но для этого нужны активные люди. Сейчас почти все слились, только потребляют инфу, но не генерируют ее.

      На самом сайте все прекрасно, аудитория растет, контента намного больше, чем было в прошлые годы
×