Ingener

Самозащита защитного софта...

В этой теме 51 сообщений

Глупости.

Любой мало-мальский грамотный антируткит снимает все хуки с любого софта. Вы же его запускаете на равных с защищаемым софтом. Тот же антируткит "снимет" все хуки и с малварь-дефендера. В процессах SYSTEM все равны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Похоже, что непреступной самозащиты всё таки не бывает...

именно что так, при попадании в ring 0, самозащита перестает играть какую бы то ни было роль..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хы. Думаете просто так есть запросы на внедрение драйверов? Не у Доктора, у Доктора их нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Обсуждаем в этой теме самозащиту защитного софта: нужна ли она, насколько навороченной должна быть, у каких продуктов она лучше и т.д.

Она может потребоваться как (пустой) аргумент для продвижения продуктов. Практически она никакую роль не играет - если зловред заточен против определённого продукта, то тогда спасения по-любому нет. С некоторыми программами защиты даже смысла нет их убивать - пропадает сеть (пример: Comodo 2). Обход всегда лучше.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Способы килянья ав-софта можно (условно) разделить на три группы:

1). Из кернел мода

2). Из юзер мода

3). Эксплоит

Если рассмотреть более подробно:

1). Загружаем драйвер - тут или стандартным путем если нет проверок или с небольшими извращениями (другой функцией), путем замены, просто редактирование реестра и т.д и т.п...

Затем снимаем перехват/ы или еще делаем, что нам нужно...

2). Тут нельзя выстроить такой четкой картины как в предыдущем пункте - что хотим, то и делаем (различные способы завершения процессов, затирания файлов, внедрения своих либ, перевод даты, отнятие прав, атака на гуй и т.д и т.п).

3). Конкретно против конкретного антивируса - эксплуатация его уязвимости. Недавно была тема от Василия - вот самый ближайший пример этого способа.

:)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...Тогда итоги тестов на самозащиту - про то что Dr.Web 5 имеет 100% самозащиту дезинформация и не правда.

Ingener, в результатах тестирования, проведенного AM говорилось о том, что "этот антивирус отразил все 100% моделируемых атак, набрав 38 баллов.",

а не "имеет 100% самозащиту".

При проведении экспериментов по "убиению" Вы использовали учетную запись с правами администратора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ingener, использование учетной записи с правами администратора, либо отключение UAC,

изначально нарушает первоосновы безопасности, поэтому эксперименты с использованием

ограниченной учетной записи были бы более логичными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подразмыслив над этой темой пришёл к выводу, что если продукт не имеет hips - то говорить о его хорошей самозащите бессмысленно, т.к. чем он будет препятствовать загрузке зловредами драйверов для его убийство

Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM. В НОДе 3-ем (первой тройке) подобное тоже относительно отслеживалось - он карантинил драйвер AVZ и тем себя спасал.

Vadim Fedorov

Осталось объяснить это всем-всем-всем остальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хорошо скажем так - если в продукте нет модуля для контроля загрузки драйверов - то нельзя говорить о его хорошей самозащите...

Конечно. Кто сейчас работает под пользователем? Это наверное только в корпоративной среде используется и то не везде.

К тому же доктору применяем мамонтобаг "sc pause spidernt" - паузим фильтр, грузим драйвер для прибития защиты, а в трей можно значок свой повесить и всё.

Не понимаю, что мешает сделать хотя бы галактекоопасностезапрос или запрет на загрузку драйвера без подписи. Отпало бы большинство проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ошибаетесь. КАВ/КИС 6 имели неплохую самозащиту и без HIPS. Там за установкой драйвера следил PDM.

А PDM- это не HIPS? Зашибись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К тому же доктору применяем мамонтобаг "sc pause spidernt"

До сих пор?!?!??!???!???! Проверял?

А PDM- это не HIPS? Зашибись...

Будем на уровне запятых выяснять разницу? Для KIS и его пользователей это два разных компонента. Хотя в целом PDM можно считать HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
До сих пор?!?!??!???!???! Проверял?

А это "сикрет"? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А это "сикрет"? :D

Просто странно, что эту известную дыру не закрыли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто странно, что эту известную дыру не закрыли...

А что странного- спайдер x64 тоже где то далеко-далеко.... :)

P.S. А "дыра" есть...? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Повторил эксперемент в учётной записи гостя с включенной UAC - результат аналогичен.

Ну так у Вас же MD уже стоит, стартует как сервис, драйвер загружает. Чего же Вы ожидали? :)

Хорошо, скажем так - если в продукте нет модуля для контроля загрузки драйверов, то нельзя говорить о его хорошей самозащите...

Не совсем так. Самозащита прежде всего используется для препятствия нарушению работы антивируса вредоносными программами из режима пользователя. Если вредоносный код попал в режим ядра, то, как уже говорили выше, самозащита уже не может быть надежной. Более того, в некоторых антивирусах/фаерволах разрешено системным процессам влиять на процессе защитного продукта и проч. От того и получается, что эффективность самозащиты резко повышается, когда есть мониторинг загрузки драйверов, всяких способов проникновения в ring0, изменения памяти процессов, секций и проч и проч + еще повышается, если используется ограниченная учетная запись и система постоянно обновляется (использование эксплоита для записи в ring0 или повышения привилегий в системе никто не отменял).

Именно по этому, касаясь именно самозащиты, в тесте на ам использовались методы только из режима пользователя (+ 2 банальных из ядра). Но и, само собой, в том тесте не использовались все-все возможные методы, а только самые простейшие и доступные.

Просто странно, что эту известную дыру не закрыли...

Как там докторовцы говорят - это не баг, это фича =)

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. А "дыра" есть...? ;)
C:\XP\system32>sc queryex spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 4  RUNNING							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0	PID                : 1160	FLAGS              :C:\XP\system32>sc pause spiderntSERVICE_NAME: spidernt	TYPE               : 10  WIN32_OWN_PROCESS	STATE              : 7  PAUSED							(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)	WIN32_EXIT_CODE    : 0  (0x0)	SERVICE_EXIT_CODE  : 0  (0x0)	CHECKPOINT         : 0x0	WAIT_HINT          : 0x0C:\XP\system32>c:\test.comEICAR-STANDARD-ANTIVIRUS-TEST-FILE!C:\XP\system32>
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже не актуально на текущей версии веба.

Ага:

Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы :)):

http://www.anti-malware.ru/forum/index.php...amp;#entry72939

С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже не актуально на текущей версии веба.

Ну вот чисто на коленке для текущей бэты. :P

DrPoC.zip

DrPoC.zip

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...
    • AM_Bot
      На вопросы Anti-Malware.ru любезно согласился ответить Дмитрий Мананников, бизнес-консультант по безопасности. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее