Comments 20
А как на счёт других аверов (kis, sep, mcafee)?
Боюсь такие АВ как касперкий, дрвеб, симантек и макафи потребуют чуть больше затрат для эвейда =)
с Defender проще в том плане, что мы можем сделать декомпрес его БД и посмотреть сигнатуры.
с Defender проще в том плане, что мы можем сделать декомпрес его БД и посмотреть сигнатуры.
сделать декомпрес его БД .
Это как?
Если вас смутило слово декомпрес, то может распаковка будет более удачным.
Если интересен сам процесс, то файлы дефендера лежат в disk:\ProgramData\Microsoft\Windows Defender\Definition Updates\{.*}. Глянуть можно файлы mpasbase.vdm и mpavbase.vdm. В файле mpasdlta.vdm можно увидеть что изменилось с прошлого обновления. Для этого вам скорей всего понадобится скрипт ExpandDefenderSig.ps1
Если интересен сам процесс, то файлы дефендера лежат в disk:\ProgramData\Microsoft\Windows Defender\Definition Updates\{.*}. Глянуть можно файлы mpasbase.vdm и mpavbase.vdm. В файле mpasdlta.vdm можно увидеть что изменилось с прошлого обновления. Для этого вам скорей всего понадобится скрипт ExpandDefenderSig.ps1
Вызов по ординалу вроде не будет кросс-платформенным, т.к. версия библиотеки может меняться даже в пределах 1 версии той же десятки. Но, это так, мелочь. Я понимаю, что статья просто пример.
Вопрос в другом — на последней десятке оно не работает, а возвращает хеш. Что с ним можно делать, кроме как брутить? Есть какая-то практическая польза с этой инфы?
Вопрос в другом — на последней десятке оно не работает, а возвращает хеш. Что с ним можно делать, кроме как брутить? Есть какая-то практическая польза с этой инфы?
… идет 2019 год, антивирусы все так же ищут вирусы по ключевым фразам в файлах
Люди! Вот это вот и есть «современные продвинутые алгоритмы» защиты от вирусов??? Я вот помню в 90х, например, песочницы были, проверка поведения вирусов в эмуляторах и т.п. Что, больше это всё не нужно?
Люди! Вот это вот и есть «современные продвинутые алгоритмы» защиты от вирусов??? Я вот помню в 90х, например, песочницы были, проверка поведения вирусов в эмуляторах и т.п. Что, больше это всё не нужно?
Из статьи, как минимум, понятно, что антивирус смотрит на вызов определенных API функций. Чем Вам не проверка поведения?
Начнем с того, что про возможность вызова функции по ее номеру в dll известно со времен win 95 как минимум (может было и раньше, но в то время меня использование .dll в моих программах еще не волновало). Как в 2019 году можно не проверять это — я не представляю. И у меня, как у программиста, сразу начинают возникать вопросы — а что еще базовое они так же не проверяют?
Во-вторых, если эти функции позволяют попасть туда, куда можно попадать только при наличии соответствующих прав, то где, собственно, система защиты самой ОС?
Ну и в-третьих, меня всё еще волнует вопрос, почему антивирусы полностью игнорируют поведенческие факторы программ? Ну как бы эпидемия блокировщиков, эпидемия шифровальщиков — ну должны они были показать, что надо учитывать какая программа и куда лезет? Ну если программа хочет всего и странного — ну надо бы хотя бы у пользователя спросить, не?
Третье тысячелетие на дворе, ау! Антивирусы всё еще соревнуются, кто быстрее достанет хеши из базы и сравнит с файлом…
Во-вторых, если эти функции позволяют попасть туда, куда можно попадать только при наличии соответствующих прав, то где, собственно, система защиты самой ОС?
Ну и в-третьих, меня всё еще волнует вопрос, почему антивирусы полностью игнорируют поведенческие факторы программ? Ну как бы эпидемия блокировщиков, эпидемия шифровальщиков — ну должны они были показать, что надо учитывать какая программа и куда лезет? Ну если программа хочет всего и странного — ну надо бы хотя бы у пользователя спросить, не?
Третье тысячелетие на дворе, ау! Антивирусы всё еще соревнуются, кто быстрее достанет хеши из базы и сравнит с файлом…
Что-то мне подсказывает, что вы очень не обрадуетесь производительности компа с таким правильным антивирусом.
Третье тысячелетие на дворе, ау! Антивирусы всё еще соревнуются, кто быстрее достанет хеши из базы и сравнит с файлом…
XXI век, а кто-то до сих пор использует файловые антивирусы…
Что-то вы совсем не разбираетесь в современных антивирусах. У доктора веба например есть «превентивная защита» — она запрещает выполняться процессам, которые пытаются получить доступ к системной памяти, изменить ассоциации файлов или загрузить dll из интернета. Или записать что-то в реестр. У Касперского в endpoint security тоже такое есть.
Но если весь этот функционал включать, то больше будет ложных срабатываний, чем настоящих.
Но если весь этот функционал включать, то больше будет ложных срабатываний, чем настоящих.
Я смотрю — против эпидемии шифровальщиков это всё им очень сильно помогло, ага. Особенно касперскому.
Я хотел бы напомнить, что во времена WinXP блокировщики писали студенты на Delphi — с соответствующим уровнем кода в них. И антивирусам до сих пор пофик. Вы можете прямо сейчас написать такого же типа блокировщик и я практически уверен, что 99% антивирусов его пропустит, потому что его нет у них в базе хешей.
Аналогично и ситуация с шифровальщиками — после первых пары десятков версий любой антивирус уже должен просто сразу в стойку вставать на попытку последовательных переборов файлов в режиме Чение-ЗаписьОбратно (понятно, что речь идет даже не о десятке таких файлов, но уже после первой-второй сотни...). Т.е. банально — приостанавливать работу подозрительного процесса и уточнять у пользователя. Но нет, им пофик и в итоге шифровальщик написанный на .bat-файлах с использованием вполне легальной pgp спокойно работает.
И вот это всё и говорит о том, что антивирусы только создают иллюзию, что они от чего-то там защищают. И как замечательно показывает вот эта вот статья — при необходимости, обойти эту псевдо-защиту вообще не представляет проблем.
И да, я тут вот сейчас вспомнил еще замечательное… Значит, есть у нас самая-популярная-ОС и у нее есть механизм обновлений, который берет данные с точно известного источника, сами данные подписаны-заверены лично Microsoft'ом, скачиваются и устанавливаются при помощи доверенного процесса операционной системы, так же подписанного Microsoft'ом. Вопрос: почему антивирусы проверяют эти обновления в момент запуска и в течении всего процесса установки (притом, что внутри исталляторов опять-таки лежат файлы, подписанные лично Microsoft'ом)? Особенно замечательно наблюдать всё это — на каком-нибудь планшете с Atom'ом. Прям душа радуется…
Я хотел бы напомнить, что во времена WinXP блокировщики писали студенты на Delphi — с соответствующим уровнем кода в них. И антивирусам до сих пор пофик. Вы можете прямо сейчас написать такого же типа блокировщик и я практически уверен, что 99% антивирусов его пропустит, потому что его нет у них в базе хешей.
Аналогично и ситуация с шифровальщиками — после первых пары десятков версий любой антивирус уже должен просто сразу в стойку вставать на попытку последовательных переборов файлов в режиме Чение-ЗаписьОбратно (понятно, что речь идет даже не о десятке таких файлов, но уже после первой-второй сотни...). Т.е. банально — приостанавливать работу подозрительного процесса и уточнять у пользователя. Но нет, им пофик и в итоге шифровальщик написанный на .bat-файлах с использованием вполне легальной pgp спокойно работает.
И вот это всё и говорит о том, что антивирусы только создают иллюзию, что они от чего-то там защищают. И как замечательно показывает вот эта вот статья — при необходимости, обойти эту псевдо-защиту вообще не представляет проблем.
И да, я тут вот сейчас вспомнил еще замечательное… Значит, есть у нас самая-популярная-ОС и у нее есть механизм обновлений, который берет данные с точно известного источника, сами данные подписаны-заверены лично Microsoft'ом, скачиваются и устанавливаются при помощи доверенного процесса операционной системы, так же подписанного Microsoft'ом. Вопрос: почему антивирусы проверяют эти обновления в момент запуска и в течении всего процесса установки (притом, что внутри исталляторов опять-таки лежат файлы, подписанные лично Microsoft'ом)? Особенно замечательно наблюдать всё это — на каком-нибудь планшете с Atom'ом. Прям душа радуется…
Если бы все было так просто. На алгоритме Чение-ЗаписьОбратно мы ляжем на первом же оптимизаторе, архиваторе
Неа, не ляжем. Ни один архиватор не модифицирует архивы напрямую, обычно они все операции делают в новый файл, а потом удаляют старый. Возможно, если файл будет очень большим… Но в любом случае, это не сотни модифицируемых подряд файлов — и соответственно мое условие проверки на шифровальщик не сработает. Да даже если и сработает — процесс приостанавливается, антивирус спрашивает у клиента — «продолжаем?» и в случае разрешения вносит процесс архиватора в доверенные, которым такие действия разрешены.
Это, конечно, тоже потенциальная уязвимость — но, извините, сколько тех архиваторов в мире?? Я вот не понимаю, почему те же антивирусы спустя 30 лет существования всё еще не ведут базу гарантированно безопасных программ и проверяют их при каждом запуске? Так сложно один раз посчитать хеш-сумму для каждой версии таких программ и потом просто ее проверить? Да и большинство нормальных программ сейчас имеют цифровую подпись, которую (в общем случае) невозможно подделать, можно только заменить (на свою).
Не, я прекрасно понимаю, что пойдут еще разные нюансы… Но суть в том, что сейчас никакой защиты по факту нет вообще. А лучше плохая защита, чем никакой.
P.S.: а еще можно вспомнить как, если я правильно помню, аваст удалял .dll в папке windows. Ибо хеши сошлись, да. При том, что те самые dll были подписаны Microsoft'ом. Это вот — как? Т.е. цифровым подписям доверия нет, да? Зачем тогда они вообще применяются в мире??? А всё проще — тяп-ляп и пофик на оптимизации и логику, компьютеры клиентов мощные, справятся!
Это, конечно, тоже потенциальная уязвимость — но, извините, сколько тех архиваторов в мире?? Я вот не понимаю, почему те же антивирусы спустя 30 лет существования всё еще не ведут базу гарантированно безопасных программ и проверяют их при каждом запуске? Так сложно один раз посчитать хеш-сумму для каждой версии таких программ и потом просто ее проверить? Да и большинство нормальных программ сейчас имеют цифровую подпись, которую (в общем случае) невозможно подделать, можно только заменить (на свою).
Не, я прекрасно понимаю, что пойдут еще разные нюансы… Но суть в том, что сейчас никакой защиты по факту нет вообще. А лучше плохая защита, чем никакой.
P.S.: а еще можно вспомнить как, если я правильно помню, аваст удалял .dll в папке windows. Ибо хеши сошлись, да. При том, что те самые dll были подписаны Microsoft'ом. Это вот — как? Т.е. цифровым подписям доверия нет, да? Зачем тогда они вообще применяются в мире??? А всё проще — тяп-ляп и пофик на оптимизации и логику, компьютеры клиентов мощные, справятся!
Ведут такую базу. У Касперских с мохнатого года. Но там в чем засада. Неизвестные вирусы. Какой троян может быть обнаружен и через полгода после заражения. Поэтому не проверять можно только между обновлениями. А по приходу такового нужно проверить во избежание. Поэтому получается двойная проверка — и проверка контрольной суммы и антивирусная проверка. Ну и плюс это еще одна база данных и поиск по ней. Время конечно невелико, но тоже задержка. И плюс большие файлы. Полностью считать контрольную сумму — долго, а проверять часть — будут вирье прятать в конце. В из случае антивирусная проверка может им быстрее будет. Не все просто увы
А насчет простого метода обнаружения шифровальщиков — действительно не работает. Аналитики так говорили, а я им верю
А насчет простого метода обнаружения шифровальщиков — действительно не работает. Аналитики так говорили, а я им верю
Ну я и пишу о том, что большинство нормальных программ имеют цифровую подпись. Т.е. можно считать, что если у программы нет подписи — она не нормальная и потенциальный вирус. Далее — для каждой подписанной программы/файла иметь единую базу на все антивирусы. Т.е., грубо говоря, каждый разработчик сам, добровольно, каждый апдейт регистрирует в этой единой базе (и геморроя в этом не будет слишком много, т.к. они и так уже тратит ресурсы на то, чтобы подписать каждый файл — просто еще одно действие добавится). И всё, эти программы уже не надо проверять на наличие вирусов вообще! Достаточно убедиться в ненарушении целостности подписи.
И в случае нахождения вируса в такой программе, конкретную версию/хеш/подпись просто помечают как «плохую» и опять-таки антивирус не тратит ресурсы на проверку, а сразу считает файл плохим.
По шифровальщикам: после сотен модификаций одного и того же алгоритма их работы уже можно было бы по-умолчанию считать любой процесс активно перебирающий файлы — плохим. Просто вообще без условий, даже если это условно-хорошая программа, типа pgp. Причем мы сразу упираемся в ту же самую проверку «на хорошесть» программ по единой базе, которая для pgp пройдет. Но для такого класса программ просто надо сразу требовать подтверждения от пользователя, что он понимает что делает. На самом-то деле классов программ, массово работающих с файлами не так и много, вести их базу вполне реально, никакие космические технологии тут не требуются.
И в случае нахождения вируса в такой программе, конкретную версию/хеш/подпись просто помечают как «плохую» и опять-таки антивирус не тратит ресурсы на проверку, а сразу считает файл плохим.
По шифровальщикам: после сотен модификаций одного и того же алгоритма их работы уже можно было бы по-умолчанию считать любой процесс активно перебирающий файлы — плохим. Просто вообще без условий, даже если это условно-хорошая программа, типа pgp. Причем мы сразу упираемся в ту же самую проверку «на хорошесть» программ по единой базе, которая для pgp пройдет. Но для такого класса программ просто надо сразу требовать подтверждения от пользователя, что он понимает что делает. На самом-то деле классов программ, массово работающих с файлами не так и много, вести их базу вполне реально, никакие космические технологии тут не требуются.
Мне кажется, что в статье нет как таковой обфускации. Только замена ключевых слов.
)))) это можно сделать на много легче, раз уж речь об нубстве пошла, поиграем вы говорите что доступ к машине есть, так в чем проблема грузануть ее и все тут, я отхожу от своих стериотипов, это реально велосипед. евсли я криптану учетку а учетка не на длкалке будет хранится, ну зайдете, доспут вы не получите к файлам они тоже будут обфуксены в хеше это я не говорю когда я нубас конченый и поделил ос на части и вынес LSA хрен с ним даже его на внешную за пределы доступа, она в гранд рояль, не буду назывыать, придумаю имя не хочу полить, кстати сразу говрорю мне пофитг на граматику я пишу как хочу и мне пофиг. Есть шняга конечно, это для имбицилов пишется или для днарей не пойму, чел убдет под учеткой админа работать? У чела будет включен в лучшем случаи гость и он врятле с нее будет грузиться он обфустит в траст по сети и все тут. Ржу не могу… Нафиг вам обычные компы ломать. Все и так в шаре, кто первый потом уже нубство. Кончиные уроды и критины. Модерация коментов, это мой второй комент.
Sign up to leave a comment.
Обходим Windows Defender дешево и сердито: обфускация Mimikatz