ElCrabe 14 сен 2010 в 12:17

Уязвимость эмулятора в антивирусе Касперского

4 мин

4.5K

Информационная безопасность *

Из песочницы

+43

Комментарии 27

Screatch 14 сен 2010 в 12:23

За чуть более чем 1 час уже было опубликовано 3 топика про уявзимости.

Сегодня и вправду день уязвимостей на хабре.

alternativshik 14 сен 2010 в 12:32

Видать программисты вчера наславу погуляли ;-)

Akr0n 14 сен 2010 в 12:40

Щас придут ребята из ЛК и начнут выражать Вам дизреспекты =))

MilkyWay 14 сен 2010 в 14:46

Небось ребята из ЛК уже получили по голове и вовсю выкатывают новый патч

Petrucha 15 сен 2010 в 08:11

А вы это не заметите — обновления эмулятора выходят вместе с обычными базами.

gjf 14 сен 2010 в 12:44

Потенциально положена на лопатки эвристика. Радует, что она была так хороша, что единственной отмечала потенциально небезопасное действие из всех антивирусов, и печалит, что её так просто обошли.

Akr0n 14 сен 2010 в 13:01

Какой же IRabinovich молодец! Дать инвайт за статью, где опускается один из главных конкурентов. Браво! :)

gjf 14 сен 2010 в 13:08

Да, я тоже заметил :) Опубликовал ссылку на ВИ — она была ещё в песочнице. И сразу отхабрили :) А по инвайту сразу понял, кто, от и даже почему ;)

НЛО прилетело и опубликовало эту надпись здесь

gjf 14 сен 2010 в 19:15

При чём здесь скудность эмуляции? Тут тема была в том, что эмуляция проводилась на недостаточно низком уровне и легко перехватывалась.

НЛО прилетело и опубликовало эту надпись здесь

gjf 14 сен 2010 в 19:32

Данная статья посвящена эмулятору или обнюхивателю — как угодно. При чём здесь проактивка? :)

gjf 14 сен 2010 в 19:33

… и что-то мне подсказывает, что мы говорим о разных вещах.

ElCrabe 14 сен 2010 в 19:48

Проактивная защита — защита которая работает в рантайме и контроллирует вызовы апи программой, а эмулятор это часть проверки файла на диске, когда сам антивирус берет файл и скрытно раскручивает его на своей виртуальной машине, анализируя как апи, так и промежуточные сигнатуры.

НЛО прилетело и опубликовало эту надпись здесь

ElCrabe 14 сен 2010 в 15:25

A сейчас лк выложили патч «b» для 2011 версии, мне в нем дырки считать уже надоело =)

13i 14 сен 2010 в 18:54

Респект!
Хоть я и не системный программист, тем более не хакер, читать такие посты одно удовольствие.

ElCrabe 14 сен 2010 в 20:49

Ребятки, такой нескромный вопрос, на главной сие появится должно, как я понял, по достижения определенного количества баллов, так вот, есть где глянуть текущее? Спасибо.

НЛО прилетело и опубликовало эту надпись здесь

ElCrabe 14 сен 2010 в 21:41

Эмм, а разве этот блог не тематический? =) Вроде же в него и перенёс.

Umnik_ADS 15 сен 2010 в 06:20

По-моему эмуль нужен для того, чтобы ловить поделки всяких чудаков с конструкторами, найденными в Инете, а также китайские, которые берут не красотой, а массой. Против серьезных вещей создаются другие линии обороны; эмуль — самая первая.

infreerat 17 сен 2010 в 18:20

А стек кто будет балансировать?
Это Вам не _cdecl!

ElCrabe 17 сен 2010 в 19:26

А зачем? Ведь до возврата из функции дело-то все равно не дойдет.

infreerat 17 сен 2010 в 19:54

Ну, в примере — согласен.
Но в «реале» эти хаки — зло, источники трудно-уловимых ошибок.
ну и RtlLockHeap не только с LocalSize-a вызывается.

ElCrabe 17 сен 2010 в 20:24

В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)

infreerat 17 сен 2010 в 21:01

>>>В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)
В «реале-product code» такое использовать нельзя.
А такие проблемы надо решать «долгими feedback-ами/wishlist-aми» с производителями.

P.S.: если интересно- попробуйте также выполнение кода с:
1) TLS или DllMain(для .dll);
2) задействовать SEH;
3) выполнение со стека или кучи.
Помню года 4 назад антивирусы TLS даже не знали.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий