Для этого есть DroidWall и LBE Privacy Guard.
Интернет будильнику закрыть или настроить только ntp.
При попытке будильника отправить СМС или позвонить появится подтверждение.
По поводу хуков. Если уж дело дошло до внедрения в конкретный известный процесс и требуется перехватить определённые данные, а не лишь бы что, значит у хакера есть как минимум бинарники этой программы. Дизассемблированием определить, где что шифруется — дело техники.
1) Слишком далеко от темы. Всё проще. Обычно надо украсть пару doc-файлов из папки «Мои документы». Вот Microsoft Word предназначен для секретной информации? Вроде нет, но вся инфа обычно в нём.
3) Абсолютно пофиг, куда вешать хук, если процесс того же уровня привилегий. UAC разграничивает процессы на админские и обычные. Разве что «секретные» процессы (Outlook, Word) пускать с повышением полномочий, тогда да, будет от него польза, что неповышенные процессы не смогут в них влезть. Но опять же, файлы в «Моих документах» никак не защищены
2) если имеется в виду «эксклюзивный доступ» к файлу, можно дождаться, когда юзер закроет «секретное» приложение или просто его кильнуть (послать WM_QUIT / Alt-F4, если хочется покрасивее)
1) Имеется ввиду, что «аутлук» (секретный софт) и «браузер» (источник угрозы) запущены обычно в контексте одного юзера.
2) Доступ рулится на уровне юзера. Аутлук и браузер под одним юзером — у них равные права на файл
3) ReadProcessMemory.
3) Доступ к дампу процесса на запись даст пользу, независимо от архитектуры: перед тем, как «секретный» процесс зашифрует данные, их можно скопировать, если поставить hook на функцию шифрования
Сейчас препроцессор и парсер работают в одном проходе (по множеству причин, но вот одна из них, которая показывает что это действительно так — если бы препроцессор работал отдельно, в диагностиках вы получите ссылки не ваш исходный код, а на отпрепроцессеный).
Высосанная из пальца причина. Препроцессор, при смене файла вставляет в output директиву #line 20 "program.cpp"
И следующий парсер, который обрабатывает отпроцешенный файл, устанавливает у себя внутренние переменные «текущий файл» и «текущая строка» на указанные.
Защита андроида построена не на виртуальной машине (все «тяжёлые» игрушки написаны в native на c++), а на том, что у каждого приложения свой linux-юзер.
Задумка хорошая, но на практике андроид плохо защищён.
Почти для каждого ядра существует эксплойт, через который юзеры получают root (достаточно зайти на 4pda и увидеть, что root можно получить чуть ли не у любого девайса). Причём эксплойтов не зоопарк: «psneuter» ломает все 2.2, а «fre3vo» — все 2.3. Чуть получше ситуация с 4, где вендор сам начал предлагать разлочку, это резко поубавило рвение сообщества к поиску эксплойтов. Инструкции рутования начинаются с «идите на сайт вендора и делайте разлочку», а не скачайте этот эксплойт.
С точки зрения здравого смысла — да. Но юристы живут в своей вселенной, где есть упущенная выгода, а за мнение могут наказать, если назовут его клеветой.
Если человек не видит галочку «я согласен» и она нажата, значит он не давал согласие. Вот таким софтом могли бы и заняться антивирусы.
А, вы предлагаете не конкретно гарда детектить, а софт, где криво работает галочка «установить» (или она недостаточна заметна). Это скорее всего будет муторно аверам — разбирать мильон разных дистрибов и следить за их обновлениями. Владельцы «партнёрок» будут быстрее пересобирать свои дистрибы, чем штат антивируса сможет реагировать (ну не детектить же стандартный движок инсталлера, типа NullSoft NSIS, целиком)
Во вторых, если создать вредоносное ПО (например, троян-кейлоггер), и в дистьюбьютиве разместить TOS в котором мелким шрифтом будет написано что это троян и кейлогер, то антивирусным компаниям будет грозить преследование за блокирование такого ПО?
Да, эта ситуация меня удивляла в начале 2000-х (времена Backorifice и NetBus). Если security-контора выпускает продукт скрытой слежки, позиционируя его как присмотр за детьми или за офисными работниками, а антивирус детектит, то антивирусу грозил иск за то, что он разрушает бизнес другой компании (реальные прецеденты). Выходит, если троян имеет известного автора, детектить его нельзя ))
Да такое блокирование влечёт расходы и несёт всякие юридические риски, но это и называется как раз — отсутствие независимых антивирусных компаний.
Независимых от чего? От здравого смысла, чтобы поступать по принципам абстрактной справедливости, а не так, как выгоднее финансово.
Закончится противостоянием юристов.
У гигантов они сильные, плюс формально закон на их стороне (всякие EULA, TOS), запаришься доказывать вредоносность и умышленность. А в ответ Яндексы вкатят иск за
1. испорченную репутацию
2. убытки (т.к. бар заблокирован, он не шлёт URL всех посещённых юзером страниц — хуже работает алгоритм ранжирования — поисковый движок выдаёт хуже результат — убытки)
Антивирусы в первую очередь зарабатывают деньги, и только во вторую заботятся о безопасности юзеров. Значит, пока судебные издержки на Яндексов будут больше прибыли от радости пользователей за удаление баров, войны не будет.
Значит, идея не понята :)
Идея в том, что пишешь алгоритм как обычно.
Но если встречается Sleep(x), то на этом функция завершается, а остаток заворачивается в аргумент setTimeout(x).
Вот такой синтаксический сахарочек, прозрачно для программера.
Последнее что помню:
Adobe flash -> Chrome
Flylink dc++ -> Yandex Bar
Девелоперы хотят чуть денег на своей разработке срубить.
Хочешь — собирай сам из исходников. Или убирай галочку в инсталлере.
Интернет будильнику закрыть или настроить только ntp.
При попытке будильника отправить СМС или позвонить появится подтверждение.
3) Абсолютно пофиг, куда вешать хук, если процесс того же уровня привилегий. UAC разграничивает процессы на админские и обычные. Разве что «секретные» процессы (Outlook, Word) пускать с повышением полномочий, тогда да, будет от него польза, что неповышенные процессы не смогут в них влезть. Но опять же, файлы в «Моих документах» никак не защищены
2) Доступ рулится на уровне юзера. Аутлук и браузер под одним юзером — у них равные права на файл
3) ReadProcessMemory.
3) Доступ к дампу процесса на запись даст пользу, независимо от архитектуры: перед тем, как «секретный» процесс зашифрует данные, их можно скопировать, если поставить hook на функцию шифрования
#line 20 "program.cpp"И следующий парсер, который обрабатывает отпроцешенный файл, устанавливает у себя внутренние переменные «текущий файл» и «текущая строка» на указанные.
Вообще суперская утилитка, особенно join-ы писать (анализирует foreign keys и подставляет варианты)
Задумка хорошая, но на практике андроид плохо защищён.
Почти для каждого ядра существует эксплойт, через который юзеры получают root (достаточно зайти на 4pda и увидеть, что root можно получить чуть ли не у любого девайса). Причём эксплойтов не зоопарк: «psneuter» ломает все 2.2, а «fre3vo» — все 2.3. Чуть получше ситуация с 4, где вендор сам начал предлагать разлочку, это резко поубавило рвение сообщества к поиску эксплойтов. Инструкции рутования начинаются с «идите на сайт вендора и делайте разлочку», а не скачайте этот эксплойт.
Да, но так стало позже и в категорию not-a-virus.
Специально поискал — radmin выпущен в 1999, а детект начался в 2005
forum.kaspersky.com/index.php?showtopic=7690
А, вы предлагаете не конкретно гарда детектить, а софт, где криво работает галочка «установить» (или она недостаточна заметна). Это скорее всего будет муторно аверам — разбирать мильон разных дистрибов и следить за их обновлениями. Владельцы «партнёрок» будут быстрее пересобирать свои дистрибы, чем штат антивируса сможет реагировать (ну не детектить же стандартный движок инсталлера, типа NullSoft NSIS, целиком)
Да, эта ситуация меня удивляла в начале 2000-х (времена Backorifice и NetBus). Если security-контора выпускает продукт скрытой слежки, позиционируя его как присмотр за детьми или за офисными работниками, а антивирус детектит, то антивирусу грозил иск за то, что он разрушает бизнес другой компании (реальные прецеденты). Выходит, если троян имеет известного автора, детектить его нельзя ))
Независимых от чего? От здравого смысла, чтобы поступать по принципам абстрактной справедливости, а не так, как выгоднее финансово.
У гигантов они сильные, плюс формально закон на их стороне (всякие EULA, TOS), запаришься доказывать вредоносность и умышленность. А в ответ Яндексы вкатят иск за
1. испорченную репутацию
2. убытки (т.к. бар заблокирован, он не шлёт URL всех посещённых юзером страниц — хуже работает алгоритм ранжирования — поисковый движок выдаёт хуже результат — убытки)
Антивирусы в первую очередь зарабатывают деньги, и только во вторую заботятся о безопасности юзеров. Значит, пока судебные издержки на Яндексов будут больше прибыли от радости пользователей за удаление баров, войны не будет.
Идея в том, что пишешь алгоритм как обычно.
Но если встречается Sleep(x), то на этом функция завершается, а остаток заворачивается в аргумент setTimeout(x).
Вот такой синтаксический сахарочек, прозрачно для программера.