Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 58
> Опытным путем было установлено, что в капче используется всего 16 символов (откуда такая жадность дядя Женя?). Это отдельные цифры (0-9) и первые 6 букв латинского алфавита (A,B,C,D,E,F)
Наверное это шестнадцатеричная система счисления, в которой используются цифры от 0 до 9 и шесть первых латинских букв – A (10), B (11), C (12), D (13), E (14), F (15).
Наверное это шестнадцатеричная система счисления, в которой используются цифры от 0 до 9 и шесть первых латинских букв – A (10), B (11), C (12), D (13), E (14), F (15).
Спасибо, расширили кругозор.
Пора им делать нормальный Uninstall, a не это непонятно-что.
Пора им делать нормальный Uninstall, a не это непонятно-что.
Троян разворачивающий утилиту на весь экран, чтобы считать 8 символов, это забавно… По мне лучше поковырять программку и исправить этот «баг» (капча, вопросы, окно). Так что практической пользы от Вашего взлома капчи на копейку. Да и явно удалять касперского из системы — еще одно палево.
Если «поковырять» программку, то убъется ЭЦП от Лаборатории, без нее вас драйвер и близко не подпустит чтобы его выгрузить.
а зачем ковырять исполняемый файл.
образ в памяти — не? один BEQ на BNE поменять и кнопку жмакнуть. или в винде нельзя залезть в память чужого процесса и проще капчку из скриншота ковырять?
образ в памяти — не? один BEQ на BNE поменять и кнопку жмакнуть. или в винде нельзя залезть в память чужого процесса и проще капчку из скриншота ковырять?
А разве в этом случае еще работающий касперский не заблокирует процесс?
Вообще достоверно не известно как к этому делу отнесется самозащита драйвера Каспера… Подозреваю, что не все так просто.
>самозащита драйвера Каспера…
эммм… эта фиговина с капчей работает в режиме драйвера?
я не знаю, как там работает ваш касперческий, но наверное процедура должна быть такая:
* приложение запускается
* его патчат в памяти
* приложение лезет убивать касперческого
* касперческий лезет проверять подпись файла
по какому признаку самозащита антивируса будет мешать лезть в адресное пространство чужой для него софтины?
эммм… эта фиговина с капчей работает в режиме драйвера?
я не знаю, как там работает ваш касперческий, но наверное процедура должна быть такая:
* приложение запускается
* его патчат в памяти
* приложение лезет убивать касперческого
* касперческий лезет проверять подпись файла
по какому признаку самозащита антивируса будет мешать лезть в адресное пространство чужой для него софтины?
По-моему процедура будет не такой.
1. Приложение запускается
2. Его начинают патчить
3. Касперский убивает патчер
Хотя это целиком зависит от параноидальности касперского.
1. Приложение запускается
2. Его начинают патчить
3. Касперский убивает патчер
Хотя это целиком зависит от параноидальности касперского.
>Касперский убивает патчер
с какой радости? разве при установленном каспере не работают всякие пиратские лоадеры для варезного софта?
с какой радости? разве при установленном каспере не работают всякие пиратские лоадеры для варезного софта?
Работают, но только после разрешения пользователя.
Работают они по следующему принципу: замерли, дождались того что им скажет каспер, если тот разрешил — работают. Если они каким-то образом умудряются заблочить мышь/клаву, а каспер в интерактивном режиме — иногда случаются казусы типа смотрю на экран ничего не могу сделать.
Ремувер заносится в «Доверенные». Вирус полезет патчить его память, вылезет алерт Касперского.
а по мне это просто прекрасно :) на пример при простое компа больше 10 минут убить антивирь
Были же трояны, которые сами нажимали на кнопку «Пропустить» в вылетающем окне Каспера.
А, так это из-за них Касперским нельзя управлять по DameWare Mini Remote Control!
Мышку банально не сдвинуть с удалённого компьютера в пределы окна KAV.
Удаленно можно управлять корпоративными версиями и домашними 64-битными. Для домашней 32-битной версии надо отключать самозащиту.
Не только, кстати, в DameWare. Та же ерунда наблюдается с LogMeIn — и если что-то заблокировалось Каспером, то пока не пнешь вживую, не полетит…
зачем разворачивать? Можно сразу в дальний угол пихать, ну мелькнет что-то на экране, но пользователи-то невнимательные обычно. Можно еще картинку поверх ремувера красивую самим же трояном рисовать — типа «Вас приветствует центр безопасности Касперсокго»
Хорошая тема. Странно, что они так лоханулись. Видно, кто-то недоглядел и получит по шапке.
Успехов.
Успехов.
Теперь вы можете написать пост про то, как «лоханулись» Симантек и Макаффи — в их ремуверах каптчи нет вообще.
Ну может быть поэтому я и пользуюсь только вашими продуктами :)
Вообще коммент MAXH0, по-моему, заминусовали зря — для трояна в удалении антивируса смысла действительно мало, т.к. это сразу же демаскирует троян. Видимо, поэтому другие вендоры парятся на эту тему ещё меньше, т.к. не было прецедентов.
Ну не скажите… А как же, например, вин-блокеры???
Не знаю. На мой взгляд, если человеку нужен компьютер прямо сейчас и он готов послать смс, то ему и антивирус не поможет. Если же пользователь готов потратить время и силы на удаление зловреда, то он возьмёт live cd или т.п. (ведь штатным образом зайти в систему нельзя). Т.е. в обоих случаях наличие (или отсутствие) антивируса в системе ситуацию не меняет.
Речь, естественно, про новые угрозы, которые ещё не детектируются. Известные-то антивирь зарубит ещё до их запуска.
Речь, естественно, про новые угрозы, которые ещё не детектируются. Известные-то антивирь зарубит ещё до их запуска.
Не согласен. Вы что, сами не верите в свои супер-пупер проактивные технологии...??? Вообще-то тот же HIPS должен помогать как раз от новых угроз. Выгрузил HIPS и дорога свободна!
Да нет же. Чтобы выгрузить хипс, зловред уже должен запуститься. Если же он детектируется хипсом или проактивкой, KIS не даст ему стартовать и поместит в карантин. Либо (в зависимости от вердикта) ограничит функционал, так что тот не сможет управлять окном ремувера.
Факт остаётся фактом — найденная «уязвимость» так же присутствует и до сих пор не исправляется у 100% ведущих антивирусных вендоров. Значит, для этого есть свои причины, и дело совсем не в том что «кто-то недоглядел».
Факт остаётся фактом — найденная «уязвимость» так же присутствует и до сих пор не исправляется у 100% ведущих антивирусных вендоров. Значит, для этого есть свои причины, и дело совсем не в том что «кто-то недоглядел».
Мол, «а посмотрите на них, у них ещё хуже»? Ну да, ещё хуже. И?
Нехорошо врать. Капча из Norton Removal Tool
>Постараюсь рассказать о ней в следующий раз, если этот топик будет кому-то интересен.
Конечно интересен.
Конечно интересен.
сам недавно был вынужден пользоваться Remover и так же промелькнули две мысли:
1) почему функционал Ремувера не встроен в uninstall и приходится проблему удаления каспера поручать отдельной утилите?
2) увидев капчу — понял что сломать её раз плюнуть и грохнуть каспера на компе — плёвое дело
1) почему функционал Ремувера не встроен в uninstall и приходится проблему удаления каспера поручать отдельной утилите?
2) увидев капчу — понял что сломать её раз плюнуть и грохнуть каспера на компе — плёвое дело
В чистом виде — user help. Только не помощь пользователЮ, а помощь пользователЯ :-)
Спасибо за ваши старания.
Спасибо за ваши старания.
Отлично, автору зачет! правильно мыслите. Точно так же регулярно нахожу подобные косяки в вебе, удивительно что такие оплошности оказались в Касперском. Удивительно как проблема обошла аналитиков. Наверное просто не было претендентов.
...4 — убрать утилиту из открытого доступа и отучить антивирь вообще что-либо добавлять в доверенные. «Кто не спрятался — я не виноват».
И прописать пункт «удаление невозможно», чтобы по судам не затаскали :-)
Или ещё круче: сделать службу по вызову: «приезжает квалифицированный чел с ремувером...» :-)
На самом деле тут два философских вопроса: дать пользователям возможность — значит это дело можно автоматизировать и написать бот. Для любой капчи. Не секрет ведь, что для распознавалки типа «индус» сложно что-то придумать в принципе.
Не дать — тоже не сахар: кому-то надо снести, а никак.
Оба способа сравнительно просто реализуются. Какой вариант выберете для себя вы?
И прописать пункт «удаление невозможно», чтобы по судам не затаскали :-)
Или ещё круче: сделать службу по вызову: «приезжает квалифицированный чел с ремувером...» :-)
На самом деле тут два философских вопроса: дать пользователям возможность — значит это дело можно автоматизировать и написать бот. Для любой капчи. Не секрет ведь, что для распознавалки типа «индус» сложно что-то придумать в принципе.
Не дать — тоже не сахар: кому-то надо снести, а никак.
Оба способа сравнительно просто реализуются. Какой вариант выберете для себя вы?
Старые версии каспера сносились еще проще и без ремувера. Зато сам каспер отлично ремувит чужие продукты. Тоже интересная тема, поскольку все более менее на виду.
Интересно, а эта утилита работает как «обнулятель» триала? :)
Присылаем «самораспаковывающийся архив со свежими фото берковой» который для своей распаковки попросит «ввести код с картинки» и можно зашивать в него ремувер с любой капчей ;)
Как представитель Лаборатории Касперского выражаю Вам громадный дизреспект за то, что сперва не сообщили нам. Обычно кулхакеры пытаются сообщить о лазейке в компанию-вендор, а затем, если уж компания забила на этот вопрос, то тогда уж сливать в открытую. К сожалению, такая «этика» не была соблюдена, хоть вы и хотите улучшить качество наших продуктов. Этим Вы подставили многих пользователей, которые теперь могут быть подвержены опасности.
Со своей же стороны мы будем решать вопрос по усилению защиты наших утилит.
Со своей же стороны мы будем решать вопрос по усилению защиты наших утилит.
О чем, что каптчу ремувера можно распознать?
Вам на форуме люди месяцами пишут про баги (настоящие) в зарелизиных продуктах…
А это вообще не баг, а слабость реализации защиты. Любой человек с глазами это видит. Кто-то из вашей команды на форуме писал мол «ну и что, и так давно было понятно, что капча плохая». Вот! Все давно видели это и ничего не сделали! И что так волноваться? Выше ваш коллега enkriptor вообще сказал что это все фигня и современным троям не надо отрубать антивирус… Вы уж придите к одному мнению.
А это вообще не баг, а слабость реализации защиты. Любой человек с глазами это видит. Кто-то из вашей команды на форуме писал мол «ну и что, и так давно было понятно, что капча плохая». Вот! Все давно видели это и ничего не сделали! И что так волноваться? Выше ваш коллега enkriptor вообще сказал что это все фигня и современным троям не надо отрубать антивирус… Вы уж придите к одному мнению.
Коллега прав в том смысле, что темы такого рода лучше отправлять в ЛК, а не в паблик. Но такая публикация не сделала бы репутации на хабре.
Спасибо за ответ.
Процесс багтрекинга и багфиксинга у нас работает не прекращаясь — и то, что продукт может выйти с определенными ошибками, каждый из нас понимает. Конечно, резонанс от сообщения на нашем офф.форуме и от сообщения здесь, существенен. Возможно, Вы просто не нашли способ нам сообщить о своей находке.
Надеюсь, в следующий раз (со следующей версией утилиты), если Вы найдете какие-то «особенности» работы утилиты, то сообщите, например, лично мне или другому представителю Лаборатории (я имею в в иду технарей).
Процесс багтрекинга и багфиксинга у нас работает не прекращаясь — и то, что продукт может выйти с определенными ошибками, каждый из нас понимает. Конечно, резонанс от сообщения на нашем офф.форуме и от сообщения здесь, существенен. Возможно, Вы просто не нашли способ нам сообщить о своей находке.
Надеюсь, в следующий раз (со следующей версией утилиты), если Вы найдете какие-то «особенности» работы утилиты, то сообщите, например, лично мне или другому представителю Лаборатории (я имею в в иду технарей).
Кстати, мы исправили «удалятор» так, чтобы Вы были довольны. Можете проверить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ защищенности утилиты удаления продуктов Лаборатории Касперского