Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 56
Эх, виндузятники…
И что виндузятники? Да, статья касается Windows-платформ. Где-то вкралась ошибка или неточность?
Ошибка вкралась в саму концепцию «антивируса» (порождение доса и виндов).
Ломают то, что приносит выгоду. Когда никсовые и маковые платформы приобретут популярность среди домашних пользователей хотя бы в половину виндозных — появятся вирусы и на них. Сломать можно всё — было бы время и окупалось бы это время :)
Ломают то, что можно сломать. Почему-то в линуксах не принято запускать ActiveX компоненты прямо из интернетов, почему-то там не принято встраивать архидырявый Adobe'вский акробатридер в браузер. И главное, там не принято разрешать пользователю запускать процессы от имени рута без ввода пароля. Казалось бы мелочь, а какой эффект…
Руткиты есть и под линукс. Но они — именно руткиты, а не файлики в авторане размножающиеся через FTP'шные пароли (доступ к которым, кстати, в гноме без разрешения пользователя не получить, ибо keyring, как бы...)
Разница примерно такая, как между шатким штакетником и нормальным забором в 3 человеческих роста с колючей проволокой, напряжением и охраной. Разумеется, их оба можно перелесть. Но через штакетник школота за яблоками лазает, а через колючую проволоку не на вершине забора не всякий десантник пролезет.
Руткиты есть и под линукс. Но они — именно руткиты, а не файлики в авторане размножающиеся через FTP'шные пароли (доступ к которым, кстати, в гноме без разрешения пользователя не получить, ибо keyring, как бы...)
Разница примерно такая, как между шатким штакетником и нормальным забором в 3 человеческих роста с колючей проволокой, напряжением и охраной. Разумеется, их оба можно перелесть. Но через штакетник школота за яблоками лазает, а через колючую проволоку не на вершине забора не всякий десантник пролезет.
habrahabr.ru/blogs/linux/88737/#comment_2663640
линукс местами — тот же штакетник
просто невыгодно писать под него вирусы
линукс местами — тот же штакетник
просто невыгодно писать под него вирусы
Наверное именно поэтому публикуются новости о взломах и дефейсах никсовых серверов :)
Да не возбуждайтесь вы так сильно. Статья немного за уши притянута.
Чорт, не дописал.
«пользователь может заметить странную новую задачу в планировщике» — для меня не правда. Первый же пункт:
at 11:05 c:\killer.bat
Отказано в доступе.
В статье не сказано на какой версии Windows проводились опыты, с какими правами.
Не всегда стоит доверять выводам авторов статей и не надо обзываться :0)
«пользователь может заметить странную новую задачу в планировщике» — для меня не правда. Первый же пункт:
at 11:05 c:\killer.bat
Отказано в доступе.
В статье не сказано на какой версии Windows проводились опыты, с какими правами.
Не всегда стоит доверять выводам авторов статей и не надо обзываться :0)
Ну так автор же сказал что большинство машин пока ещё на XP и из личного опыта — добрые 90% из них работают из под админа. Пусть по самым скромным подсчётам 20% машин подвержены этой угрозе (XP+Kaspersky+админ права) по мне так прилично получается.
Почему ты видишь XP в тексте, а я не вижу?
Система Windows XP SP3 Pro Rus, лицензионная на виртуальной машине, на момент публикации статьи — все обновления установлены. KIS 2010, триал, все обновления установлены.
Работа проводилась с администраторскими полномочиями.
Какие ещё детали необходимо сообщить?
Работа проводилась с администраторскими полномочиями.
Какие ещё детали необходимо сообщить?
Умник да?! Вообще при неглубоких знаниях ОС семейства виндоус несложно догадаться, что права Local System таким способом получают в Windows XP, посему и сделал я вывод что речь о ней.
Вы всё ещё работаете с правами администратора!?
… — тогда мы идём к Вам :)
Реально приходится признать, что практически все домашние пользователи не заботятся созданием ограниченных учёток.
Реально приходится признать, что практически все домашние пользователи не заботятся созданием ограниченных учёток.
В Windows XP работать из под ограниченной учетной записи простому пользователю просто невозможно. Нужно быть очень даже продвинутым пользователем :)
У меня жена работает под Юзером. Она знает про ПКМ — Запустить от имени Администратора. Так что дело не в сложности, а в лени. Был бы юзер по дефолту (как в Vista и выше), все было бы иначе.
Неправда, проверено, что за 5 минут почти любой юзер обучается кнопочке «запустить от админа».
Я сам работаю не из под админа в XP. И я говорю по своему опыту.
Это кнопочка — единственный и очень ограниченный механизм, позволяющий хоть как-то работать не из под админа за компом, все ресурсы которого ты хочешь использовать, т.е. я говорю о ситуации, когда работа НЕ из под админа только для поддержания нужного уровня безопастности, а не специального ограничения со стороны админа рабочей сети.
Так вот, начнем с того что попросите простого юзера посмотреть на календарь, даже не изменить время :) Далее, пусть попробует запустить Панель инструментов с правами админа. Далее, видел не мало игр которые просто не запускаются (выдают непонятную ошибку) из под ограниченной учетки. А сколько программ выдают сообщение что их нужно запускать с правами админа и при этом не предлагают ввести имя и пароль, а это просто бесит. Еще бесит что некоторые проги не могут устанавливаться «для всех», и после их установки почему то нет ярлыков в «Пуск -> Программы» — нужно идти и копировать эти ярлыки из папки админа. Еще бесит что при установки «Для всех», ярлык с рабочего стола не админу не удалить :). Таких нюансов много. А все потому что в самой ОС нет простого механизма который бы спрашивал пароль для повышения привелегий самостоятельно. Или потому что не предусмотрели эту возможность при разработке многочисленных программ. Это все про «Простого пользователя». Если нет рядом консультанта, то долго он сможет так проработать?
Это кнопочка — единственный и очень ограниченный механизм, позволяющий хоть как-то работать не из под админа за компом, все ресурсы которого ты хочешь использовать, т.е. я говорю о ситуации, когда работа НЕ из под админа только для поддержания нужного уровня безопастности, а не специального ограничения со стороны админа рабочей сети.
Так вот, начнем с того что попросите простого юзера посмотреть на календарь, даже не изменить время :) Далее, пусть попробует запустить Панель инструментов с правами админа. Далее, видел не мало игр которые просто не запускаются (выдают непонятную ошибку) из под ограниченной учетки. А сколько программ выдают сообщение что их нужно запускать с правами админа и при этом не предлагают ввести имя и пароль, а это просто бесит. Еще бесит что некоторые проги не могут устанавливаться «для всех», и после их установки почему то нет ярлыков в «Пуск -> Программы» — нужно идти и копировать эти ярлыки из папки админа. Еще бесит что при установки «Для всех», ярлык с рабочего стола не админу не удалить :). Таких нюансов много. А все потому что в самой ОС нет простого механизма который бы спрашивал пароль для повышения привелегий самостоятельно. Или потому что не предусмотрели эту возможность при разработке многочисленных программ. Это все про «Простого пользователя». Если нет рядом консультанта, то долго он сможет так проработать?
Я в большей части с тобой согласен. Но это проблемы ведь не ОС, а ПО, его криворуких разработчиков.
Существуют проблемы ОС и проблемы ПО. От разработчиков ОС — неудобный и неоднозначный механизм, предоставляемый разработчикам ПО, позволяющий допускать такую неоднозначность. От разработчиков ПО — невнимательное тестирование и баги, на который дали низкий приоритет, дескать ничего не стоит ярлык самому скопировать или под админом удалить. А потом релизятся сырые продукты.
Примеры и того и того привести могу с лёгкостью, знающие поймут.
В итого — имеем, что имеем.
Примеры и того и того привести могу с лёгкостью, знающие поймут.
В итого — имеем, что имеем.
Вообще да, но с другой стороны и нет, потому что многое в Windows XP было сделано для совместимости с популярной тогда Windows 98, и поскольку задача эта по большей части была решена успешно, а иной раз и даже прозрачно (например локальный администратор по дефолту), то разработчики особо и не запаривались с заточкой под новую платформу, вот поэтому сегодня мы и имеем огромное количество однопользовательских программ написанных для Windows XP, жёстко привязанных к системе.
Ну а с выходом Висты понятное дело, что произошло, и опять же всё та же банальная совместимость вместо жёстких стандартов всё портит.
Ну а с выходом Висты понятное дело, что произошло, и опять же всё та же банальная совместимость вместо жёстких стандартов всё портит.
Не проблема ОС? Не соглашусь хотя бы потому что не работает такая строчка runas /user:admin explorer
А ежели прибить текущий? Я, признаться, так не пробовал, т.к. для разового запуска достаточно контекстного меню было, а ежели что-то более серьезное, то запускал от админа либо cmd, либо Анриал Командер.
И все равно не понимаю, зачем запускать шелл из-под юзера от админа.
И все равно не понимаю, зачем запускать шелл из-под юзера от админа.
explorer это офиц. файловый менеджер. Как из под ограниченной учетки просто посмотреть файлы например админа, или как простому юзеру вдруг попасть в ту же Панель управления (ее полную админскую версию :)? все «командеры» это не часть ОС, на счет cmd, я даже не знаю смогу ли я сам с помощью cmd сходу получить доступ к любому элементу Панели управления, что говорить за «простого юзера». Минусующим напомню, что дискуссию мы ведем о том на сколько «простому юзеру» комфортно работать не из под админа в WinXP.
Думаю дальнейший спор не уместен. Вот с чего начал я:
Но как обычно бывает, контекст теряется, а писать в каждом комменте всю предисторию не разумно :)
Думаю дальнейший спор не уместен. Вот с чего начал я:
В Windows XP работать из под ограниченной учетной записи простому пользователю просто невозможно. Нужно быть очень даже продвинутым пользователем :)
Но как обычно бывает, контекст теряется, а писать в каждом комменте всю предисторию не разумно :)
> Как из под ограниченной учетки просто посмотреть файлы например админа
Зачем? :) Если юзер нарочно себя ограничил, то он и сторонний фаловый менеджер сможет запустить или просто cmd -> dir Если юзера ограничил кто-то, значит ему и не нужно смотреть в админские папки.
> или как простому юзеру вдруг попасть в ту же Панель управления (ее полную админскую версию :)?
Врать не буду, не пробовал за ненадобностью. Но могу сделать предположение — запустить от админа cmd, а там просто control.
Мне кажется, простому юзеру под ограниченной учеткой достаточно удобно (кроме времени, это да). Неудобно всяким гениям, с их стандартным решением «перебей винду». Кстати о времени, говорят можно в реестре эту проблему решить, но как-то даже не пытался погуглить. Сейчас бОльшую часть времени жена проводит уже в Убунте, а когда календарь срочно нужен, смотрит на стену возле компа.
Зачем? :) Если юзер нарочно себя ограничил, то он и сторонний фаловый менеджер сможет запустить или просто cmd -> dir Если юзера ограничил кто-то, значит ему и не нужно смотреть в админские папки.
> или как простому юзеру вдруг попасть в ту же Панель управления (ее полную админскую версию :)?
Врать не буду, не пробовал за ненадобностью. Но могу сделать предположение — запустить от админа cmd, а там просто control.
Мне кажется, простому юзеру под ограниченной учеткой достаточно удобно (кроме времени, это да). Неудобно всяким гениям, с их стандартным решением «перебей винду». Кстати о времени, говорят можно в реестре эту проблему решить, но как-то даже не пытался погуглить. Сейчас бОльшую часть времени жена проводит уже в Убунте, а когда календарь срочно нужен, смотрит на стену возле компа.
И по поводу «ежели прибить текущий» — это Вы так с микрософта шутите?
Хех, не пойму с чем не согласны то? Такая строчка работает или она и не должна работать?
Использую KAV9 (2010). Описанные вами файлы удалить не могу (Отказано в доступе). Что делаю не так?
Вы под админом это делаете? Написали батник под удаление именно Касперского, разместили в корне диска С и затем запустили — какой из предложенных способов? Какая система, ХР? Если новее — UAC отключен?
> с LiveCD или сканируя винчестер на незаражённой машине
Дык только Касперовский для этого годится, ЕМНИП. Остальные не умеют подтягивать реестр хостовой ОС. Какая радость для пользователя в удалении malware.exe, если запись в shell и пр. останется?
> На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений
То есть ты написал скрипт и запустил его? А тоже самое из exe? А тот же скрипт, но который дропает exe? В смысле exe выполняет этот же батник. И каков режим работы? Интерактив?
Спрашиваю чисто из спортивного интереса, т.к. уже снес 2010 на своих машинах и используют релиз 2011.
> erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
Ты лишил пользователя USB устройств, а не защиты в данном конкретном случае :)
И чего я не увидел описание стенда?
Дык только Касперовский для этого годится, ЕМНИП. Остальные не умеют подтягивать реестр хостовой ОС. Какая радость для пользователя в удалении malware.exe, если запись в shell и пр. останется?
> На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений
То есть ты написал скрипт и запустил его? А тоже самое из exe? А тот же скрипт, но который дропает exe? В смысле exe выполняет этот же батник. И каков режим работы? Интерактив?
Спрашиваю чисто из спортивного интереса, т.к. уже снес 2010 на своих машинах и используют релиз 2011.
> erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
Ты лишил пользователя USB устройств, а не защиты в данном конкретном случае :)
И чего я не увидел описание стенда?
1. А зачем мне дроппер? Мне хватает скриптового языка :) Я дроппну зловреда, потом запущу его скриптом, зловред скосит на начальных порах Каспера, а затем с ребута начнёт работать дальше.
2. А Вы где взяли релиз 2011? Вы из Европы или из будущего? ;)
3. Описание стенда — выше. Хотя это не принципиально, по сути любая Windows-платформа с администратором и (для Виста и выше) отключенным UAC.
4. Кажется мы с Вами знакомы! Это Вы на ВИ долго рассказывали про различную кривизну рук, когда КИС по ошибке explorer.exe загонял в недоверенные (при чём техотдел уже отлично знал об этой баге). Давайте не будем устраивать холивар и перевозбуждаться — всё-таки статья была призвана не опрочить КИС (это с успехом делают Ваши GBT), а просто призвать других энтузиастов проверить другие антивирусы. Таких проверок я пока не вижу.
Да и ещё — про эту уязвимость Ваш техотдел тоже уже знает, так что отрицать её не имеет смысла. Цирк, как на ВИ, тут уже не пройдёт.
2. А Вы где взяли релиз 2011? Вы из Европы или из будущего? ;)
3. Описание стенда — выше. Хотя это не принципиально, по сути любая Windows-платформа с администратором и (для Виста и выше) отключенным UAC.
4. Кажется мы с Вами знакомы! Это Вы на ВИ долго рассказывали про различную кривизну рук, когда КИС по ошибке explorer.exe загонял в недоверенные (при чём техотдел уже отлично знал об этой баге). Давайте не будем устраивать холивар и перевозбуждаться — всё-таки статья была призвана не опрочить КИС (это с успехом делают Ваши GBT), а просто призвать других энтузиастов проверить другие антивирусы. Таких проверок я пока не вижу.
Да и ещё — про эту уязвимость Ваш техотдел тоже уже знает, так что отрицать её не имеет смысла. Цирк, как на ВИ, тут уже не пройдёт.
> 1. А зачем мне дроппер? Мне хватает скриптового языка :) Я дроппну зловреда,
Ты ответил на свой вопрос? :)
> 2. А Вы где взяли релиз 2011? Вы из Европы или из будущего? ;)
Считай, я взял его из техподдержки :D
> 3. Описание стенда — выше. Хотя это не принципиально, по сути любая Windows-платформа с
> администратором и (для Виста и выше) отключенным UAC.
Дык вот ты не прав. x86 или x64 также имеют немалое значение. И вообще, выключенный UAC это уже не любая.
> 4. Кажется мы с Вами знакомы!
Мне мало лет. Меня на «ты».
> Это Вы на ВИ долго рассказывали про различную кривизну рук, когда КИС по ошибке explorer.exe загонял в недоверенные
juick.com/Umnik/772232
> Цирк, как на ВИ, тут уже не пройдёт.
Ну а что ж ты тогда его разводишь? :) То не видишь на VI слов про цифровую подпись, то тут даже стенд не указал. :) Или если попытаться выставить меня дурачком, то на этом можно в глазах других подняться и оправдать свои ошибки?
Или ты тут видишь «ты написал бред или лечись» от меня?
Ты ответил на свой вопрос? :)
> 2. А Вы где взяли релиз 2011? Вы из Европы или из будущего? ;)
Считай, я взял его из техподдержки :D
> 3. Описание стенда — выше. Хотя это не принципиально, по сути любая Windows-платформа с
> администратором и (для Виста и выше) отключенным UAC.
Дык вот ты не прав. x86 или x64 также имеют немалое значение. И вообще, выключенный UAC это уже не любая.
> 4. Кажется мы с Вами знакомы!
Мне мало лет. Меня на «ты».
> Это Вы на ВИ долго рассказывали про различную кривизну рук, когда КИС по ошибке explorer.exe загонял в недоверенные
juick.com/Umnik/772232
> Цирк, как на ВИ, тут уже не пройдёт.
Ну а что ж ты тогда его разводишь? :) То не видишь на VI слов про цифровую подпись, то тут даже стенд не указал. :) Или если попытаться выставить меня дурачком, то на этом можно в глазах других подняться и оправдать свои ошибки?
Или ты тут видишь «ты написал бред или лечись» от меня?
Да, кстати, забыл сказать. Еще до релиза CF2 (то есть до релиза 9.0.0.736) я записал багу на sc… И под x86 ее поправили; под x64 сие оказалось невозможным. Это еще одна причина узнать, что же за стенд такой.
х86. Я не юзаю КИС под х64 по ряду причин: отсутствие некоторых компонент, имеющихся в х32, наличие движка AVZ, исходно не заявленного под х32 и т.д. Да и реально вирусных угроз на х64 как кот наплакал — удаляются ручками при наличии мозга.
Имхо КИС под х64 — очередной маркетинговый ход «мы можем, а больше никто». Только вот как и что можем…
Имхо КИС под х64 — очередной маркетинговый ход «мы можем, а больше никто». Только вот как и что можем…
Вроде хелпер на VI, а такие вещи говоришь. Под x64 пока не распространен вполне конкретный класс угроз. Трояны же, которые составляют бОльшую часть вредоносов, без проблем работают на x86 и x64. Когда он спионерит пароли, поздно будет ручками ковырять.
А кто сказал, что я хелпер на ВИ? Тут где-то это указано? :)
Существует ряд угроз, которые действительно работают и на х64. И которые я удаляю ручками :) Потому как скрытия совсем нет.
Повторяю: статься касалась платформ х32. Закроем разговор об х64, поскольку он не имеет к данному обсуждению отношения.
Существует ряд угроз, которые действительно работают и на х64. И которые я удаляю ручками :) Потому как скрытия совсем нет.
Повторяю: статься касалась платформ х32. Закроем разговор об х64, поскольку он не имеет к данному обсуждению отношения.
Да, и ещё раз подчеркну: цель статьи — не спровоцировать холивар (хотя интересно, что наиболее жёстко на свою сторону принял обиду ЛК, а не Симантек или Веб). Было бы любопытно увидеть подобную работу и для других антивирусов. К сожалению, я не располагаю временем, чтобы освоить особенности других продуктов и заниматься их тестированием, но искренне надеюсь, что здесь имеются специалисты-энтузиасты, которые проведут такую работу и опубликуют интересные для всех результаты. Это было бы значительно лучше любых обсуждений «а мы круче, а вы не так всё делаете».
А я еще раз поясню от себя, что цель моих сообщений — вытянуть из тебя те данные, которые должны были быть обязательно указаны в посте. Собственно, если ты выбросишь из головы слово «холивар», до которого тут никому нет дела, то поймешь это и в будущем будешь писать правильно :)
Выше данные приведены. Если Вы не удосужились их прочесть, могу персонально для Вас повторить:
Windows XP x32 SP3 Pro Rus на виртуальной машине, все актуальные обновления установлены, доступ администратора.
KIS 2010 со всеми актальными обновлениями, установки по умолчанию.
И большая просьба — мне сложно общаться с незнакомыми людьми на «ты». Поэтому будьте добры держать дистанцию. Поучитесь этому у Виталия Денисова, Вы же коллеги как никак.
Windows XP x32 SP3 Pro Rus на виртуальной машине, все актуальные обновления установлены, доступ администратора.
KIS 2010 со всеми актальными обновлениями, установки по умолчанию.
И большая просьба — мне сложно общаться с незнакомыми людьми на «ты». Поэтому будьте добры держать дистанцию. Поучитесь этому у Виталия Денисова, Вы же коллеги как никак.
Ох Боже мой. Данные о стенде у Вас вытянули. При чем до сих пор не все. То ли мой коммент удален, то ли что-то глюкануло, но мой вопрос не появился. Итак, до сих пор не указаны:
1. Виртуальная машина
2. Версия KIS
3. Режим работы KIS
Зато заминусовать успел кто-то :)
А учить меня не нужно в этом случае, достаточно попросить.
1. Виртуальная машина
2. Версия KIS
3. Режим работы KIS
Зато заминусовать успел кто-то :)
А учить меня не нужно в этом случае, достаточно попросить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Самозащита антивирусов или режем антивирус без ножа