Как стать автором
Обновить

Комментарии 18

> %AllUsersProfile%\psexesvc.exe… легитимная утилита…
%AllUsersProfile% ссылается на ProgramData, папку, добавленную в новых версиях Windows из соображений безопасности, чтобы меньше писать в Program Files. Название папки намекает, что храниться в ней должны данные, не исполнимые файлы, что по факту не так. Что же мешает отделить мух от котлет — хранить исполнимые файлы в папке, защищённой от записи, а настройки и данные — в папке, из которой запрещено исполнение?
Что мешает? Криворукость кодописателей. Даже сам Касперский не гнушается хранить в ProgramData dll'ки. Было очень забавно когда у меня после обновления версии Kaspersky Endpoint Security он перестал разом работать во всем домене из-за того, что политикой было запрещено запускать код из ProgramData. Оказалось, что с этой версии они почему-то решили, что ProgramData это именно то самое место где надо теперь хранить исполняемый код.
Легаси. Тонна софта исполняется из ProgramData. Зачем? Ну вот привожу пример. Я использую программу в дев-версии. Она обновляется почти каждый день. Если бы EXEшник лежал в Program Files ей пришлось бы каждый день просить запуск от Администратора, чтобы поменять его. А так в Program Files лежит лаунчер, который обновился последний раз в 2017ом, а сама сегодняшняя прога в ProgramData или AppData.
Ещё пример. У человека Portable версия софта, но он хочет её иметь на машине постоянно. Куда её положить так, чтобы не привязывать к конкретному пользователю? Только в ProgramData. Ну или можно создать папку типа D:\Software, но это ничем не будет отличаться от ProgramData.
Что удобно, то небезопасно, справедливо и обратное утверждение — это понятно.
Легаси кмк не про то, папка ProgramData появилась в Windows 7, принципиальных изменений, касающихся безопасности с тех пор не припомню.
Когда-то настройки и данные программ хранились в .ini файлах рядом с исполнимыми. Потом выяснилось, что это не совсем безопасно, и Microsoft призвала хранить настройки в реестре, а данные — в профиле пользователя для исключения возможности чтения чужих данных. Появились новые папки с частично дублированным содержимым, а реестр распух от не имеющих отношения к системе, да и далеко не всегда необходимых параметров. Помогли нововведения, впрочем, неокончательно.
Проблема усугубляется разрешением на запуск программ из профиля пользователя (а где же ещё хранить любимый браузер и его временные файлы?) и тем, что собственно этот профиль часто раздут, т.к. чаще всего контент пользователя хранится на рабочем столе, что приводит к невозможности соблюдения каких-то разумных правил и к выеданию пространства на системном диске (конечно легко решаемому созданием филиала Program Files на следующем, где по идее как раз правильнее было бы хранить пользовательские данные).
Наверно всё логично, если уж одна и та же система позиционируется одновременно для всех пользователей, без ослабления правил не обойтись, кому нужно — тот настроит, а работать должно у всех.
Sentinel Labs проанализировала вредоносное ПО, задействованное в серии атак, а также методы злоумышленников. Компания утверждает, что за ними стоят не западные спецслужбы, а китайская группировка с кодовым названием ThunderCats («Грозовые кошки»), входящая в более крупную азиатскую группу TA428.

Американский стартап говорит, что Россию атаковали не американцы, а Китай? Верим, верим…
image

Верим, китайцы же не будут хакать младшего партнёра, никогда такого не было

Когда будут доказательство, тогда можно и обвинять Китая. А без доказательств, любое заявление геополитического противника который поставил нас в ТОП-3 угроз, это ложь.
Но у вас похоже всё наоборот, вы реально верите американской компании, которая говорит "это не американцы, это китайцы! Наш президент обещал русских хакнуть, но это не мы, это китайцы! Бургером клянусь!" ?

Ранее китайские хакеры могли атаковать Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России. Злоумышленники отправили гендиректору предприятия изображения подводной лодки с вредоносным кодом. Об инциденте рассказывала американская компания Cyberreason.

Остановите этот генератор анекдотов. Американцы обижены, что они у гендира не первые?

Через 10000 лет китайцы признаются?

«изображения… с вредоносным кодом» ???

Вполне... Ошибки обработки специально подготовленных изображений в библиотеке, приводящие к переполнению буфера и выполнению злонамеренного кода... Классика.

https://xakep.ru/2002/12/16/17139/

2021 на дворе, DEP уже стандарт де-факто для основных ОСей.

В десктопных релизах винды он по дефолту включен только для «основных программ и служб Windows». Далеко не факт, что тот же просмотрщик картинок входит в этот перечень.
Так просмотрщик наверняка через GDI грузит, тут велосипед можно не изобретать, а он точно под DEP'ом.
Ну и DEP появился в 2004, что делает статью в хакере устаревшей.
В современных эксплоитах DEP обходят с помощью ROP.
Между РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга.
Это как? Хакеры стран подконтрольны государству?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.