Комментарии 127
Учите-учите… :-)
На самом деле у каждого пользователя на машине уже установлено приличное количество различных «хорошо финансируемых руткитов» в лице различного софта и один МэйнРуткит в лице ОС :-)
Не у всех… Порядка 1% могут контролировать, что делает система…
Правда-правда? Смею вас заверить, что вы жестоко ошибаетесь. Погуглите по ключевым словам «сокрытие процесса Linux|Mac руткит», поудивляйтесь. Под этот 1% тоже существует немало техник, другое дело, что пока это мало кому нужно, их то всего 1%, нет массы.
О вы заблуждаетесь, это очень даже нужно, для совершенно особых задач…
Вы только представьте себе что могу устроить сервера-зомби!
Но тут многое зависит от квалификации админа, который сервер настраивал, тк там есть и эффективные способы противостояния, а вот если какой-нибудь умник просто, тупо поставит бубунту-сервер, то это потенциальный зомби из коробки на широком интернет канале :-)
Вы только представьте себе что могу устроить сервера-зомби!
Но тут многое зависит от квалификации админа, который сервер настраивал, тк там есть и эффективные способы противостояния, а вот если какой-нибудь умник просто, тупо поставит бубунту-сервер, то это потенциальный зомби из коробки на широком интернет канале :-)
Рут-киты под Linux — очень неплохо распространены.
FYI: Сам термин rootkit пришёл из мира юниксов ;)
microsoft virus
бедные виндовз-пользователи, сколько же подстеригает Вас опасностей :-)
страшная статья. Чем больше такое читаю, тем больше понимаю, что никакой защиты нет. А для понимания даже того факта, что ты заражён, уже необходимы знания уровня системного программиста.
Какие вы посоветует эффективные средства проверки/лечения столь сложных зловредов? Помогают ли ЛивСД и если да, то какие?
Какие вы посоветует эффективные средства проверки/лечения столь сложных зловредов? Помогают ли ЛивСД и если да, то какие?
Для проверки/лечения можно пользоваться стандартной утилитой «переустановка Windows раз в месяц», что и делают многие.
извините, но не подходит. У меня Виндоус годами живёт. Слишком большие затраты времени.
Системный скрытый раздел востановления. За полчаса новая винда. Предварительно документы и данные сохраняем на др место.
Можно обойтись без предварительного сохранения документов и данных. Их можно поместить на другие разделы (по одному на пользователя), смонтировать их в папки документов (назначив путь к \Users\%name%\Documents точкой монтирования вместо буквы дисков), после чего восстановление системы из раздела восстановления становится безопасной в смысле данных пользователей задачей. Проделывал такое неоднократно.
Главная проблема в том что вирус может залезть как раз в эти данные и документы, или хорошенько спрятаться в том разделе, и после отката сразу же опять заразить систему. А так как в разделе восстановления антивирь скорей всего не обновляется, его задавят пока он ничего не знает, а дальше он будет верить что все хорошо. Разве что монтировать раздел данными только после того как все восстановлено, обновления накатаны и сразу же проверять на всяк случай. И так знакомый принцип установки, выдернуть сетевой шнур, поставить винду, накатить сервис паки, и только потом воткнуть сетевой шнур, а то от перестановки толку мало :)
Linux наше все. Хотя что то спрятать в линуксе это имхо еще проще чем под виндой, сырцы то доступны, качаем сырцы какой нибудь важной либы, накладываем патч, пересобираем, заменяем, и все, мы теперь есть, но не одна скотина нас не видит.
Просто в линуксе софт то не всегда собирается без бубна, так что ждем бубновирус :) (а вот распространенные дистры аля Ubuntu и Fedora это неплохая цель для вируса. Ведь их много, и точно известно что, где и как )
Linux наше все. Хотя что то спрятать в линуксе это имхо еще проще чем под виндой, сырцы то доступны, качаем сырцы какой нибудь важной либы, накладываем патч, пересобираем, заменяем, и все, мы теперь есть, но не одна скотина нас не видит.
Просто в линуксе софт то не всегда собирается без бубна, так что ждем бубновирус :) (а вот распространенные дистры аля Ubuntu и Fedora это неплохая цель для вируса. Ведь их много, и точно известно что, где и как )
НЛО прилетело и опубликовало эту надпись здесь
Я это осознал 2 года назад когда с другом just 4 fun сели и за 3 дня, с затратами в 2$, сделали пинч который сливал все пароли, отсылал и самоуничтожался с компьютера. Затраты в 2$ понадобилсь что бы закриптовать вирус и должен сказать что после криптовки он 2 дня не палился ни одним популярным антивирусом. После этого я потерял веру в антивирусы. Для того что бы активировать вирус, достаточно было зайти на сайт где в код страницы внедрён вредоносный код который на фоне скачивает вирус. На этом этапе многое зависило от браузера. Если у Вас были эксплойты для браузеров, то всё работало. Если нет, то приходилось покупать приватные которые стоили 25-100$. Но даже со сплойтами в открытом доступе нам удавалось через браузер Опера (Последней версии на тот момент) заразить компьютер.
Вот такое короткое пособие для вирусописателей)
Вот такое короткое пособие для вирусописателей)
Use Linux dear friend ;)
На самом деле всё зависит от популярности системы. Спасёт только самописная операционка на самодельном компе (с точностью до безопасности хардварных компонентов)
я так и делаю на работе. Но дома пока Винда, не осилил побороть звук в Федоре.
Если пользователь следит за обновлением софта, антивируса, программ, не отключает фаер и UAC, не устанавливает скачанный по ссылке с порно-сайта супер-пупер антивирус/ускоритель интернета, то вероятность заражения компьютера довольно мала.
Человеческий фактор сейчас выходит на первый план в вопросах информацинной безопасности, на мой взгляд.
Будь Linux мэйнстримом — найдутся люди, жаждущие работать под рутом и игнорирующие элементарные правила безопасности.
Человеческий фактор сейчас выходит на первый план в вопросах информацинной безопасности, на мой взгляд.
Будь Linux мэйнстримом — найдутся люди, жаждущие работать под рутом и игнорирующие элементарные правила безопасности.
И много Вы знаете таких пользователей, которые регулярно занимаются обновлением своего софта?
Я склонен считать что даже с последним софтом и работающим антивирусом, вероятность заражения компьютера больше, чем если бы люди работали в линуксе под рутом… тут скорее больше риска поломать систему самому нежели заразить её чем то…
Я склонен считать что даже с последним софтом и работающим антивирусом, вероятность заражения компьютера больше, чем если бы люди работали в линуксе под рутом… тут скорее больше риска поломать систему самому нежели заразить её чем то…
Ну ботнеты из зараженных машин под Линуксом — это уже не нонсенс. Один из моих знакомых попался — пароль (на ssh вроде) был типа 1111111.
Не скрою, Линукс сейчас, на мой взгляд, в целом более безопасная система, за счет низкой привлекательности для взлома, высокого среднего уровня компьютерной грамотности пользователей, и достаточно защищенной архитектуры.
Рост популярности Линукса неизбежно приведет к повышению привлекательности для взлома/заражения, снижению среднего уровня пользователя, что в итоге приведет к тому, что не самые продвинутые пользователи, скажем, Убунту будут скачивать и ставить deb-пакет «супер-ускорителя Интернета», а потом «лечиться от вирусов».
Windows в последнее время уже не такая «дырявая» система, как раньше. Тот же Конфикер развернулся на дырке, которая была закрыта за несколько месяцев до массовой эпидемии.
А грамотных пользователей, на самом деле, немало.
Не скрою, Линукс сейчас, на мой взгляд, в целом более безопасная система, за счет низкой привлекательности для взлома, высокого среднего уровня компьютерной грамотности пользователей, и достаточно защищенной архитектуры.
Рост популярности Линукса неизбежно приведет к повышению привлекательности для взлома/заражения, снижению среднего уровня пользователя, что в итоге приведет к тому, что не самые продвинутые пользователи, скажем, Убунту будут скачивать и ставить deb-пакет «супер-ускорителя Интернета», а потом «лечиться от вирусов».
Windows в последнее время уже не такая «дырявая» система, как раньше. Тот же Конфикер развернулся на дырке, которая была закрыта за несколько месяцев до массовой эпидемии.
А грамотных пользователей, на самом деле, немало.
Ну по поводу грамотности пользователей, я пожалуй с Вами поспорю, вспомнить хотя бы недавнее видео — www.youtube.com/watch?v=iL2NdM0Y_NM
Всё таки грамотных пользователей гораздо меньше…
Ну а по поводу вашего друга, сказать кроме того как сам виноват мне больше нечего. Если машина доступна для внешнего мира, то должны стоять элементарные меры безопасности, хотя бы Firewall. Моя машина например недоступна для внешнего мира потому сам не пользуюсь подобными программи. Хотя вот сервер отлавливает по десятку попыток брута пароля ежедневно…
Я ни в коем случаю не отрицаю что с ростом популярности Linux, появятся «супер-ускорители Интернета» которые будут заражать машины. Однако мне кажется что Linux всегда будет системой для более компьютеро-грамотных пользователей.
Всё таки грамотных пользователей гораздо меньше…
Ну а по поводу вашего друга, сказать кроме того как сам виноват мне больше нечего. Если машина доступна для внешнего мира, то должны стоять элементарные меры безопасности, хотя бы Firewall. Моя машина например недоступна для внешнего мира потому сам не пользуюсь подобными программи. Хотя вот сервер отлавливает по десятку попыток брута пароля ежедневно…
Я ни в коем случаю не отрицаю что с ростом популярности Linux, появятся «супер-ускорители Интернета» которые будут заражать машины. Однако мне кажется что Linux всегда будет системой для более компьютеро-грамотных пользователей.
Очень грамотная вещь!
Поставил жене, ибо её работа сопряжена с активным сёрфингом именно в потенциально опасных местах и именно под windows… Раньше после сессии работы, тупо перезаливали раздел диска, но нужно было и рабочий инструмент время от времени обновлять, что было не очень удобно…
Комодо попробовали по приколу но он вполне справляется уже почти год как, я знаю точно, ибо компьютер под наблюдением снифера и любой подозрительный трафик не остался бы незамеченным…
Поставил жене, ибо её работа сопряжена с активным сёрфингом именно в потенциально опасных местах и именно под windows… Раньше после сессии работы, тупо перезаливали раздел диска, но нужно было и рабочий инструмент время от времени обновлять, что было не очень удобно…
Комодо попробовали по приколу но он вполне справляется уже почти год как, я знаю точно, ибо компьютер под наблюдением снифера и любой подозрительный трафик не остался бы незамеченным…
Который тоже не факт что поможет. Ибо приватные сплойты и методы шифрования никто не отменял
НЛО прилетело и опубликовало эту надпись здесь
Здесь опять подмена понятий, как и в прошлой статье. Ни одна из указанных техник не позволяет обойти ни антивирусный монитор ни встроенную систему прав.
Любая защита имеет свои ограничения. Лучшая стратегия — понимать природу угрозы и закрывать все ее фундаментальные вектора.
Для машины без особо секретных материалов на борту достаточно ограниченной учетной записи, отключения автостарта съемных носителей и регулярных обновлений 100% софта, чтобы отсеять 99% вероятности заражения. Если же пользователь более серьезный, то оправдана максимальная изоляция рабочей среды, тщательно продуманная не только на концептуальном, но и на техническом уровне.
Для машины без особо секретных материалов на борту достаточно ограниченной учетной записи, отключения автостарта съемных носителей и регулярных обновлений 100% софта, чтобы отсеять 99% вероятности заражения. Если же пользователь более серьезный, то оправдана максимальная изоляция рабочей среды, тщательно продуманная не только на концептуальном, но и на техническом уровне.
я не согласен с вами. Все знают, что в ИЕ дырки иногда закрываются долго и эксплойт успевает задеть многих. Каким образом можно на Винде обеспечить 100%-ное регулярное обновления софта не от Микрософт?
НЛО прилетело и опубликовало эту надпись здесь
спасибо, я так и делаю. Но это не даёт 100-процентной гарантии, как подсказывает мой опыт.
Например, в каждом отчёте Secunia описана уязвимость Flash и Acrobat Reader. Даже если я её пропатчил, еще несколько недель она будет упоминаться в отчёте. Несколько раз в неделю тщательно проверять все ссылки в этом отчёте — это сложно и не средних умов.
И ваш способ подходит ТОЛЬКО для более-менее грамотных людей. И при этом они смогут следить только за своими компьютерами ввиду сложности процесса.
Например, в каждом отчёте Secunia описана уязвимость Flash и Acrobat Reader. Даже если я её пропатчил, еще несколько недель она будет упоминаться в отчёте. Несколько раз в неделю тщательно проверять все ссылки в этом отчёте — это сложно и не средних умов.
И ваш способ подходит ТОЛЬКО для более-менее грамотных людей. И при этом они смогут следить только за своими компьютерами ввиду сложности процесса.
Я не помню, когда в последний раз видел вирус в своих системах. В чужих видел и вирусы, и руткиты. При этом антивируса у меня нет. Как же так? Просто я каждое утро умываюсь и обновляю Linux из репозитария.
с баша:
xxx: я уже пять лет не переставлял о.с. и на ней никогда небыло антивируса, никогда ничего не ловил, не понимаю тот народ который плачется что подцепил троян и его не спас крутой дядя каспер или новый нод, что они такого делали?
yyy: снеси уже свой линукс и кончай народу мозг парить
xxx: ну во первых не линукс а QNX…
xxx: я уже пять лет не переставлял о.с. и на ней никогда небыло антивируса, никогда ничего не ловил, не понимаю тот народ который плачется что подцепил троян и его не спас крутой дядя каспер или новый нод, что они такого делали?
yyy: снеси уже свой линукс и кончай народу мозг парить
xxx: ну во первых не линукс а QNX…
меня всегда пугали девушки, разбирающиеся в IT лучше чем я 8) Очень познавательна тема низкоуровневости руткитов… давно хотел ознакомиться. Спасибо!
Нужно делать как-то так:
Алиса, был у вас на семинаре. Приятно было пообщаться со знатоком. Да и пост довольно полезный, за что спасибо. ))
спасибо за статью, очень интересно, читал с большим удовольствием.
у меня есть вопрос к автору:
ведь чтобы произвести пункт №3 («заражение легитимного драйвера»), необходимо, как минимум, «проинжектиться» в процесс с уровнем не менее SYSTEM… и если первые два способа как-раз это и делают, то как, после их обнаружения антивирусными аналитиками, руткит получал необходимые права для модификации?
у меня есть вопрос к автору:
ведь чтобы произвести пункт №3 («заражение легитимного драйвера»), необходимо, как минимум, «проинжектиться» в процесс с уровнем не менее SYSTEM… и если первые два способа как-раз это и делают, то как, после их обнаружения антивирусными аналитиками, руткит получал необходимые права для модификации?
А не пора ли уже начинать разрабатывать потребительский антивирус и файерволл в виде платы расширения, начинающей действовать еще до загрузки оси? С аппаратной защитой собственного кода. Просто уже напрашивается такое решение.
лаборатория касперского уже запатентовала похожее решение habrahabr.ru/blogs/infosecurity/84970/
В 92 году вон что было уже www.antivirus.ru/Okno5_Sheriff.html
Тогда как-то так:
плата антивируса nvidia :) забавно
Похоже, Пентагон читает хабр www.onliner.by/news/13.05.2010/11.54/
аппаратный антивирус давно изобретён
habrahabr.ru/blogs/infosecurity/84970/
habrahabr.ru/blogs/infosecurity/84970/
TPM позволяет отклонить загрузку, если что-то менялось. То есть загрузить гарантированно неизменный winload.exe и ci.dll, а далее code integrity отлично выполняет свою работу
времена инжектов прошли
НЛО прилетело и опубликовало эту надпись здесь
так то оно так, но если взять не одну конкретно вашу систему, а миллион разных систем, то с небольшими погрешностями можно считать, что бот успешно достигает своей цели
по поводу check sum
www.mscs.dal.ca/~selinger/md5collision/
Какой приятный мир, можно дистрибутивы популярного ПО троянизировать и даже md5 Можно подогнать под нужные цифры
www.mscs.dal.ca/~selinger/md5collision/
Какой приятный мир, можно дистрибутивы популярного ПО троянизировать и даже md5 Можно подогнать под нужные цифры
с сокрытием вируса из статьи примерно понятно, а вот какие методы он выбирает для распостранения -было бы интересно узнать, ведь это тоже «узкое» место вирусов.
Единственный вектор заражения — через веб. Партнерка. Эксплойты, поддельные кодеки.
Впрочем, старые версии пытались размножаться через съемные носители (autorun.inf), но эту функцию быстро убрали — профит с нее мелкий, при том что заражение диагностировать проще.
Впрочем, старые версии пытались размножаться через съемные носители (autorun.inf), но эту функцию быстро убрали — профит с нее мелкий, при том что заражение диагностировать проще.
Хотелось бы узнать как обстоят дела с вирусами под OS X.
популярность руткитов часто прямо пропорциональна популярности ОС.
OS X достаточно популярна в Америке, другое дело, что под неё и руткит то не нужен, ибо адепты свято веря в то, что под OS X вирусов не бывает, и все работающие процессы благословлены и освящены, светом истины :-)
Нет, о прямой пропорциональности речи не идет — закон ОЧЕНЬ нелинейный. Но первый ботнет на макос в прошлом году уже зарегистрировали
Выходят периодически, но очень премитивненькие. Вот пример из последнего. Как уже сказали, все зависит от популярности ОС и от интенсивности поисков. В прошлом году была статистика (к сожалению не могу сейчас найти ссылку), так вот по ней меньше всего зловредов было под FreeBSD, потом шла MacOSX, далее разного рода unix, linux, ну и «победитель» Windows. Причем если под Windows больше всего простеньких и не сложные троянцев, то под остальные ОС это практически всегда backdoor'ы/rootkit'ы.
А что вы хотели. Я даже поверю в новость об обходе антивирусов с использованием туннельного гиперперехода местах повышенной напряженности поля в центральном процессоре.
Война эта стара, и закончится не скоро. Кто-то придумывает новый способ обхода защиты, кто-то доводит защиту до нужного уровня. Проблема в том, что «плохие» все время на шаг впереди.
Поэтому антируткитов нормальных нет, и не будет.
В Invisible War ситуация описана довольно хорошо, и не думаю, что что-то принципиально изменится.
Война эта стара, и закончится не скоро. Кто-то придумывает новый способ обхода защиты, кто-то доводит защиту до нужного уровня. Проблема в том, что «плохие» все время на шаг впереди.
Поэтому антируткитов нормальных нет, и не будет.
В Invisible War ситуация описана довольно хорошо, и не думаю, что что-то принципиально изменится.
А эти методы работают в x64 ОС?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Если вирус получил рута в Юниксах то он может сделать всё. То есть ВООБЩЕ ВСЁ. Он может втихаря загрузить модуль ядра, который его надежно сокроет. С Линуксом правда сложнее в этом плане, тут почти 100% вероятность, что модуль не подойдет к ядру. Но вирус может к примеру модифицировать загрузчик и тогда получится сумасшедшая штука под названием bootkit, которую вообще невозможно сцапать изнутри (если буткит конечно правильно написан).
Короче если вирус получил рута, то средства защиты уже бесмысленны.
Короче если вирус получил рута, то средства защиты уже бесмысленны.
и в selinux тоже?
Получить рутовый пароль на линуксе проще простого, если Вы вообще его когда нибудь вводите: i.imgur.com/WCvhn.png
Для большинства вирусов административные права не нужны
Для большинства вирусов административные права не нужны
боитесь вирусов — юзайте хардварный контроль-откат всех сделанных изменений с жёсткого
«Обожаю» стандартные (очень наглядные и контрастные) цвета Экселевских диаграмм ;)
«Ракетная наука» — устойчивая американская идиома. Думается мне, что по-русски можно было и по-другому написать!
Я так понимаю, эта беда касается только пользователей Win?
А какой конкретно вред приносит этот TDSS, почту тырит, пароли или что? Может я и не прав, но думаю, это как «кишечная палочка» в человеке — вроде «вирус», а все с ней живут.
А какой конкретно вред приносит этот TDSS, почту тырит, пароли или что? Может я и не прав, но думаю, это как «кишечная палочка» в человеке — вроде «вирус», а все с ней живут.
пароли, атм карточки, ддос, спам, grid системы. это малая часть. сейчас практически нет таких которые рушили систему намеренно. тенденция на малварь и трояны
С точки зрения пользователя, заражение TDSS обычно проявляется в виде перенаправлений поиска Google и всплывающих окон в браузере.
В целом же, что именно может делать с зомби-машиной бот-мастер, ограничено лишь фантазией последнего и конъюнктурой черного кибер-рынка.
В целом же, что именно может делать с зомби-машиной бот-мастер, ограничено лишь фантазией последнего и конъюнктурой черного кибер-рынка.
Ваши данные о том, что данный зловред обходит все проактивки, неточны. Ни одна версия TDSS никогда не могла обойти DefenseWall.
А UAC будет сигнализировать о том, что кто-то ломится на системный уровень?
Кто-то читает сообщения UAC при том, что они появляются через каждые пол часа работы?
Если бы я писал вирус, первым делом я бы попытался, анализируя действия пользователя, запросить доступ тогда, когда пользователь ожидает появления сообщения UAC. Например, увидев в папке «setup.exe», ждал бы первого щелчка мыши, и… Таким же образом можно обойти любой антивирус или фаервол — пользователи в основном невнимательны.
Я на «Вин» наоборот стараюсь настроить антивирус так, чтобы он как можно реже запрашивал действие, иначе защита теряет смысл, обычный пользователь кликает на «разрешить» быстрее, чем понимает, о чем именно его спросили.
Если бы я писал вирус, первым делом я бы попытался, анализируя действия пользователя, запросить доступ тогда, когда пользователь ожидает появления сообщения UAC. Например, увидев в папке «setup.exe», ждал бы первого щелчка мыши, и… Таким же образом можно обойти любой антивирус или фаервол — пользователи в основном невнимательны.
Я на «Вин» наоборот стараюсь настроить антивирус так, чтобы он как можно реже запрашивал действие, иначе защита теряет смысл, обычный пользователь кликает на «разрешить» быстрее, чем понимает, о чем именно его спросили.
чёрт, если вы не разработчик, что нужно делать на компе, если «они появляются через каждые пол часа работы»??
У вас работа устанавливать новый софт?
У вас работа устанавливать новый софт?
Есть софт, который требует администраторских прав при каждом запуске. Мне «повезло», у меня на рабочем столе целые две такие «чудесные» программы, и даже есть игра, требующая прав при запуске.
Кроме установки есть и другие действия требующие прав. Их довольно много, и все вместе образует постоянное мерцание монитора.
Вообще, это индивидуально, конечно, но «простые пользователи» все равно не читают что им пишет UAC.
Кроме установки есть и другие действия требующие прав. Их довольно много, и все вместе образует постоянное мерцание монитора.
Вообще, это индивидуально, конечно, но «простые пользователи» все равно не читают что им пишет UAC.
У меня была подобная ситуация для тотала и торрента. У последнего просто не было прав на запись в определенную папку без админа. Сделал через планировщик 2 задачи — удобно, запросов UAC нет (сам UAC включен на макс.).
часто это кривые программы, которые хотят писать информацию в каталог \Program Files\…
помогает установить их вне этого каталога
помогает установить их вне этого каталога
НЛО прилетело и опубликовало эту надпись здесь
Может я туплю, но я реально не понимаю, в чем сложность контролирования целостности всех драйверов? Почему разработчики какого антивируса поставили под наблюдение защиты только «Файлы atapi.sys/iastor.sys», неужели у них настолько неквалифицированные специалисты? Ведь с точки зрения антивируса контролирование целостности одного или другого драйвера не отличается.
НЛО прилетело и опубликовало эту надпись здесь
я не понимаю все равно — как связана проактивная защита, которая по сути является комбинацией каких-то эвристических методов и то, что у антивируса грубо говоря стоит хук на запись на диск и в память? ведь перехват этого хука означает, что у нас в системе будет модифицирован какой-то драйвер, а так как у нас контролируется целостность этого драйвера, то хук не может быть перехвачен, если только через уязвимость системы.
НЛО прилетело и опубликовало эту надпись здесь
Все равно не понимаю, да и вы похоже меня не поняли. Попробую изложить все по порядку:
1. Я утверждаю, что для снятия хука необходима модификация драйвера, которая на низком уровне выполняется с помощью некоторых функций, предоставляемых драйверами системы.
2. Антивирус ставит хуки на эти самые функции и анализирует, чтобы по этим адресам, по которым содержатся драйверы, которые предоставляют эти функции не было записано вообще ничего.
Таким образом, если кто-то захочет перехучить эти функции, то это будет невозможно.
В чем проблема разработчикам антивирусом реализовать такое решение? По-моему оно вполне очевидное. Или я что-то не понимаю?
1. Я утверждаю, что для снятия хука необходима модификация драйвера, которая на низком уровне выполняется с помощью некоторых функций, предоставляемых драйверами системы.
2. Антивирус ставит хуки на эти самые функции и анализирует, чтобы по этим адресам, по которым содержатся драйверы, которые предоставляют эти функции не было записано вообще ничего.
Таким образом, если кто-то захочет перехучить эти функции, то это будет невозможно.
В чем проблема разработчикам антивирусом реализовать такое решение? По-моему оно вполне очевидное. Или я что-то не понимаю?
НЛО прилетело и опубликовало эту надпись здесь
ну ок, модификация драйверов не требуется, но ведь требуется модификация чего-то в памяти? и почему антивирус не может поставить хук, который будет блокировать модификацию этого чего-то?
НЛО прилетело и опубликовало эту надпись здесь
ок, тогда как я понял:
Если антивирус контролирует целостность драйверов, то руткит может обойти проактивную защиту, которая контролирует загрузку драйверов в систему, загрузить свой драйвер и снять хуки, которые целостность.
Ну тогда почему антивирус не может просто тупо мониторить каждые 5 минут CRC драйверов? Потому что руткит, поставив хук может ему подсунуть информацию, что типа в системе все в порядке?
Если антивирус контролирует целостность драйверов, то руткит может обойти проактивную защиту, которая контролирует загрузку драйверов в систему, загрузить свой драйвер и снять хуки, которые целостность.
Ну тогда почему антивирус не может просто тупо мониторить каждые 5 минут CRC драйверов? Потому что руткит, поставив хук может ему подсунуть информацию, что типа в системе все в порядке?
> Поведенческие защиты научились замечать вызов функции AddPrintProcessor — он был заменен на вызов схожей функции AddPrintProvidor. (!)
Это как бы намекает нам на изначално неправильную концепцию антивирусов. Бороться надо по-другому: 1) не использовать уязвимые техники в разработке программ (например, не создавать переполнений буфера или там SQL инъекций) 2) На уровне ОС снижать последствия взлома программы — например, уязвимость в текстовом процессоре должна давать максимум вохзможность переставить в открытом документе местами буквы, не более.
Это как бы намекает нам на изначално неправильную концепцию антивирусов. Бороться надо по-другому: 1) не использовать уязвимые техники в разработке программ (например, не создавать переполнений буфера или там SQL инъекций) 2) На уровне ОС снижать последствия взлома программы — например, уязвимость в текстовом процессоре должна давать максимум вохзможность переставить в открытом документе местами буквы, не более.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Об обходе антивирусов на практике