<?xml version="1.0" encoding="UTF-8"?>

<rss version="2.0" xmlns:dc="http://purl.org/dc/elements/1.1/" >

  <channel>
    <title><![CDATA[Комментарии / Профиль python0x0]]></title>
    <link>https://habr.com/ru/users/python0x0/comments/</link>
    <description><![CDATA[Хабр: комментарии пользователя python0x0]]></description>
    <language>ru</language>
    <managingEditor>editor@habr.com</managingEditor>
    <generator>habr.com</generator>
    <pubDate>Mon, 06 Jul 2026 15:51:10 GMT</pubDate>
    
    
      <image>
        <link>https://habr.com/ru/</link>
        <url>https://habrastorage.org/webt/ym/el/wk/ymelwk3zy1gawz4nkejl_-ammtc.png</url>
        <title>Хабр</title>
      </image>
    

    
      

      
        
  
    <item>
      <title>16.06.2015 11:21:38 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/260269/#comment_8463541</guid>
      <link>https://habr.com/ru/companies/dsec/articles/260269/#comment_8463541</link>
      <description><![CDATA[<blockquote> Без проблем. Я не фанат. И знаю недостатки антивируса. Но предложите лучше при условии, что:<br/>
— уязвимости есть везде<br/>
— в любой момент времени есть пока еще неизвестные системе защиты вредоносные программы.<br/>
</blockquote> Если честно обсуждать как защищаться это не мое, я в защиту не верю, но все же приведу стандартные шаги отсеивающие банальные угрозы:<br/>
<ul>
<li>обновляйте ОС </li>
<li> используйте не админскую учетку</li>
<li>используйте политики безопасности</li>
<li>обновляйте браузер</li>
<li>поставьте в довесок MSE </li>
<li>можете поставить EMET </li>
</ul><br/>
Более менее адекватная защита для обычного пользователя Windows хоста без переплаты.<br/>
<blockquote> После чего любая МарьВанна, не говоря уже о вирусе будет сносить корпоративную защиту. Да. </blockquote>Безопасность это как и атака процесс.Никогда не будет так, что вы поставите продукт и обеспечите себе гарантированную защищенность.Опять же взглянув на шажки выше можно прийти к выводу, что текущих средств в системе хватает для отсеивания большинства угроз.<br/>
<blockquote> В общем интересный посыл — если в где-то есть уязвимость, это багованая архитектура и от такого продукта нужно отказаться. Интересно, хоть один продукт такой тест переживет?</blockquote>Смысл в том что это не какой либо продукт, а продукт созданный для «защиты», продающий нам избавление от всех проблем, и если такой продукт сам дыряв как решето, то действительно почему бы не отказаться?<br/>
<blockquote> Проваливающий все тесты лечения активного заражения. И единственный из мне известных антивирусов получивший в свое время отрицательные баллы по результатам тестов. </blockquote> По-крайней мере он не сеет иллюзорность защиты от 0day атак, опять же бесплатен и реализовывается не сторонним для ОС вендором.]]></description>
      <pubDate>Tue, 16 Jun 2015 11:21:38 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

  
    <item>
      <title>16.06.2015 10:33:57 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/260269/#comment_8463433</guid>
      <link>https://habr.com/ru/companies/dsec/articles/260269/#comment_8463433</link>
      <description><![CDATA[<blockquote>В свете статьи данное утверждение выглядит, как утверждение, что антивирусы, как защита бесполезны, но есть иное решение. <br/>
</blockquote>Да коммерческие антивирусы бесполезны, другое решение не использовать их.<br/>
<blockquote>Насколько я понимаю, все же тестирований, а не аналитических работ, разбирающих достоинства и недостатки систем самозащиты. Ну и хотелось бы несколько примеров подобных аналитических работ для оценки подхода и методики в целом</blockquote> Согласен речь шла о тестировании, последнее что помню были как раз тесты на антималваре, но как по мне они достаточно уродливы ввиду отсутствия каких либо оригинальных методов атак. <br/>
<blockquote>самозащита, это пассивный метод защиты, защищающий антивирус от несанкционированного воздействия. Снесение антивируса в результате снесения самозащиты — по сравнению с обходом примерно тоже самое, что снесение стены дома в сравнении с использованием отмычки. Есть куда более простые методы. </blockquote>Самозащита это проактивный метод защиты. Никто антивирус отрубать или сносить не будет, это самое глупое решение из всех возможных. <br/>
Имелся ввиду такой тезис: обойдя самозащиту мы можем обойти и все остальное, например добавить директорию в exclude конфигурацию антивирусного движка и т.д.<br/>
<blockquote> Внедрение в процесс проживет до ближайшей перезагрузки, а то и до ближайшего обновления — когда все процессы будут проверяться на руткиты<br/>
</blockquote>Внедрение в доверенный процесс это победа по умолчанию (с текущей топовой архитектурой антивирусов) и закрепление на системе здесь абсолютно не причем.<br/>
<blockquote>опять же обвинение архитектуры самозащиты без ее анализа и предложений по улучшению. Может быть ее вообще убрать? Где граница между уязвимостью в системе и архитектурой?</blockquote>Именно, самозащита это лишняя сущность и лучшее решение по ее улучшению — ликвидация из конечного продукта.<br/>
<blockquote> Действительно. Антивирус ловит ранее пропущенное вместе с приходом обновлений. Но он ловит и не менее половины в момент проникновения. Более того, в большинстве случаев антивирус — единственная мера защиты на компьютере. Позиционировать его как защиту постфактум… Да еще при наличии всяких поведенческих анализаторов… </blockquote> Согласен, мысль не правильно выражена.<br/>
<blockquote> В чем его спорность? БОльшая, чем у иных компонент?</blockquote>Спорность в том, что его всегда можно будет обойти при определенных привилегиях. Спорность в том что его присутствие расширяет attack surface, плодит кучу багов.<blockquote> И как иначе? Нужно, чтобы антивирус можно было снести походя первым неизвестным вирусом?</blockquote> Примером лучшего решения здесь является MSE, имхо.<br/>
<blockquote> Глобальное отключение/блокирование антивируса<br/>
Манипулирование белыми списками<br/>
Скрытое функционирование в супер-привилегированном процессе<br/>
Обход правил межсетевого экрана<br/>
…<br/>
Хотелось бы примеров реальных вирусов по каждому пункту.</blockquote> Нет, примеров malware я приводить не буду, но скажу, что все это используется в моей работе ( в частности при пентесте).<br/>
<blockquote> Выше было написано, что техники не демонстрируются во избежание. И действительно — в отчете их нет</blockquote> Упс, специально не приводим сорцов, но они гуглятся.<blockquote> Как связаны архитектура и уважение производителей к своим клиентам?</blockquote> Ну знаете, бизнес и ничего лишнего. Багованный конечный продукт и иллюзия защиты, решайте сами как тут это связано.<blockquote> Просьба подтвердить утверждение, что производители нормальных антивирусов не совершенствуют самозащиту самостоятельно</blockquote>Хоть и голословно написано но на практике так это и выглядит. Часты случаи когда антивирусные вендоры знают о уязвимости и не исправляют ее долгое время, но без зазрения совести продают продукт с багами.<br/>
]]></description>
      <pubDate>Tue, 16 Jun 2015 10:33:57 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

  
    <item>
      <title>15.06.2015 16:23:25 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/260269/#comment_8462079</guid>
      <link>https://habr.com/ru/companies/dsec/articles/260269/#comment_8462079</link>
      <description><![CDATA[Выбор ОС это статистика, да и используя версии выше, разницы в результатах мы не получим, к чему претензии тогда?<br/>
<a href="http://marketshare.hitslink.com/operating-system-market-share.aspx?qprid=11&amp;qpcustomb=0">stat</a><br/>
Тестировать MSE с таким подходом как в исследовании будет абсолютно не уместно и не оправдано, так как в моем понимании MSE использует адекватное допущение — если malformed код запущен и обладает привилегиями, его уже ничто не остановит. <br/>
В противовес, типичный антивирусный вендор считает, что сможет построить псевдо-защиту от привилегированных атакующих, получая в итоге багованную by дизайн архитектуру с иллюзией защиты.<br/>
<blockquote> Понимаю, что Касперский занёс вам денег, но вы думайте на каком ресурсе лапшу вешать. </blockquote>Эти ребята из касперов лучше следили за паблик концептами и вот результат, да и кстати правда, где мои деньги?]]></description>
      <pubDate>Mon, 15 Jun 2015 16:23:25 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

  
    <item>
      <title>15.06.2015 14:57:42 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/260269/#comment_8461927</guid>
      <link>https://habr.com/ru/companies/dsec/articles/260269/#comment_8461927</link>
      <description><![CDATA[В моем понимании это во всех вариантах фикция, как и вообще любой платный антивирусный продукт, все они естественно обходятся (даже без прав администратора). Но суть, всей этой забавной компиляции, в том что, мы хотели показать, как эти ленивые вендоры реагируют на уже публичные PoC, некоторые из которых например были использованы в ITW.]]></description>
      <pubDate>Mon, 15 Jun 2015 14:57:42 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

  
    <item>
      <title>16.05.2014 15:05:25 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/222993/#comment_7595457</guid>
      <link>https://habr.com/ru/companies/dsec/articles/222993/#comment_7595457</link>
      <description><![CDATA[VMCI — это опциональный интерфейс для взаимодействия между виртуальными машинами.Он несомненно добавляет вектор атаки для vm-escape, потому всегда выключен по дефолту (например в ESXi).<br/>
Вот пример теоретического побега 2008 года, <a href="http://www.vmware.com/security/advisories/VMSA-2008-0008.html">бага в VMCI</a><br/>
]]></description>
      <pubDate>Fri, 16 May 2014 15:05:25 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

  
    <item>
      <title>16.05.2014 10:37:03 </title>
      <guid isPermaLink="true">https://habr.com/ru/companies/dsec/articles/222993/#comment_7594073</guid>
      <link>https://habr.com/ru/companies/dsec/articles/222993/#comment_7594073</link>
      <description><![CDATA[Да вы абсолютно правы CVE-2014-2299 это локальный по отношению к Wireshark баг. Я не совсем раскрыл саму суть атаки, сделаю это в комментарии: во многих sandbox-системах необязательно даже генерировать трафик для создания malformed pcap, можно напрямую компрометировать log директорию (где хранятся результаты деятельности текущего запущенного вредоноса) и перезаписать своим pcap с эксплойтом. ]]></description>
      <pubDate>Fri, 16 May 2014 10:37:03 GMT</pubDate>
      <dc:creator><![CDATA[]]></dc:creator>
    </item>
  

      

      

    
  </channel>
</rss>
