Umnik 1 278 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции? CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него. и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает. Да. Но я не знаю, на что именно смотрит HIPS, т.к. не работал с ним уже несколько лет. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него к сожалению, это не так. драйвер нужен для имитации установки руткитов. для имитации изменения списка системных модулей KnownDlls он вообще не нужен. на скрине запуск clt.exe вообще с удалённым драйвером. тест проходится нормально, только в двух пунктах ошибки и та же уязвимость остаётся Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Скину тестировщику ещё раз, значит. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 вот сейчас разрешил права отладчика и во втором случае дал возможность для установки руткита, но из-за отсутствия драйвера также вылетела ошибка Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить. драйверы может загружать и запускать любое приложение. работа самого драйвера не контролируется HIPS, потому что отдельного процесса у драйвера нет. драйвер может создавать отдельный поток в процессе, либо работать в системном потоке процесса System, так функционируют системные драйверы. ни о каких проверках, о которых вы говорите, я не слышал. если приложение не является доверенным и пытается загрузить драйвер, обычно на такое действие реагируют HIPS известных антивирусных продуктов. программный драйвер - это просто посредник между программой и аппаратными обеспечением устройства. без него программа просто не сможет выполнять свои функции. посредством такого микроприложения программа взаимодействует с нужным устройством. то есть действия приложения - это будут не действия драйвера, а действия процесса, в который это приложение запущено. Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 драйверы может загружать и запускать любое приложение. обычно на такое действие реагируют HIPS Это раз. https://social.technet.microsoft.com/Forums/azure/en-US/00b94d4c-a2fe-4d0b-819a-1d02ea615f94/vulnerability-in-process-explorers-driver?forum=procexplorer Это два //как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Это раз. https://social.techn...um=procexplorerЭто два я говорил не о подключении к драйверу удалённо при помощи повышения привиллегий, а о загрузке и запуске драйвера неизвестным приложением. //как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение c Windows не так скучно жить Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 246 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 @ossa, думаю можете проверить ситуацию с 2020 версией. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 (изменено) Мне ответили по этому запросу. Автор ответа извинился, что сказал про доверенный драйвер. Он прочёл вопрос по диагонали и дал шаблонный ответ После повторного письма разобрался и дал правильный ответ. В общем, ситуация такая. Библиотека clt, которая у нас висит в доверенных (как я понял из ответа), пытается прописать доверенную же advapi32.dll, которая подписана подписью MS. Таким образом доверенная библиотека прописывает доверенную библиотеку — детект не прилетает. Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи. Изменено 22 октября, 2018 пользователем Umnik Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 23 октября, 2018 Автор Share Опубликовано 23 октября, 2018 @Umnik, опять неувязка налицо. библиотека advapi32.dll вообще на семёрке без подписи, а библиотека проги clt вообще в KSN неизвестная Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 Я ХЗ что там пишет Виндовс в табах свойств. Когда занимался тестированием под Windows, то никогда не проверял, что он там пишет. Есть специальные утилиты: https://docs.microsoft.com/en-us/windows/desktop/seccrypto/using-signtool-to-verify-a-file-signatureПроверь ею. И дай хеш либы clt Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 23 октября, 2018 Автор Share Опубликовано 23 октября, 2018 (изменено) @Umnik, да advapi32.dll доверенная в облаке. но это тут нипричём. вы понимаете, что если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится??? алерт всё равно будет, и его отменить невозможно. но алерта именно на данное действие - попытку изменить список системных модулей KnownsDll, на семёрке нет! хэш clt.exe SHA1 - 519C595797B293F4977654C8C61AE80DC735B703 Изменено 23 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится??? Ну, как оказалось, не так просто. В данном случае идёт замена доверенной библиотеки доверенной же библиотекой. Одна либа, которая зелёная в облаке, прописывает другую, которая вообще с подписью MS, вроде как. KIS это поведение разрешает. Хеш не clt, а его библиотеки. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 23 октября, 2018 Автор Share Опубликовано 23 октября, 2018 удалил эту либу из папки clt и протестировал. эта длл-ка для теста KnownDlls вообще не нужна. она нужна для теста на создание удалённого потока хэш либы dll.dll SHA1 - 423875D5A406DACE6F09E0C0BD5A280C33DD0ADC Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 Фффф. Парни, спросите на оффоруме в разделе бета-тестирования и ответ тут напишите Так будет правильнее. А то получается, что я отвлекалю людей от проекта со своими вопросами и при этом я вообще не участник этого проекта и понятия не имею, что и как там сейчас работает. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.