вопрос по синтетическому тесту

[Umnik 1 280]

 

 

Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

[Friend 1 247]

@Umnik, да, уязвимостей в программах хватает.

[ossa 12]

@Umnik,

объяснение не выдерживает критики, потому что у драйверов вообще нет никакой репутации в KSN, потому что в облачных списках они вообще не регистрируются - скриншоты

насчёт того, что вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь, были такие случаи и не раз, причём совсем недавно.

Изменено 9 октября, 2018 пользователем ossa

[Umnik 1 280]

Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip

 

 

 

что у драйверов вообще нет никакой репутации в KSN

Так ты же даже не проверил её

 

 

потому что в облачных списках они вообще не регистрируются

Кто тебе сказал? То, что контекстное меню серое? Пффф, KIS никак не опирается на то, что рисуется в Проводнике. Хоть вообще не будет там пункта Каспера — продукту пофиг.

 

 

вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь

Каждый такой случай — повод разобраться и никогда не повторять ошибок. Сколько их было с момента вредрения KSN в 08 году? Пальцев одной руки хватит? Не просто абы какая программа, а программа, загружающая драйвер. Пальцев точно хватит на одной ладони.

 

Ну и до кучи рекомендую перейти уже на x64, т.к. эта платформа вообще не позволит загрузить неподписанный драйвер (если система не настроена специально на обратное).

 

 

 

Umnik, да, уязвимостей в программах хватает.

Не в программе, а в драйвере. Наоборот.

[regist 617]

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

@Umnik, обязательно дров? А в качестве примера avpui.exe  не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь.

А вот свежий пример в разделе лечения. Похоже взяли легальный файл от apple, замаскировали его под гугол-апдейт, а в качестве .dll загрузили в него утилиту от nirsoft, которая уже запустила нужное -> профит.

[Umnik 1 280]

 

 

Umnik, обязательно дров? А в качестве примера avpui.exe не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь.

Не знаю, чего там обсуждалось, меня кидает в пустоту. Но у меня заблокированы в Fx куча скриптов, возможно обсуждение не прогружается.

И да, обязательно. Доверенный процесс, запущенный от ограниченного приложения также становится ограниченным и ему нет доверия. Драйвер же работает как бы сам по себе и на него не распространяются общие правила.

То есть хоть обмажься доверенными программами, чтобы всё отработало, их должен запускать кто-то также доверенный.

[regist 617]

 

 

Не знаю, чего там обсуждалось, меня кидает в пустоту.

на данный момент меня тоже (но может остальным повезло больше). И суть видна по ссылке на гибрид анализ, там можно посмотреть в действие.

Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого. По ссылке видно, что avpui.exe с легальной ЭЦП грузит левый процесс ибо подобрали имя .dll прописанной в импорте и по сути дырой это не является. Это штатный механизм работы винды (для справедливости сразу отмечу, что согласен, если бы там антивирус был в полном комплекте, то он бы такое не позволил). И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ.

 

 

суть видна по ссылке на гибрид анализ

если вдруг не заметил её под словом пруф, то вот явно https://www.hybrid-analysis.com/sample/5a21e47b7f099cdf3cfed76aba37d9ba15d85705115f0aa271c0c5c061bb3dd7?environmentId=100

[Umnik 1 280]

 

 

Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого.

Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое нужно реагировать.

 

 

И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ.

ТС сокрушается, что драйвер, которому мы доверяем, выполняет некую операцию, которую мы выполнить разрешаем. Но, правда, он не понимает пока, что именно происходит

[ossa 12]

 

Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого.

Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое на такое нужно реагировать.

 

так в том то и дело, что прога уже не является доверенной. я же объясняю, что вручную занёс clt.exe в "Сильные ограничения", реакции на запуск драйвера всё равно нет.

кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет

Изменено 9 октября, 2018 пользователем ossa

[regist 617]

 

 

реакции на запуск драйвера всё равно нет. кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет

Я что-то не понял или речь об этом?:

Настройки антивируса не крутил, просто интеректив переведён в ручной режим.

[ossa 12]

@regist,

да, такое встречал и с Zemana Anti-Malware - скрин. но почему при установке драйвера нормальным способом реакции нет? или её и не должно быть?

Изменено 9 октября, 2018 пользователем ossa

[regist 617]

 

 

да, такое встречал и с Zemana Anti-Malware - скрин. но почему при устанвке драйвера нормальным способои реакции нет? или её и не должно быть?

@ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка.

[ossa 12]

ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка

под "скрытой загрузкой драйвера", как я понимаю они подразумевают тихую установку в обход программного API-интерфейса. вообще они это правило называют "Загрузка драйвера через низкоуровневое API ntdll.dll"

нет, HitmanPro у меня не проинсталлирован, я его впервые запустил с рабочего cтола и отказался от установки при запуске.

Изменено 9 октября, 2018 пользователем ossa

[Umnik 1 280]

Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла

Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться.

[ossa 12]

Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться.

почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции?

и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает.

Изменено 9 октября, 2018 пользователем ossa