Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 247 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 @Umnik, да, уязвимостей в программах хватает. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) @Umnik, объяснение не выдерживает критики, потому что у драйверов вообще нет никакой репутации в KSN, потому что в облачных списках они вообще не регистрируются - скриншоты насчёт того, что вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь, были такие случаи и не раз, причём совсем недавно. Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip что у драйверов вообще нет никакой репутации в KSN Так ты же даже не проверил её потому что в облачных списках они вообще не регистрируются Кто тебе сказал? То, что контекстное меню серое? Пффф, KIS никак не опирается на то, что рисуется в Проводнике. Хоть вообще не будет там пункта Каспера — продукту пофиг. вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь Каждый такой случай — повод разобраться и никогда не повторять ошибок. Сколько их было с момента вредрения KSN в 08 году? Пальцев одной руки хватит? Не просто абы какая программа, а программа, загружающая драйвер. Пальцев точно хватит на одной ладони. Ну и до кучи рекомендую перейти уже на x64, т.к. эта платформа вообще не позволит загрузить неподписанный драйвер (если система не настроена специально на обратное). Umnik, да, уязвимостей в программах хватает. Не в программе, а в драйвере. Наоборот. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить. @Umnik, обязательно дров? А в качестве примера avpui.exe не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь. А вот свежий пример в разделе лечения. Похоже взяли легальный файл от apple, замаскировали его под гугол-апдейт, а в качестве .dll загрузили в него утилиту от nirsoft, которая уже запустила нужное -> профит. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Umnik, обязательно дров? А в качестве примера avpui.exe не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь. Не знаю, чего там обсуждалось, меня кидает в пустоту. Но у меня заблокированы в Fx куча скриптов, возможно обсуждение не прогружается. И да, обязательно. Доверенный процесс, запущенный от ограниченного приложения также становится ограниченным и ему нет доверия. Драйвер же работает как бы сам по себе и на него не распространяются общие правила. То есть хоть обмажься доверенными программами, чтобы всё отработало, их должен запускать кто-то также доверенный. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Не знаю, чего там обсуждалось, меня кидает в пустоту. на данный момент меня тоже (но может остальным повезло больше). И суть видна по ссылке на гибрид анализ, там можно посмотреть в действие.Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого. По ссылке видно, что avpui.exe с легальной ЭЦП грузит левый процесс ибо подобрали имя .dll прописанной в импорте и по сути дырой это не является. Это штатный механизм работы винды (для справедливости сразу отмечу, что согласен, если бы там антивирус был в полном комплекте, то он бы такое не позволил). И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ. суть видна по ссылке на гибрид анализ если вдруг не заметил её под словом пруф, то вот явно https://www.hybrid-analysis.com/sample/5a21e47b7f099cdf3cfed76aba37d9ba15d85705115f0aa271c0c5c061bb3dd7?environmentId=100 Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого. Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое нужно реагировать. И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ. ТС сокрушается, что драйвер, которому мы доверяем, выполняет некую операцию, которую мы выполнить разрешаем. Но, правда, он не понимает пока, что именно происходит 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого. Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое на такое нужно реагировать. так в том то и дело, что прога уже не является доверенной. я же объясняю, что вручную занёс clt.exe в "Сильные ограничения", реакции на запуск драйвера всё равно нет. кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 реакции на запуск драйвера всё равно нет. кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет Я что-то не понял или речь об этом?: Настройки антивируса не крутил, просто интеректив переведён в ручной режим. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) @regist, да, такое встречал и с Zemana Anti-Malware - скрин. но почему при установке драйвера нормальным способом реакции нет? или её и не должно быть? Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 да, такое встречал и с Zemana Anti-Malware - скрин. но почему при устанвке драйвера нормальным способои реакции нет? или её и не должно быть? @ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка под "скрытой загрузкой драйвера", как я понимаю они подразумевают тихую установку в обход программного API-интерфейса. вообще они это правило называют "Загрузка драйвера через низкоуровневое API ntdll.dll" нет, HitmanPro у меня не проинсталлирован, я его впервые запустил с рабочего cтола и отказался от установки при запуске. Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 280 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться. почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции? и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает. Изменено 9 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.