Umnik Опубликовано 29 октября, 2018 Опубликовано 29 октября, 2018 Замена не на него происходит, ну. А на адвапи. Для Тотала и Фара есть аддоны, которые позволяют ковырять в реестре. Поставьте эти аддоны, сбейте хеш тоталу/фару (в любом хекс редакторе в строчке This program cannot be run in DOS замените пару букву на любые другие), затем запустите файловый менеджер, убедитесь, что он улетел в ограничения, залезте в нужную ветку реестра и пропишите туда случайную заведомо не доверенную библиотеку. Если такой библиотеки не найдёте, то возьмите любую, сделайте её копию и в копии сделайте точно также со строчкой про программу в ДОСе.
ossa Опубликовано 29 октября, 2018 Автор Опубликовано 29 октября, 2018 @Umnik, вот только не выдумывайте. подключение к COM-интерфейсу advapi32.dll нужно всего лишь для возможности свободно вносить изменения в секцию KnownDlls, которая выглядит на семёрке так (скриншот). вы не сможете никак скопировать эту либу, потому что она открыта в огромном количестве процессов постоянно
Umnik Опубликовано 29 октября, 2018 Опубликовано 29 октября, 2018 1. Я лишь передаю слова тестировщика, который передаёт слова разработчика. Тест, якобы, вешает ссылку на либу. Подгружает ли он её для этого при этом или нет — мне не уточняли, а я и не спрашивал. 2. Скопировать можно Но не нужно. Я же прошу проверять на том, что НЕ значится в доверенных по облаку или подписи.
ossa Опубликовано 29 октября, 2018 Автор Опубликовано 29 октября, 2018 (изменено) @Umnik, вы что думаете, что в Comodo, в anti-malware.ru сидят такие профаны, которые не могут сделать нормальный тест на KnownDlls, а занимаются подделками? почему же Comodo IS проходит этот тест??? он ведь тоже видит замену ссылки на доверенную библиотеку? что у него там за проблемы? пожалуйста, для тех, кто сомневается в компетентности разработчиков Comodo. уж в закулисном рекламном сговоре с поляками из Datpol вы никак их не сможете уличить. вот как проходит этот этап теста SpyShelter Premium. доверие цифровым подписям естественно отключено. жмём разрешить - тест провален, жмём запретить - пройден Изменено 29 октября, 2018 пользователем ossa
Umnik Опубликовано 29 октября, 2018 Опубликовано 29 октября, 2018 вы что думаете, что в Comodo Не знаю. в anti-malware.ru А вот про этот тест знаю В смысле, я тоже делал для них тесты когда-то давно. Практически уверен, что конкретно этот тест делался этой самой утилитой почему же Comodo IS проходит этот тест??? Они решили сделать иной подход. Который оправдал себя в синтетическом тесте, написанном ими самими. Предлагаешь мне таки сесть и написать тест, который и мы будем проходить? Нужно? Это что-то докажет?
ossa Опубликовано 29 октября, 2018 Автор Опубликовано 29 октября, 2018 (изменено) Они решили сделать иной подход. Который оправдал себя в синтетическом тесте, написанном ими самими. Предлагаешь мне таки сесть и написать тест, который и мы будем проходить? Нужно? Это что-то докажет? не клеится, к сожалению. и SpyShelter Premium этому прямое доказательство. абсолютно нормальная симуляция. внедрение удалённого dll. должна быть реакция HIPS! Изменено 29 октября, 2018 пользователем ossa
Umnik Опубликовано 29 октября, 2018 Опубликовано 29 октября, 2018 Я не знаю, что такое SpyShelter Premium и не понимаю, почему не клеится. Мне снова повторить, то, что уже сказал? Хорошо. Работает так, как задумано. Так сделали специально. Поведение дожно быть (должно быть — означает, что я сам не проверял, т.к. это не Android и не iOS) иным, если будет попытка прописать/заменить не доверенную библиотеку. Вот так решили. Вирусные аналитики сказали, что норм, так можно. Если будет вдруг нельзя — прилетит хот-фикс на продукт, который изменит поведение. Однако с 2008 его менять не приходилось. И снова повторю. Мне тоже такой дизайн не нравится, правда. Я тоже считаю это неправильным. Но моё мнение ничтожно против мнения людей, которые разбирают миллионы вредоносов и имеют компетенцию, которая больше ушей на этой аватарке. 2
ossa Опубликовано 29 октября, 2018 Автор Опубликовано 29 октября, 2018 (изменено) @Umnik, значит вот более менее подробно описана замена объекта секции KnownDlls от вирлаба ESET. в данном случае рассматривалась работа одного известного вредоноса (скрины). если вы внимательно прочитаете, то ясно поймёте, что в методе речь идёт явно о загрузке именно модифицированной dll, которая никак не может быть доверенной у антивируса. так что не знаю, что там придумывает ваш тестер, но по-моему он просто сочиняет про какую-то доверенность и недоверенность. вы можете понять, что смысла нет делать такой тест, где подменять библиотеку доверенной? подменяют на библиотеку с уже якобы внедрённым кодом (заведомо неизвестную антивирусу), чтобы симулировать получение контроля над системным процессом! а то, что вы ничего не знаете о SpyShelter Premium очень и очень странно для такого спеца в области HIPS, потому что это уже давно известное довольно качественное решение от польских разработчиков Изменено 29 октября, 2018 пользователем ossa
Umnik Опубликовано 30 октября, 2018 Опубликовано 30 октября, 2018 значит вот более менее подробно описана замена объекта секции KnownDlls от вирлаба ESET. в данном случае рассматривалась работа одного известного вредоноса (скрины). Здесь видно, что использовались не системные библиотеки. Или либа вредоноса, или _модифицированная_ либа, которой уже однозначно не будет доверия. Такой сценарий сразу блокируется HIPS, если верить тестировщику компонента. Потому что это именно тот сценарий, который и предусмотрен в этом дизайне компонента. Что не так? Серьёзно, вот это именно тот сценарий, который я описал выше на примере Тотал Командера и плагина для редактирования реестра. а то, что вы ничего не знаете о SpyShelter Premium очень и очень странно для такого спеца в области HIPS Я ушёл из KIS for Windows уже давно. Всё, что выходило или набирало популярность после этого мне было уже не особо важно. А потом я ещё и от Windows избавился и дома, и на работе. У меня про HIPS остаточные знания, новых я не получаю.
ossa Опубликовано 31 октября, 2018 Автор Опубликовано 31 октября, 2018 (изменено) Здесь видно, что использовались не системные библиотеки. Или либа вредоноса, или _модифицированная_ либа, которой уже однозначно не будет доверия. Такой сценарий сразу блокируется HIPS, если верить тестировщику компонента. Потому что это именно тот сценарий, который и предусмотрен в этом дизайне компонента. Что не так? не так то, что в 2009-м году тестировщики antimalware.ru никакие системные библиотеки для подмены не использовали. им такая несуразица даже в голову не могла прийти. тем не менее фича эта как не работает сейчас, так и тогда не работала. причём из вашей логики, такая несуразица вдруг пришла в головы разработчикам Comodo и вместо того, чтобы сделать нормальный тест на подмену системной dll на "пропатченную" неизвестную, они с какого-то перепугу начали делать тест на подмену на супердоверенную, системную. для чего спрашивается эта подмена???? её не сможет использовать ни один вредонос в мире! У меня про HIPS остаточные знания, новых я не получаю. я так и понял. спасибо за честное признание Изменено 31 октября, 2018 пользователем ossa
Umnik Опубликовано 31 октября, 2018 Опубликовано 31 октября, 2018 АМ сам тесты не проводил, они заказывали у других людей. Есть уверенность, что эти люди не использовали эту же самую утилиту? Я просто ХЗ даже, когда она появилась. причём из вашей логики, такая несуразица вдруг пришла в головы разработчикам Comodo и вместо того, чтобы сделать нормальный тест на подмену системной dll на "пропатченную" неизвестную, они с какого-то перепугу начали делать тест на подмену на супердоверенную, системную. для чего спрашивается эта подмена???? её не сможет использовать ни один вредонос в мире! А я откуда знаю? У них нужно спросить. И снова скажу, если вдруг забыли. Я тоже считаю такой дизайн спорным. И снова напомню, что такой дизайн одобрен людьми, которые знают все вредоносы в мире.
ossa Опубликовано 31 октября, 2018 Автор Опубликовано 31 октября, 2018 И снова скажу, если вдруг забыли. Я тоже считаю такой дизайн спорным. И снова напомню, что такой дизайн одобрен людьми, которые знают все вредоносы в мире. а я вам говорю, что я не спорю насчёт дизайна KIS пока. допустим это так, как вы говорите. я говорю о другом. я совершенно не верю, что разработчики Comodo сделали настолько глупый и бездарный тест на подмену одной супердоверенной системной либы на другую такую же.
Umnik Опубликовано 31 октября, 2018 Опубликовано 31 октября, 2018 Почему? Давай абстрагируемся от теста и представим другю ситуацию. Пользователь кликает по алерту — действие выполняется. Троян кликает по алерту — действие не выполняется. Почему? Потому что продукт проверяет, реально ли событие пришло из драйвера мышки или нет. Когда-то, на заре KIS, трояны кликали на разрешающие действия алертов без проблем. Но вот если не знать такой тонкости, можно ли утверждать, что раз пользователь может кликнуть на алерт, то что угодно в системе может кликнуть на алерт? Или ещё ситуация. Пользователь может сделать скриншот защищённого браузера и сохранить его. Означает ли это, что троян тоже может сделать скриншот защищённого браузера и сохранить его? Вот так _может быть_ и у Комодо. При написании не закладывались на то, что логика может быть несколько усложнена и сделали самым простым способом.
ossa Опубликовано 31 октября, 2018 Автор Опубликовано 31 октября, 2018 При написании не закладывались на то, что логика может быть несколько усложнена и сделали самым простым способом. вы думаете кто-то в это поверит??? эта техника - внедрения удалённой модифицированной dll известна уже очень давно. а разработчикам Comodo известна скорее всего вообще после окончания универа.
Umnik Опубликовано 1 ноября, 2018 Опубликовано 1 ноября, 2018 внедрения удалённой модифицированной dll Вот
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти