Перейти к содержанию

вопрос по синтетическому тесту


Рекомендуемые сообщения

 

 


Umnik, если продолжить логику, вредоносная программа может использовать доверенный драйвер в своих целях ;)

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

  • ossa

    67

  • Umnik

    36

  • regist

    13

  • Friend

    12

@Umnik,

объяснение не выдерживает критики, потому что у драйверов вообще нет никакой репутации в KSN, потому что в облачных списках они вообще не регистрируются - скриншоты

насчёт того, что вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь, были такие случаи и не раз, причём совсем недавно.

post-50757-0-01600100-1539074135_thumb.png

post-50757-0-27898600-1539074145_thumb.png

post-50757-0-11229800-1539074157_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Хехе, CLT настолько неактуален, что у него ссылка даже мёртвая: http://download.comodo.com/securitytests/CLT.zip

 

 

 


что у драйверов вообще нет никакой репутации в KSN

Так ты же даже не проверил её :)

 

 


потому что в облачных списках они вообще не регистрируются

Кто тебе сказал? :) То, что контекстное меню серое? Пффф, KIS никак не опирается на то, что рисуется в Проводнике. Хоть вообще не будет там пункта Каспера — продукту пофиг.

 

 


вредоносное приложение не может попасть в доверенные KSN, вы глубоко ошибаетесь

Каждый такой случай — повод разобраться и никогда не повторять ошибок. Сколько их было с момента вредрения KSN в 08 году? Пальцев одной руки хватит? Не просто абы какая программа, а программа, загружающая драйвер. Пальцев точно хватит на одной ладони.

 

Ну и до кучи рекомендую перейти уже на x64, т.к. эта платформа вообще не позволит загрузить неподписанный драйвер (если система не настроена специально на обратное).

 

 

 


Umnik, да, уязвимостей в программах хватает. :coffee:

Не в программе, а в драйвере. Наоборот.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

@Umnik, обязательно дров? А в качестве примера avpui.exe  не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь.

А вот свежий пример в разделе лечения. Похоже взяли легальный файл от apple, замаскировали его под гугол-апдейт, а в качестве .dll загрузили в него утилиту от nirsoft, которая уже запустила нужное -> профит.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Umnik, обязательно дров? А в качестве примера avpui.exe не сойдёт? Ссылка на пруф. Обсуждалось год назад здесь.

Не знаю, чего там обсуждалось, меня кидает в пустоту. Но у меня заблокированы в Fx куча скриптов, возможно обсуждение не прогружается.

И да, обязательно. Доверенный процесс, запущенный от ограниченного приложения также становится ограниченным и ему нет доверия. Драйвер же работает как бы сам по себе и на него не распространяются общие правила.

То есть хоть обмажься доверенными программами, чтобы всё отработало, их должен запускать кто-то также доверенный.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

 


Не знаю, чего там обсуждалось, меня кидает в пустоту.
на данный момент меня тоже (но может остальным повезло больше). И суть видна по ссылке на гибрид анализ, там можно посмотреть в действие.

Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого. По ссылке видно, что avpui.exe с легальной ЭЦП грузит левый процесс ибо подобрали имя .dll прописанной в импорте и по сути дырой это не является. Это штатный механизм работы винды (для справедливости сразу отмечу, что согласен, если бы там антивирус был в полном комплекте, то он бы такое не позволил). И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ.


 

 


суть видна по ссылке на гибрид анализ
если вдруг не заметил её под словом пруф, то вот явно https://www.hybrid-analysis.com/sample/5a21e47b7f099cdf3cfed76aba37d9ba15d85705115f0aa271c0c5c061bb3dd7?environmentId=100
Ссылка на комментарий
Поделиться на другие сайты

 

 


Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого.

Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое нужно реагировать.

 

 


И ТС как понимаю вопросы по тесту как раз по проверке защиты от загрузки таких левых библ.

ТС сокрушается, что драйвер, которому мы доверяем, выполняет некую операцию, которую мы выполнить разрешаем. Но, правда, он не понимает пока, что именно происходит :)

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

Просто ты уверяешь, что загрузка левой .dll это уязвимость и продукты ЛК защищены от этого.

Я этого не говорил. Я говорил о загрузке нашего драйвера. Когда левая прога пытается загрузить честный драйвер, которому есть доверие. На такое на такое нужно реагировать.

 

так в том то и дело, что прога уже не является доверенной. я же объясняю, что вручную занёс clt.exe в "Сильные ограничения", реакции на запуск драйвера всё равно нет.

кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет

post-50757-0-43929600-1539083773_thumb.png

post-50757-0-25224300-1539083785_thumb.png

post-50757-0-77143100-1539083811_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

 

 


реакции на запуск драйвера всё равно нет. кстати, я давно заметил, что вообще не бывает срабатывания HIPS по этому пункту "Контроля программ" - "запуск драйвера". вот я запускаю сканер HitmanPro c рабочего стола, запуск драйвера под запросом, идёт алерт только на создание файла в системной директории, на запуск драйвера реакции нет
Я что-то не понял или речь об этом?:

82bedd740bc039e82eae5622373995fd.png

Настройки антивируса не крутил, просто интеректив переведён в ручной режим.

Ссылка на комментарий
Поделиться на другие сайты

@regist,

да, такое встречал и с Zemana Anti-Malware - скрин. но почему при установке драйвера нормальным способом реакции нет? или её и не должно быть?

post-50757-0-00540000-1539084784_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

 

 


да, такое встречал и с Zemana Anti-Malware - скрин. но почему при устанвке драйвера нормальным способои реакции нет? или её и не должно быть?
@ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка.
Ссылка на комментарий
Поделиться на другие сайты

ossa, я не сотрудник ЛК и не знаю, что скрывается под фразой "скрытой загрузки". Можно предположить, что под неё попадает любая загрузка кроме стандартной, когда загрузка драйвера прописана в реестре и он грузится при старте ОС. Если это так, то HitmanPro скорее всего у вас проинсталирован и драйвер уже загружен, а когда вы его загружаете, то по факту грузится только графическая оболочка

под "скрытой загрузкой драйвера", как я понимаю они подразумевают тихую установку в обход программного API-интерфейса. вообще они это правило называют "Загрузка драйвера через низкоуровневое API ntdll.dll"

нет, HitmanPro у меня не проинсталлирован, я его впервые запустил с рабочего cтола и отказался от установки при запуске.

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла :)

Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Драйвер уже стоит, уже был загружен, уже доверенный — всё, суши вёсла Попробуй хотя бы exe модифицировать, чтобы хоть как-то к реальности приблизиться.

почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции?

и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает.

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      Автор Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • huang1111
      Автор huang1111
      Здравствуйте, я пользователь из Китая. На протяжении последних лет я постоянно использую продукты Kaspersky и неоднократно участвовал в ваших бета-тестированиях. Также вы много раз приглашали меня на встречи фанатов.
      Сегодня я хотел бы сообщить о проблеме, которую замечаю уже несколько лет: в китайском регионе серьёзные проблемы с качеством обслуживания со стороны технической поддержки — как в плане отношения к пользователям, так и в профессиональной компетентности. Я приведу пример на основании недавнего случая:
      ID моего обращения: INC000017453187
      Описание: при использовании антивируса Kaspersky я обнаружил несовместимость с одним из китайских приложений. Антивирус в процессе фонового сканирования (проверка на руткиты) определяет приложение как MEM:Trojan.Win32.SEPEH.gen. Это довольно распространённая ситуация, однако в процессе общения с технической поддержкой возникли следующие серьёзные проблемы:
      Проблема 1: Технический специалист, узнав, что мой файл был определён как вирус типа MEM, запросил у меня образец вредоносного ПО. Однако при таком типе обнаружения никакие файлы не изолируются, и требовать у пользователя «вирусный образец» — некорректно. Следовало бы порекомендовать сбор трассировки (trace) для анализа ситуации и поиска решения.
      Проблема 2: Когда я сообщил, что срабатывание происходит только при фоновом сканировании, и что его невозможно запустить вручную из пользовательского интерфейса, специалист не обратился к внутренней команде за решением, а просто предложил мне перезапустить компьютер, включить сбор трассировки и ждать, пока проблема снова проявится. Это абсурдно. Без понимания условий срабатывания требовать от пользователя просто ждать и долгое время записывать трассировку — это неэффективно, приводит к большому объёму логов, замедляет систему и не гарантирует результата. Более того, специалист даже не уточнил, возможно ли, что фоновое сканирование не сработает автоматически, что также говорит о безответственном подходе.
      Проблема 3: Поскольку я давно участвую в ваших бета-тестах, я хорошо знаком с работой вашей программы. Я попросил специалиста узнать у внутренней команды, существует ли способ ручного запуска такого сканирования. Однако он полностью проигнорировал мою просьбу и настаивал на своём методе — ждать бесконечно долго.
      Проблема 4: В итоге, с помощью утилиты командной строки AVP я сам нашёл способ вручную запустить нужное сканирование, успешно воспроизвёл проблему, собрал трассировку и записал видео. Но специалист технической поддержки, как оказалось, даже не знал о существовании этого метода и продолжал настаивать на том, чтобы я просто ждал.
      Вывод: За последние годы качество технической поддержки в китайском регионе значительно ухудшилось. Сотрудники не прислушиваются к пользователям и действуют как роботы, строго по инструкции, без участия и понимания. Мне неизвестно, сколько пользователей уже отказались от Kaspersky из-за подобного отношения. Я помню, как в 2022 году китайская поддержка действительно заботилась о клиентах: предлагали решения, шли навстречу. А сейчас это словно машины без души.
      Я настоятельно прошу вас провести более глубокое и всестороннее расследование текущей ситуации в китайской технической поддержке. Для антивирусного программного обеспечения качество сервиса — важнейшая составляющая.
    • MiStr
      Автор MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2025 года начинается прямо сейчас!
       
      Что таит закулисье расследования операции "Триангуляция"? Какие тренды в киберпреступности наблюдаются сейчас? Как попасть на работу в GReAT? Ответы на эти и многие другие вопросы знает Леонид Безвершенко, Security Researcher в Глобальном центре исследования и анализа угроз (GReAT) "Лаборатории Касперского".
       
      @bzvr готов отвечать на вопросы участников клуба по 28 марта 2025 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
    • Elly
      Автор Elly
      Друзья!
       
      Почти все пользователи нашего клуба так или иначе пользовались или в настоящее время пользуются продуктами «Лаборатории Касперского». И у большинства из нас всегда возникали вопросы, связанные с выбором, покупкой или настройкой приложений. Сегодня мы предлагаем вам пройти викторину по "Часто задаваемым вопросам" и ответам на эти вопросы. Эти ответы помогут вам решить некоторые ваши вопросы.
       
      ПРАВИЛА
      Викторина состоит из 10 несложных вопросов, ответы на которые вы найдете на сайте Поддержки Лаборатории Касперского в одной из полезных ссылок раздела "Поддержка приложений для дома".
       
      НАГРАЖДЕНИЕ
      Без ошибок — 800 баллов Одна ошибка — 500 баллов Две ошибки — 300 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 02 марта 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов или существенных подозрений со стороны Администрации клуба его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • MiStr
      Автор MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года подходит к концу. В завершении года мы позвали на интервью эксперта по тому продукту, которым пользуются многие участники клуба – Kaspersky Password Manager.
       
      Какие новые функции в менеджере паролей появились в последнее время? Сколько аккаунтов хранит в Kaspersky Password Manager среднестатистический пользователь? Без какого функционала, предложенного в ходе форумного бета-тестирования, сегодня невозможно представить менеджер паролей?
       
      Ответы на эти и многие другие вопросы знает Алексей Тодираш, менеджер продукта Kaspersky Password Manager.
       
      @Алексей Тодираш готов отвечать на вопросы участников клуба по 20 декабря 2024 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       

×
×
  • Создать...