Перейти к содержанию

вопрос по синтетическому тесту


Рекомендуемые сообщения

 

 


почему же в остальных случаях на ваш "доверенный драйвер" нормально реагирует HIPS, а на пункт "изменение системных модулей" никакой реакции?

CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него.

 

 


и кстати, загрузка и запуск драйвера - это разные вещи. то, что драйвер загружен не обязательно означает что он уже работает.

Да. Но я не знаю, на что именно смотрит HIPS, т.к. не работал с ним уже несколько лет.

Ссылка на комментарий
Поделиться на другие сайты

CLT далеко не всё делает через драйвер. Собственно, он, вроде, только запись в этот ключ реестра делает через него

 

к сожалению, это не так. драйвер нужен для имитации установки руткитов. для имитации изменения списка системных модулей KnownDlls он вообще не нужен. на скрине запуск clt.exe вообще с удалённым драйвером. тест проходится нормально, только в двух пунктах ошибки и та же уязвимость остаётся

post-50757-0-53915600-1539091011_thumb.png

post-50757-0-17805000-1539091021_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

вот сейчас разрешил права отладчика и во втором случае дал возможность для установки руткита, но из-за отсутствия драйвера также вылетела ошибка

post-50757-0-46415400-1539092345_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Это называется "уязвимость", когда драйвер может загружать кто попало. KIS тоже ставит драйверы, но ты хоть раз видел, чтобы хоть одна малварь таскала с собой кисовые драйверы для офигенной самозащиты? В драйвере есть проверка, кто именно его пытается загрузить.

драйверы может загружать и запускать любое приложение. работа самого драйвера не контролируется HIPS, потому что отдельного процесса у драйвера нет. драйвер может создавать отдельный поток в процессе, либо работать в системном потоке процесса System, так функционируют системные драйверы. ни о каких проверках, о которых вы говорите, я не слышал. если приложение не является доверенным и пытается загрузить драйвер, обычно на такое действие реагируют HIPS известных антивирусных продуктов.

программный драйвер - это просто посредник между программой и аппаратными обеспечением устройства. без него программа просто не сможет выполнять свои функции. посредством такого микроприложения программа взаимодействует с нужным устройством. то есть действия приложения - это будут не действия драйвера, а действия процесса, в который это приложение запущено.

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

 

 


драйверы может загружать и запускать любое приложение.

 

 


обычно на такое действие реагируют HIPS

Это раз.

 

https://social.technet.microsoft.com/Forums/azure/en-US/00b94d4c-a2fe-4d0b-819a-1d02ea615f94/vulnerability-in-process-explorers-driver?forum=procexplorer

Это два


//как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение.

Ссылка на комментарий
Поделиться на другие сайты

Это раз.   https://social.techn...um=procexplorerЭто два

я говорил не о подключении к драйверу удалённо при помощи повышения привиллегий, а о загрузке и запуске драйвера неизвестным приложением.

//как здорово уйти из Windows и вообще не думать о таких проблемах. По-моему моё лучшее решение

 

c Windows не так скучно жить :smile3:

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Мне ответили по этому запросу.

Автор ответа извинился, что сказал про доверенный драйвер. Он прочёл вопрос по диагонали и дал шаблонный ответ :) После повторного письма разобрался и дал правильный ответ.

 

В общем, ситуация такая. Библиотека clt, которая у нас висит в доверенных (как я понял из ответа), пытается прописать доверенную же advapi32.dll, которая подписана подписью MS. Таким образом доверенная библиотека прописывает доверенную библиотеку — детект не прилетает.

 

Если я правильно понял автора ответа, то попробуйте библиотекам clt поменять хеш. И ему самому до кучи.

Изменено пользователем Umnik
Ссылка на комментарий
Поделиться на другие сайты

Я ХЗ что там пишет Виндовс в табах свойств. Когда занимался тестированием под Windows, то никогда не проверял, что он там пишет. Есть специальные утилиты: https://docs.microsoft.com/en-us/windows/desktop/seccrypto/using-signtool-to-verify-a-file-signatureПроверь ею.

И дай хеш либы clt

Ссылка на комментарий
Поделиться на другие сайты

@Umnik,

да advapi32.dll доверенная в облаке. но это тут нипричём. вы понимаете, что если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится??? алерт всё равно будет, и его отменить невозможно. но алерта именно на данное действие - попытку изменить список системных модулей KnownsDll, на семёрке нет!

хэш clt.exe SHA1 - 519C595797B293F4977654C8C61AE80DC735B703

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

 

 


если запрос в HIPS выставлен, то ему параллельно абсолютно, какая там прога в облаке и в какой группе доверия она находится???

Ну, как оказалось, не так просто. В данном случае идёт замена доверенной библиотеки доверенной же библиотекой. Одна либа, которая зелёная в облаке, прописывает другую, которая вообще с подписью MS, вроде как. KIS это поведение разрешает.

 

Хеш не clt, а его библиотеки.

Ссылка на комментарий
Поделиться на другие сайты

 

 

удалил эту либу из папки clt и протестировал. эта длл-ка для теста KnownDlls вообще не нужна. она нужна для теста на создание удалённого потока

хэш либы dll.dll    SHA1 - 423875D5A406DACE6F09E0C0BD5A280C33DD0ADC

post-50757-0-37680900-1540298907_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Фффф. Парни, спросите на оффоруме в разделе бета-тестирования и ответ тут напишите :) Так будет правильнее. А то получается, что я отвлекалю людей от проекта со своими вопросами и при этом я вообще не участник этого проекта и понятия не имею, что и как там сейчас работает.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года подходит к концу. В завершении года мы позвали на интервью эксперта по тому продукту, которым пользуются многие участники клуба – Kaspersky Password Manager.
       
      Какие новые функции в менеджере паролей появились в последнее время? Сколько аккаунтов хранит в Kaspersky Password Manager среднестатистический пользователь? Без какого функционала, предложенного в ходе форумного бета-тестирования, сегодня невозможно представить менеджер паролей?
       
      Ответы на эти и многие другие вопросы знает Алексей Тодираш, менеджер продукта Kaspersky Password Manager.
       
      @Алексей Тодираш готов отвечать на вопросы участников клуба по 20 декабря 2024 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • wumbo12
      От wumbo12
      Тестирование Kaspersky Standard (19.09.2024):
      Это последняя версия Касперского Standard.
      Протестировано на 500 образцах вредоносного ПО из разных источников:
      Образцы не старше 30 и не новее 10 дней.
      Все образцы имеют не менее 15 обнаружений на VirusTotal по состоянию на 18 сентября 2024 г.
      Все примеры представлены в формате .exe, предназначенном для работы в 64-разрядной и 11-разрядной версиях Windows.
      Все настройки установлены по умолчанию, имитируя установку по принципу «установил и забыл».
      Статистика обнаружения:
      Обнаружение файлов при статическом сканировании: 360/500 (коэффициент обнаружения 72,0%)
      Обнаружено выполненных файлов: 438/500 (коэффициент обнаружения 87,6%)
      Сканеры второго мнения после очистки временных файлов:
      Sophos/HitmanPro — 17 обнаружений + 20 PUA
      Emsisoft — 13 обнаружений
      Norton PE — 35 обнаружений
      Полная проверка Касперского — 0 обнаружений после заражения
       
      Видео отчет :
       
      https://dosya.co/kux5af99wt76/Kaspersky_Test_Final_9-19-2024.mp4.html
       
    • igrok52
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года возобновляется
       
      На прошедшей в стенах "Лаборатории Касперского"  встрече , приуроченной к 18-летию Kaspersky Club, участники клуба пообщались с Еленой Лесных, старшим продуктовым маркетологом в подразделении мобильных продуктов в продуктовом маркетинге B2C. Елена рассказала о том, как была усилена защита от киберугроз и мошенников в последних обновлениях мобильной версии Kaspersky и Kaspersky Who Calls.
       
      Выступление Елены и её коллеги Никиты вызвало большой интерес у участников клуба. Не все присутствующие на встрече смогли задать свои вопросы, не говоря уже про тех, кто не смог посетить офис "Лаборатории Касперского". Именно поэтому мы пригласили Елену ещё раз пообщаться с участниками клуба, на этот раз в формате онлайн
       
      @Lena_Lesnykh готова отвечать на вопросы участников клуба по 18 октября 2024 года включительно. Традиционно интервьюируемой будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
×
×
  • Создать...