Перейти к содержанию

вопрос по синтетическому тесту


Рекомендуемые сообщения

Только что спустился на первый этаж и случайно встретил тестировщика HIPS. :) Задал ему все вопросы по этой теме и, наконец, разобрался в механизме работы.

 

В общем, дизайн продукта такой:

1. Продукт контролирует в данном случае саму секцию в реестре

2. Продукт видит, что меняется ссылка с библиотеки А, которая доверенная в KSN на библиотеку Б, которая тоже доверенная в KSN. А потом происходит обратная операция

3. Продукт разрешает такую замену ссылки

Если бы CLT добавлял стороннюю библиотеку или пытался заменить на библиотеку, которая не значится как супер-доверенная в KSN (почти всё из состава Windows является супер-доверенным), тогда бы он посмотрел, кто именно пытается сделать эту операцию.

 

Мне такой дизайн показался спорным. Но, по утверждению тестировщика, вредоносов, которые бы удовлетворяли условиям (имели бы свои доверенные библиотеки и меняли ссылки) не существует в природе.

 

Как провести этот тест самому? По идее можно написать скрипт или программу, которая бы проделывала такие же операции, но заменяла ссылки не на системные доверенные библитеки, а на какие-нибудь ваши тестовые. Сам я это проверить не могу, т.к. не имею Windows и не желаю его ставить :)

Ссылка на комментарий
Поделиться на другие сайты

@Umnik,

конечно огромное спасибо Вам за помощь и попытки разобраться. всё становится ещё непонятнее. значит ограниченное приложение меняет в реестре ссылки на системные библиотеки. и именно из-за того, что эти библиотеки доверенные HIPS никак на это не реагирует. значит выходит, ограниченное приложение творит со списком в реестре что захочет.  при этом зловредов, осуществляющих такие операции не существует. значит в Comodo не понимают этого и создают такой дурацкий тест на изменение KnownDlls. как-то всё это не клеится со здравым смыслом, вам не кажется?

(задал тот же вопрос на оффоруме. Maratka отвечал мне что-то похожее. опять же про доверенные DLL-библиотеки и про то, что при тестировании CLT обращается к системной либе advapi32.dll. моя проверка показала, что это действительно так, именно эта либа участвует в тесте на инъекцию KnownDlls)


@Umnik

и как это вяжется с этим скриншотом??? по-моему отлично видно - в реестре всё под контролем!

post-50757-0-56901000-1540397876_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Тут механизм другой. Сначала проверяется, что и на что заменяется. Вот если замена будет на что-то, что не является доверенным, тогда проверится, КТО попытался это сделать. И к нему будут применены правила, заданные в таблице.

 

Я предполагаю, что это было сделано для инсталляторов. Не знаю как сейчас, а раньше доверенные инсталляторы создавали временные файлы, которые не были доверенными и которые были уникальны на каждом запуске инсталлятора. И тогда установка условного MS Office обламывалась бы, когда Офис попытался бы прописать свои библиотеки, ведь прописывать их будет временный файл, не проходящий как доверенный. Но вот текущая реализация позволяет Офису установиться спокойно, т.к. пропишет он библиотеки, которые стабильны и живут в Доверенных.

 

Это моё предположение. Может быть причины были в другом. Но не просто так поведение именно такое.

Ссылка на комментарий
Поделиться на другие сайты

в общем результат примерно такой. вот как HIPS Comodo проходит этот тест (скриншоты). Вот какой алерт появляется - на попытку доступа к так называемому "защищённому COM-интерфейсу" advapi32.dll. Как раз advapi32.dll  предоставляет пользовательским приложениям специальные функции доступа к реестру.  Кликнешь "Разрешить" в алерте Comodo, и получим уязвимость.  Всё говорит о том, что в  "Контроле программ" KIS  доступ к COM-интерфейсам вообще не контролируется.

post-50757-0-63437900-1540462712_thumb.png

post-50757-0-18024700-1540462723_thumb.png

post-50757-0-00580300-1540462730_thumb.png

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

"Разрешить" в алерте Comodo, и получим уязвимость.

странно если было бы по другому на тесте который они специально заточили под свои наработки с целью рекламы своего продукта.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

 

 


странно если было бы по другому на тесте который они специально заточили под свои наработки с целью рекламы своего продукта.

вы хотите сказать, что этот маленький этапчик теста на изменение KnownDlls заточили с целью рекламы своего продукта? остальные этапы теста несовершенный HIPS KIS проходит ведь абсолютно нормально! весьма странное решение) 

Ссылка на комментарий
Поделиться на другие сайты

@ossa, а как тогда Комодо в таком режиме реагирует на установку крупных популярных пакетов — Офиса, Фотошопа и подобных? Алертит или всё же позволяет заведомо чистому работать?

Ссылка на комментарий
Поделиться на другие сайты

 

 


вы хотите сказать, что этот маленький этапчик теста на изменение KnownDlls заточили с целью рекламы своего продукта?
я хочу сказать, что всю прогу заточили для рекламы своего продукта. Так что их прога проходит все этапа ихнего теста само собой разумеется. А другие продукты совсем не обязаны блокировать точно также как блокирует их комод.
Ссылка на комментарий
Поделиться на другие сайты

@regist

а других продуктов с классическим HIPS только два - Zone Alarm и Kaspersky. Так что от такой конкурентной рекламы сильно они не выиграют.

Ссылка на комментарий
Поделиться на другие сайты

парни, здесь дело пока даже не в доверенности или недоверенности приложений. вы поймите, что подключившись к защищённому COM-интерфейсу программа получает повышение привилегий. 

расширенная библиотека API-сервисов advapi32.dll является важным системным процессом Windows, который предназначен для поддержки нескольких API, включая вызовы для параметров безопасности и реестра. 32-разрядная версия этого файла отвечает за перезапуск и завершение работы системы, реестр Windows, управление учетными записями пользователей и запуск, остановку и создание служб Windows.

это действие должно контролироваться HIPS как попытка подключения к защищённому программному интерфейсу системы, однозначно

Изменено пользователем ossa
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года подходит к концу. В завершении года мы позвали на интервью эксперта по тому продукту, которым пользуются многие участники клуба – Kaspersky Password Manager.
       
      Какие новые функции в менеджере паролей появились в последнее время? Сколько аккаунтов хранит в Kaspersky Password Manager среднестатистический пользователь? Без какого функционала, предложенного в ходе форумного бета-тестирования, сегодня невозможно представить менеджер паролей?
       
      Ответы на эти и многие другие вопросы знает Алексей Тодираш, менеджер продукта Kaspersky Password Manager.
       
      @Алексей Тодираш готов отвечать на вопросы участников клуба по 20 декабря 2024 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • wumbo12
      От wumbo12
      Тестирование Kaspersky Standard (19.09.2024):
      Это последняя версия Касперского Standard.
      Протестировано на 500 образцах вредоносного ПО из разных источников:
      Образцы не старше 30 и не новее 10 дней.
      Все образцы имеют не менее 15 обнаружений на VirusTotal по состоянию на 18 сентября 2024 г.
      Все примеры представлены в формате .exe, предназначенном для работы в 64-разрядной и 11-разрядной версиях Windows.
      Все настройки установлены по умолчанию, имитируя установку по принципу «установил и забыл».
      Статистика обнаружения:
      Обнаружение файлов при статическом сканировании: 360/500 (коэффициент обнаружения 72,0%)
      Обнаружено выполненных файлов: 438/500 (коэффициент обнаружения 87,6%)
      Сканеры второго мнения после очистки временных файлов:
      Sophos/HitmanPro — 17 обнаружений + 20 PUA
      Emsisoft — 13 обнаружений
      Norton PE — 35 обнаружений
      Полная проверка Касперского — 0 обнаружений после заражения
       
      Видео отчет :
       
      https://dosya.co/kux5af99wt76/Kaspersky_Test_Final_9-19-2024.mp4.html
       
    • igrok52
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • MiStr
      От MiStr
      Цикл интервью с экспертами "Лаборатории Касперского" сезона 2024 года возобновляется
       
      На прошедшей в стенах "Лаборатории Касперского"  встрече , приуроченной к 18-летию Kaspersky Club, участники клуба пообщались с Еленой Лесных, старшим продуктовым маркетологом в подразделении мобильных продуктов в продуктовом маркетинге B2C. Елена рассказала о том, как была усилена защита от киберугроз и мошенников в последних обновлениях мобильной версии Kaspersky и Kaspersky Who Calls.
       
      Выступление Елены и её коллеги Никиты вызвало большой интерес у участников клуба. Не все присутствующие на встрече смогли задать свои вопросы, не говоря уже про тех, кто не смог посетить офис "Лаборатории Касперского". Именно поэтому мы пригласили Елену ещё раз пообщаться с участниками клуба, на этот раз в формате онлайн
       
      @Lena_Lesnykh готова отвечать на вопросы участников клуба по 18 октября 2024 года включительно. Традиционно интервьюируемой будет выбран лучший вопрос, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.
       

       
       
×
×
  • Создать...