Friend 1 251 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 @ossa, форум бета-теста: https://eap.kaspersky.com/, проверять лучше сразу на последней бета версии https://eap.kaspersky.com/topic/610/kav-kis-kts-ks-kfa-ksos-20-0-0-607 Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 24 октября, 2018 Share Опубликовано 24 октября, 2018 Только что спустился на первый этаж и случайно встретил тестировщика HIPS. Задал ему все вопросы по этой теме и, наконец, разобрался в механизме работы. В общем, дизайн продукта такой: 1. Продукт контролирует в данном случае саму секцию в реестре 2. Продукт видит, что меняется ссылка с библиотеки А, которая доверенная в KSN на библиотеку Б, которая тоже доверенная в KSN. А потом происходит обратная операция 3. Продукт разрешает такую замену ссылки Если бы CLT добавлял стороннюю библиотеку или пытался заменить на библиотеку, которая не значится как супер-доверенная в KSN (почти всё из состава Windows является супер-доверенным), тогда бы он посмотрел, кто именно пытается сделать эту операцию. Мне такой дизайн показался спорным. Но, по утверждению тестировщика, вредоносов, которые бы удовлетворяли условиям (имели бы свои доверенные библиотеки и меняли ссылки) не существует в природе. Как провести этот тест самому? По идее можно написать скрипт или программу, которая бы проделывала такие же операции, но заменяла ссылки не на системные доверенные библитеки, а на какие-нибудь ваши тестовые. Сам я это проверить не могу, т.к. не имею Windows и не желаю его ставить Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 24 октября, 2018 Автор Share Опубликовано 24 октября, 2018 (изменено) @Umnik, конечно огромное спасибо Вам за помощь и попытки разобраться. всё становится ещё непонятнее. значит ограниченное приложение меняет в реестре ссылки на системные библиотеки. и именно из-за того, что эти библиотеки доверенные HIPS никак на это не реагирует. значит выходит, ограниченное приложение творит со списком в реестре что захочет. при этом зловредов, осуществляющих такие операции не существует. значит в Comodo не понимают этого и создают такой дурацкий тест на изменение KnownDlls. как-то всё это не клеится со здравым смыслом, вам не кажется? (задал тот же вопрос на оффоруме. Maratka отвечал мне что-то похожее. опять же про доверенные DLL-библиотеки и про то, что при тестировании CLT обращается к системной либе advapi32.dll. моя проверка показала, что это действительно так, именно эта либа участвует в тесте на инъекцию KnownDlls) @Umnik, и как это вяжется с этим скриншотом??? по-моему отлично видно - в реестре всё под контролем! Изменено 24 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 Тут механизм другой. Сначала проверяется, что и на что заменяется. Вот если замена будет на что-то, что не является доверенным, тогда проверится, КТО попытался это сделать. И к нему будут применены правила, заданные в таблице. Я предполагаю, что это было сделано для инсталляторов. Не знаю как сейчас, а раньше доверенные инсталляторы создавали временные файлы, которые не были доверенными и которые были уникальны на каждом запуске инсталлятора. И тогда установка условного MS Office обламывалась бы, когда Офис попытался бы прописать свои библиотеки, ведь прописывать их будет временный файл, не проходящий как доверенный. Но вот текущая реализация позволяет Офису установиться спокойно, т.к. пропишет он библиотеки, которые стабильны и живут в Доверенных. Это моё предположение. Может быть причины были в другом. Но не просто так поведение именно такое. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 (изменено) в общем результат примерно такой. вот как HIPS Comodo проходит этот тест (скриншоты). Вот какой алерт появляется - на попытку доступа к так называемому "защищённому COM-интерфейсу" advapi32.dll. Как раз advapi32.dll предоставляет пользовательским приложениям специальные функции доступа к реестру. Кликнешь "Разрешить" в алерте Comodo, и получим уязвимость. Всё говорит о том, что в "Контроле программ" KIS доступ к COM-интерфейсам вообще не контролируется. Изменено 25 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 (изменено) "Разрешить" в алерте Comodo, и получим уязвимость. странно если было бы по другому на тесте который они специально заточили под свои наработки с целью рекламы своего продукта. Изменено 25 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 странно если было бы по другому на тесте который они специально заточили под свои наработки с целью рекламы своего продукта. вы хотите сказать, что этот маленький этапчик теста на изменение KnownDlls заточили с целью рекламы своего продукта? остальные этапы теста несовершенный HIPS KIS проходит ведь абсолютно нормально! весьма странное решение) Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 @ossa, а как тогда Комодо в таком режиме реагирует на установку крупных популярных пакетов — Офиса, Фотошопа и подобных? Алертит или всё же позволяет заведомо чистому работать? Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 @Umnik, Максим Бояренко всё объяснил Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 вы хотите сказать, что этот маленький этапчик теста на изменение KnownDlls заточили с целью рекламы своего продукта? я хочу сказать, что всю прогу заточили для рекламы своего продукта. Так что их прога проходит все этапа ихнего теста само собой разумеется. А другие продукты совсем не обязаны блокировать точно также как блокирует их комод. Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 @regist, а других продуктов с классическим HIPS только два - Zone Alarm и Kaspersky. Так что от такой конкурентной рекламы сильно они не выиграют. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 @ossa, то есть нужно не библиотеки с доверенными подписями и доверием в KSN иметь, а достаточно в Inno Setup три строчки накидать? Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 @Umnik, я не особо понял, о чём вы говорите? можно как-то поразборчивее изъясняться? что куда накидать? не понял Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 @Umnik, так там доверенная и признак установщика. Если были бы или, то да . Цитата Ссылка на сообщение Поделиться на другие сайты
ossa 12 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 (изменено) парни, здесь дело пока даже не в доверенности или недоверенности приложений. вы поймите, что подключившись к защищённому COM-интерфейсу программа получает повышение привилегий. расширенная библиотека API-сервисов advapi32.dll является важным системным процессом Windows, который предназначен для поддержки нескольких API, включая вызовы для параметров безопасности и реестра. 32-разрядная версия этого файла отвечает за перезапуск и завершение работы системы, реестр Windows, управление учетными записями пользователей и запуск, остановку и создание служб Windows. это действие должно контролироваться HIPS как попытка подключения к защищённому программному интерфейсу системы, однозначно Изменено 25 октября, 2018 пользователем ossa Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.