вопрос по синтетическому тесту

[ossa]

@andrew75,

да, вы правы. проверял и не раз. эта либа нужна по крайней мере для имитации создания удалённого потока вызовом функции CreateRemoteThread. 

дело в том, что это синтетический тест. и для прохождения теста на KnownDlls эта либа на самом деле и не нужна, потому что запускать на выполнение её не будут. прошу прощения, что несколько ввёл вас в заблуждение. 

 тест проводится вот до этого момента на скриншоте, как я понимаю. то есть здесь наличие самой модифицированной библиотеки ещё и не нужно. потому что <прыжок в dll.dll> - это значит модифицирование точки входа либы patched_msi.dll таким образом, чтобы она вызывала системную функцию LoadLibrary("dll.dll"). это и есть ввод удалённой dll. то есть обеспечивается просто переход на код либы dll.dll из легитимной библиотеки. меняют ссылки, вот и всё.  далее подмена имени библиотеки в системном кеше и всё, дальше можно не продолжать, остальное просто мелкие нюансы - удаление временной секции и вызов исполнителя для вредоносной либы.

эту подмену спокойно фиксирует пока лишь только SpyShelter Premium. Comodo IS тоже может предотвратить, потому что хотя бы видит попытку  подключения к защищённому COM-интерфейсу неопознанным приложением. Kaspersky IS никак не реагирует вообще.

 

 

ossa,  давно могли установить 2020 версию и оформить как баг на форуме бета-теста, там бы вам уж разработчики все объясняли.

да там по три месяца никому не отвечают, о чём вы говорите? не пойму для кого вообще тот форум соорудили.

да вы не кипятитесь так насчёт надежд на 20-ую версию. если эта функция не работает ещё с прошлого десятилетия, шансов что это исправили практически нет

Изменено 1 ноября, 2018 пользователем ossa

[ossa]

Malware Defender точно также, как и Comodo IS видит попытку доступа к Kernel-mode object - advapi32.dll.

получается подменяют именно эту системную библиотеку на модифицированную

(в смысле меняют её точку входа)

Изменено 2 ноября, 2018 пользователем ossa

[Umnik]

Да ни на какую не модицированную, в этом и суть. Её и прописывают. Вот как она есть. В этом и проблема именно этого теста.

[ossa]

@Umnik,

вы не понимаете, что здесь прописывать вообще ничего не нужно? надо просто поменять точку входа у системной либы и всё. ссылки изменить. в этом тесте даже не проверяется, что там по этой новой ссылке. потому что это не нужно, новая либа даже не будет исполняться здесь!

[Umnik]

Я не понимаю, как ещё объяснить. Что по-твоему происходит, вот прям по шагам, ничего не пропуская. У меня впечатление, что ты пытаешься связать несколько совсем разных вещей и по одной делаешь выводы о другой.

[ossa]

@Umnik,

 1. размещается имя некой неизвестной библиотеки в секции \KnownDlls - "\knowndlls\dll.dll", запись,

     которая предположительно ссылается на вредоносный код

     на это не среагирует ни один HIPS

 2. получаем прямой доступ к Kernel-объекту из секции \KnownDlls - advapi32.dll и её COM-интерфейсу.

     на это и реагируют HIPS Comodo IS и Malware Defender.

  3. теперь можно скопировать эту либу advapi32.dll во временную директорию %Temp%\advapi32.dll.

  4. модифицируем точку входа скопированной либы во временной директории таким образом, чтобы

     она вызывала  функцию Load Library("dll.dll"). точку входа можно задать для любой вновь созданной

     библиотеки без каких-либо проблем.

      5. удаляем из кэша системных библиотек - секции \KnownDlls запись об оригинальной библиотеке

      "\KnownDlls\advapi32.dll".

  6. создаём объект-секция с тем же именем в кэше - \KnownDlls\advapi32.dll, но естественно

      ссылающуюся уже на  модифицированную библиотеку во временной

      директории %Temp%\advapi32.dll.

       на это и реагирует HIPS  SpyShelter Premium

      всё! это и есть подмена системного модуля. теперь при попытке вызова системной

     библиотеки advapi32.dll

      будет  вызываться модифицированная библиотека из временной директории, а значит

      сработает ссылка на

      некую неизвестную либу dll.dll, предположительно с вредоносным кодом. здесь сама эта

      неизвестная либа для

      теста вообще не нужна!

Изменено 2 ноября, 2018 пользователем ossa

[regist]

 

 

3. теперь можно скопировать эту либу advapi32.dll во временную директорию %Temp%\advapi32.dll. 4. модифицируем точку входа скопированной либы во временной директории таким образом, чтобы она вызывала функцию Load Library("dll.dll").

@ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS. То что у комода дефендера на другом этапе алгоритма срабатывает защита это не значит, что их вариант едиственный правильный. Главное ведь чтобы по результату всех этих действий было заблокировано, а на каком шаге не так важно если в итоге результат с модифицированной либой будет одинаков.

 

 

неизвестная либа для теста вообще не нужна!

сами себе противоречите. Она по вашему же алгоритму нужна на четвёртом шаге.

[ossa]

 

 

ossa, а теперь то о чём выше в теме уже не раз писалось. Попробуйте модифицировать и проверить реакцию KIS. То что у комода дефендера на другом этапе алгоритма срабатывает защита это не значит, что их вариант едиственный правильный. Главное ведь чтобы по результату всех этих действий было заблокировано, а на каком шаге не так важно если в итоге результат с модифицированной либой будет одинаков.

да нет никакой реакции KIS! у SpyShelter есть, у KIS нет!  в SpyShelter специально разработанная защита от руткитов, там эта техника с внедрением dll полностью контролируется.

 

 

сами себе противоречите. Она по вашему же алгоритму нужна на четвёртом шаге.

она не нужна ни на 4-м, ни на каком шаге. потому что создание точки входа - это просто создание ссылки на библиотеку. проверять, что там по этой ссылке никто не будет, потому что эта либа во временной директории ещё даже не вызывалась на исполнение!!! что здесь непонятно?

[oit]

А я предлагаю создать тикет в СА, показав работу своего скрипта, который бы все это провернул.

И там получить ответ.

[regist]

показав работу своего скрипта, который бы все это провернул.

так если он создаст такой скрипт, то необходимость с CA отпадёт ибо он увидит, что блокируется .

 

да нет никакой реакции KIS!

Так вы же даже не доходите до проверки этого шага, но при этом уже на 8-й странице утверждаете, что нет. Вам уже не раз написали, сделайте и проверьте. А не рассуждайте "на бумаге".

 

 

потому что эта либа во временной директории ещё даже не вызывалась на исполнение!!! что здесь непонятно?

так как только модифицированная либа вызовется на исполнение, то сразу будет блок. Что вам здесь не понятно? А вы хотите, чтобы её блочили ещё до модификации.

 

 

в SpyShelter

вот опять навызываете чужую технологию. По вашему все антивирусы должны под копирку?

Изменено 2 ноября, 2018 пользователем regist

[ossa]

 

 

Так вы же даже не доходите до проверки этого шага, но при этом уже на 8-й странице утверждаете, что нет. Вам уже не раз написали, сделайте и проверьте. А не рассуждайте "на бумаге".

мне и не надо доходить до этого шага. это вместо меня делает CLT. вы ещё не догадались об этом?

вы вообще понимаете о чём говорите? что значит - сделайте и проверьте? я что программист что ли? я писать команды не умею, потому что на это не учился!

 

 

так как только модифицированная либа вызовется на исполнение, то сразу будет блок. Что вам здесь не понятно? А вы хотите, чтобы её блочили ещё до модификации.

выдумки! сколько неизвестных зловредных либ существует? да сколько угодно. достаточно неизвестному руткиту-зловреду прописать себя во временную директорию в виде dll и зарегистрироваться в кэше системных библиотек. вот и всё, и никакой файловый антивируc его не обнаружит.

 

 

вот опять навызываете чужую технологию. По вашему все антивирусы должны под копирку?

я никому ничего не навязываю, я просто констатировал факт. причём тут копирка? эта фича заявлена в HIPS Kaspersky IS. она не работает, вот и вся копирка.

[andrew75]

По-моему мы пошли по десятому кругу.

ТС упорно не хочет понимать, что ему объясняют.

 

Мне кажется теме пора в беседку, как уже предлагал kmscom.

[ossa]

правильно, в беседку. вот там и будете беседовать про неправильных разработчиков из Comodo, Datpol, Qihoo и прочих, которые своими технологиями не дают жить бедной и несчастной Лаборатории Касперского

Изменено 2 ноября, 2018 пользователем ossa

[regist]

Предлагаю оставить как есть и просто закрыть. Так как нового тут уже ничего не напишут.

Предлагаю оставить как есть и просто закрыть. Так как нового тут уже ничего не напишут.

[Friend]

@ossa, а как проходит этот же тест Eset, Dr.Web, Symantec настройками по умолчанию проверяли?