Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0

    Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321

    3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
    5 Закрытие процесса методом/функцией CloseHande
    7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
    10 Не проверяет процессы с отрицательным
    11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
    12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
    13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
    15 Убивание процесса утилитой gmer
    17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
    18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
    19

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0

    Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321

    3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
    5 Закрытие процесса методом/функцией CloseHande
    7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
    10 Не проверяет процессы с отрицательным
    11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
    12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
    13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
    15 Убивание процесса утилитой gmer
    17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
    18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
    Мой телефон 89039861223

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Интересно теперь выслушать, мнения специалистов...
    Microsoft Most Valuable Professional in Consumer Security

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Добрый день, Николай.
    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
    Продемонстрируйте, пожалуйста, не прибегая к фразе "а фиг знает как".

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    5 Закрытие процесса методом/функцией CloseHande
    Пришлите мне в личку пример такого кода.

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
    А должен? Эти вирусы действительно могут быть запущены из "ПО secdir(Secure Folder)"?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    10 Не проверяет процессы с отрицательным
    С отрицательным "чем"? В чем заключается "проверка" процесса в Вашем эксперименте?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
    Что значит "неконтроллируется"? Напишите список действий, которые необходимо совершить, чтобы воспроизвести Ваш опыт.

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
    А должен? Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
    Что означают эти цифры? Откуда Вы их взяли?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    15 Убивание процесса утилитой gmer
    Вы уже разобрались, как работает утилита gmer?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
    А должна контролироваться?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
    А должна контролироваться?

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    Мой телефон 89039861223
    Kaspersky Lab Ltd,
    10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
    Phone: +7(495)797-8700
    http://www.kaspersky.com

    P.S. Где остальные цифры приведенного Вами перечня?


    Добавлено через 3 часа 48 минут

    Цитата Сообщение от akoK Посмотреть сообщение
    Интересно теперь выслушать, мнения специалистов...
    Я списался с NikolayFirsov в привате. В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: http://www.wasm.ru/article.php?article=apihook_3
    Последний раз редактировалось DVi; 15.01.2008 в 20:20. Причина: Добавлено

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от DVi Посмотреть сообщение
    В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: http://www.wasm.ru/article.php?article=apihook_3
    То есть с 7.0.1.321 это никак не связано?
    ---
    С уважением,
    Borka.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от borka Посмотреть сообщение
    То есть с 7.0.1.321 это никак не связано?
    Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от DVi Посмотреть сообщение
    Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.
    Не все мультики связаны с wasm.ru.
    Вот! я про нулевое кольцо в основном, т.к нулевое кольцо--- это полный доступ к системе, к примеру есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует.

    часть модулей в доверенную зону--ты про hook.dll? так этот хук от программы camstudio, с помощью неё я записываю мультики.Если не веришь могу переделать мультик и увидешь что за hook.dll
    А я знаю что под 7.0.1.321 неработает (т.е не контроллирует)

    Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Цитата Сообщение от DVi Посмотреть сообщение
    Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?
    параноики вас не поймут

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п
    Из нулевого кольца можно сделать вообще всё.

    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует
    1. Это до тех пор, пока вирусописатели не обращают внимание на это программку
    2. Так вот чье окно всплывало на мультике поверх КИСа Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от maXmo Посмотреть сообщение
    параноики вас не поймут
    Я сам делал троян, 2 файла 2 1 файл
    хошь тебе на мыло пришлю?
    В этом файле 2 файла в виде ресурса
    Когда его запускаешь, ресурсы извлекаются в виде файла r_server.exe и admdll.dll в %systemroot%\system32

    Добавлено через 2 минуты

    Цитата Сообщение от DVi Посмотреть сообщение
    Из нулевого кольца можно сделать вообще всё.


    1. Это до тех пор, пока вирусописатели не обращают внимание на это программку
    2. Так вот чье окно всплывало на мультике поверх КИСа Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.
    Так надо заранее делать, нужно обогнать вирусописателей
    Скажите Адресс электронной почту разработчика(программиста) который пишет модуль "Проактная защита" или который создаёт файл klif.sys
    Он мультики мои поймёт
    Последний раз редактировалось NikolayFirsov; 17.01.2008 в 20:17. Причина: Добавлено

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Писал DVI
    "Из нулевого кольца можно сделать вообще всё"

    Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
    Согласен, но можно контроль поставить, блокировать и т.д

    И ещё старт драйвера klif.sys позже чем драйвер safemon.sys (Это означает что можно создать вирус и он будет загружаться быстрее и блокировать антивирусный драйвер)
    так как у klif.sys стоит start=1 (system) а у safemon.sys стоит start=0 (boot)
    Если это непонятно то можно прочитать в книге Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows... 4-е изд. 2005г. 992 стр. ISBN.djv или в хэлпе команде sc create там про параметр старт
    Разработчики Касперского знает программу System Safety Monitor? Она по проактивке мощнее и лучше

    Добавлено через 1 минуту

    Цитата Сообщение от Maxim Посмотреть сообщение
    Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.
    Это куда дай ссылку обращусь, я просто тут навичок, вот нашёл только человека DVi и больше никог онезнаю
    подскажи пожалуйста
    Последний раз редактировалось NikolayFirsov; 17.01.2008 в 20:33. Причина: Добавлено

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от Maxim Посмотреть сообщение

    там нужно как то зарегистрироваться. Как получить код активации
    https://activation.kaspersky.com/
    Я ввожу любой пишет неверно
    а какой писать тогда?

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    Писал DVI
    "Из нулевого кольца можно сделать вообще всё"
    Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
    Согласен, но можно контроль поставить, блокировать и т.д
    Ага, и весить как полвинды при этом... И тормозить так же.
    ---
    С уважением,
    Borka.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от borka Посмотреть сообщение
    Ага, и весить как полвинды при этом... И тормозить так же.
    Вот System Safety Monitor что она весит как пол винды?, она мега 5 6 весит, и не тормазит а очень быстро грузиться и реагирует
    Качните её протестируйте много нового узнаете

    Как получить код активации на
    https://activation.kaspersky.com/ ?
    подскажите

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Укажите "Проблема с ключом", тогда он не потребуется. Дальше расскажите о своих намерениях, мол не пользуюсь вашим антивирусом, в результате таких-то тестов нашел такие-то уязвимости.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Сорри, но эта тема напоминает "звонок хакера в ЛК". Ходила такая mp3-шка.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от Surfer Посмотреть сообщение
    System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.
    Это не возможно. Для домохозяек нужно чтоб антивирус все на автомате делал... то есть без алертов. Но проактивная зашита как рас и рассчитана на действия от пользователя. В итоге получаем, что если пользователь разбирается то и получает более качественную защиту, а если нет то стандартную "на автомате". Для домохозяйки сейчас и так "Базовая защита" введена, в ней проактивная защита на половину отключена.

Страница 1 из 3 123 Последняя

Похожие темы

  1. Internet Security обнаружил вредоносное ПО
    От Shest в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 23.01.2010, 17:36
  2. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
    От Hanson в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 25.10.2008, 02:41
  3. Ответов: 60
    Последнее сообщение: 19.07.2008, 20:05
  4. Ответов: 52
    Последнее сообщение: 16.05.2008, 07:59
  5. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
    От MaxQ в разделе Антивирусы
    Ответов: 53
    Последнее сообщение: 13.04.2008, 16:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01229 seconds with 19 queries