-
Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321
3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
19
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321
3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
Мой телефон 89039861223
-
Интересно теперь выслушать, мнения специалистов...
Microsoft Most Valuable Professional in Consumer Security
-
Добрый день, Николай.
Сообщение от
NikolayFirsov
3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
Продемонстрируйте, пожалуйста, не прибегая к фразе "а фиг знает как".
Сообщение от
NikolayFirsov
5 Закрытие процесса методом/функцией CloseHande
Пришлите мне в личку пример такого кода.
Сообщение от
NikolayFirsov
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
А должен? Эти вирусы действительно могут быть запущены из "ПО secdir(Secure Folder)"?
Сообщение от
NikolayFirsov
10 Не проверяет процессы с отрицательным
С отрицательным "чем"? В чем заключается "проверка" процесса в Вашем эксперименте?
Сообщение от
NikolayFirsov
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
Что значит "неконтроллируется"? Напишите список действий, которые необходимо совершить, чтобы воспроизвести Ваш опыт.
Сообщение от
NikolayFirsov
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
А должен? Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?
Сообщение от
NikolayFirsov
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
Что означают эти цифры? Откуда Вы их взяли?
Сообщение от
NikolayFirsov
15 Убивание процесса утилитой gmer
Вы уже разобрались, как работает утилита gmer?
Сообщение от
NikolayFirsov
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
А должна контролироваться?
Сообщение от
NikolayFirsov
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
А должна контролироваться?
Сообщение от
NikolayFirsov
Мой телефон 89039861223
Kaspersky Lab Ltd,
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Phone: +7(495)797-8700
http://www.kaspersky.com
P.S. Где остальные цифры приведенного Вами перечня?
Добавлено через 3 часа 48 минут
Сообщение от
akoK
Интересно теперь выслушать, мнения специалистов...
Я списался с NikolayFirsov в привате. В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: http://www.wasm.ru/article.php?article=apihook_3
Последний раз редактировалось DVi; 15.01.2008 в 20:20.
Причина: Добавлено
-
-
Сообщение от
DVi
В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи:
http://www.wasm.ru/article.php?article=apihook_3
То есть с 7.0.1.321 это никак не связано?
-
Сообщение от
borka
То есть с 7.0.1.321 это никак не связано?
Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.
-
-
Сообщение от
DVi
Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка)
Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.
Не все мультики связаны с wasm.ru.
Вот! я про нулевое кольцо в основном, т.к нулевое кольцо--- это полный доступ к системе, к примеру есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует.
часть модулей в доверенную зону--ты про hook.dll? так этот хук от программы camstudio, с помощью неё я записываю мультики.Если не веришь могу переделать мультик и увидешь что за hook.dll
А я знаю что под 7.0.1.321 неработает (т.е не контроллирует)
Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п
-
Сообщение от
DVi
Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?
параноики вас не поймут
-
-
Сообщение от
NikolayFirsov
Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п
Из нулевого кольца можно сделать вообще всё.
Сообщение от
NikolayFirsov
есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует
1. Это до тех пор, пока вирусописатели не обращают внимание на это программку
2. Так вот чье окно всплывало на мультике поверх КИСа Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.
-
-
Сообщение от
maXmo
параноики вас не поймут
Я сам делал троян, 2 файла 2 1 файл
хошь тебе на мыло пришлю?
В этом файле 2 файла в виде ресурса
Когда его запускаешь, ресурсы извлекаются в виде файла r_server.exe и admdll.dll в %systemroot%\system32
Добавлено через 2 минуты
Сообщение от
DVi
Из нулевого кольца можно сделать вообще всё.
1. Это до тех пор, пока вирусописатели не обращают внимание на это программку
2. Так вот чье окно всплывало на мультике поверх КИСа
Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.
Так надо заранее делать, нужно обогнать вирусописателей
Скажите Адресс электронной почту разработчика(программиста) который пишет модуль "Проактная защита" или который создаёт файл klif.sys
Он мультики мои поймёт
Последний раз редактировалось NikolayFirsov; 17.01.2008 в 20:17.
Причина: Добавлено
-
Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.
-
-
Писал DVI
"Из нулевого кольца можно сделать вообще всё"
Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д
И ещё старт драйвера klif.sys позже чем драйвер safemon.sys (Это означает что можно создать вирус и он будет загружаться быстрее и блокировать антивирусный драйвер)
так как у klif.sys стоит start=1 (system) а у safemon.sys стоит start=0 (boot)
Если это непонятно то можно прочитать в книге Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows... 4-е изд. 2005г. 992 стр. ISBN.djv или в хэлпе команде sc create там про параметр старт
Разработчики Касперского знает программу System Safety Monitor? Она по проактивке мощнее и лучше
Добавлено через 1 минуту
Сообщение от
Maxim
Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.
Это куда дай ссылку обращусь, я просто тут навичок, вот нашёл только человека DVi и больше никог онезнаю
подскажи пожалуйста
Последний раз редактировалось NikolayFirsov; 17.01.2008 в 20:33.
Причина: Добавлено
-
-
-
Сообщение от
Maxim
там нужно как то зарегистрироваться. Как получить код активации
https://activation.kaspersky.com/
Я ввожу любой пишет неверно
а какой писать тогда?
-
Сообщение от
NikolayFirsov
Писал DVI
"Из нулевого кольца можно сделать вообще всё"
Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д
Ага, и весить как полвинды при этом... И тормозить так же.
-
Сообщение от
borka
Ага, и весить как полвинды при этом... И тормозить так же.
Вот System Safety Monitor что она весит как пол винды?, она мега 5 6 весит, и не тормазит а очень быстро грузиться и реагирует
Качните её протестируйте много нового узнаете
Как получить код активации на
https://activation.kaspersky.com/ ?
подскажите
-
Укажите "Проблема с ключом", тогда он не потребуется. Дальше расскажите о своих намерениях, мол не пользуюсь вашим антивирусом, в результате таких-то тестов нашел такие-то уязвимости.
-
-
Сорри, но эта тема напоминает "звонок хакера в ЛК". Ходила такая mp3-шка.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.
-
-
Сообщение от
Surfer
System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.
Это не возможно. Для домохозяек нужно чтоб антивирус все на автомате делал... то есть без алертов. Но проактивная зашита как рас и рассчитана на действия от пользователя. В итоге получаем, что если пользователь разбирается то и получает более качественную защиту, а если нет то стандартную "на автомате". Для домохозяйки сейчас и так "Базовая защита" введена, в ней проактивная защита на половину отключена.
-