-
KIS 2010: версия новая, баги старые
Дата публикации 29.09.2009 Автор: priv8v
Прежде чем говорить о каких-то багах и уязвимостях необходимо разобраться в том, где мы их будем искать, что именно считать багой, как работает данный продукт и какая у него философия принятия тех или иных решений. Часто бывает, что некоторые "неудобности" АВ-компании не признают и прикрывают их как угодно - начиная от удаления топика на форуме, заканчивая пафосными словами "такова политика компании". Но не все так просто - чаще всего, находимые баги, таковыми не являются, например, какой толк искать баги фаервола у Dr.Web'a, если у него никогда и в помине не было сетевого экрана? Еще очень популярно находить такой псевдо-баг: через Process Explorer баловаться с процессами антивируса, а то, что эта утилита от Руссиновича добавлена в доверенные приложения даже у самого ленивого антивируса, "дыроискателя" совершенно не волнует.
Этими двумя небольшими примерами я лишь напоминаю читателю о том, что необходимо сперва разобраться в технологии/продукте, а не с ходу начинать кидаться тухлыми помидорами в сторону какого-то антивируса, тем самым, показывая свое полное невежество. Именно поэтому нужно сначала сделать небольшой ликбез об исследуемой технологии и АВ-продукте в общих чертах.
Начнем с философии работы продукта
Продукт нацелен на людей, у которых знание компьютера стремится к нулю, в народе таких людей называют домохозяйками. Сегодня очень модно все продукты затачивать именно под них и под геймеров - антивирус должен быть быстрым и молчаливым, а все остальное отодвигается на второй план. Начиная с 2009 версии эта тенденция наблюдается и у Антивируса Касперского, если KIS 7 своим поведенческим анализатором ругался и спрашивал о всем, что только можно, независимо от того, что за программа "шалит" в системе, то KIS 8 уже на настройках по умолчанию был куда тише своего предшественника. Он даже перестал поросенком визжать, дабы не расшатывать нервы домохозяйки, которые и так уже на ладан дышат. Такая скромность со стороны антивируса стала возможна благодаря Зайцеву Олегу (большинству известен как разработчик AVZ), который вывел эмулятор на достаточно приличный уровень и "заведует" его правилами. Эмулятор является одной из ключевых преград на пути вредоносного ПО - при первом запуске он анализирует "в уме" приложение (его действия в системе) и выносит вердикт - разрешать запуск или нет. Приложению присваивается какой-то индекс опасности - в зависимости от него приложение попадает в какую-то из групп по ограничению действий в системе - в зависимости от того, в какую группу попадает приложение, ему разрешаются те или иные действия в системе.
Читать далее..
Последний раз редактировалось anton_dr; 30.09.2009 в 22:02.
Причина: Чуть дополнил входные данные
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скорее всего опять проблемы с повышенной нагрузкой на систему. Да и наверняка эвристика опять не на высоте, без свежих баз.
-
Чую, что сейчас тут понапишут всякого бреда (даже не перейдя по ссылке чтобы прочитать статью), поэтому вкратце расскажу о чем статья и для чего написана:
1). Статья посвящена методам обхода эмулятора КИСа 2009 и 2010. Рассмотрены несколько простых способов его обхода (его обход дает практически безграничную свободу в системе).
2). Опубликовал я лишь те методы, которые лежат на поверхности - они бросятся в глаза при первых же набросках в блокноте - главное хотя бы поверхностно понимать как работает эмулятор, тогда и эти способы будут воплощены в виде кода в первых же 10 разных семплах для тестирования эмулятора.
3). Надеюсь, что теперь Зайцеву Олегу и другим разработчикам не выйдет отмахиваться от бета-тестеров предлагающих для тестирования каких-то компонент бат-файлы под предлогом "дайте нам ехе-файл, а не батник - ведь батник использует только админ, а мы не хотим вязать ему руки".
4). Различные нехорошие действия в системе возможны, но их отметают (тот же Олег) с криком наподобие "дайте нам один ехе-файл, который это будет делать и пусть он обойдет наш супер-эмулятор" - надеюсь, что теперь подобных кривляний душой они делать не будут.
5). Теперь подробнее о технологиях в статье:
"Пятая колонна" - за изложенный тут материал хочется немного оторвать голову разработчикам. Сколько лет назад ребята из ЛК обещали подружиться с батниками? Давно. Видимо дальше обещаний не пошли. Так что это не способ обхода, а боян, которым всегда кидаются в ЛК, но никто почему-то не сообразил, что кидаться нужно не батниками, а pe-файлами, которые используют comspec.
"Дыра размером с окно" - тут и так все ясно. Про GUI-приложения и рассуждать нечего. Данное решение просто витает в воздухе вокруг моего монитора - мне нужно было его лишь запечатать. Обсуждать тут нечего. Все и так ясно.
"Прощай, немытый WinApi..." - на правах бреда. С этим никто возиться не будет и дальше лабораторного эксперимента это вряд ли пойдет.
"РЕ-файлы бывают разные - желтые, зеленые, красные..." - либа. Одним словом. Почему весь код должен быть в файле? Код может выполниться до передачи на EP и после reta. Это очевидно.
"Stupid user" - а это вообще не метод, а недоразумение.
6). Очень надеюсь на то, что данную статью заметят не только хакеры, но и бета-тестеры ЛК - так им будет проще воевать с разработчиками, которые отмахиваются от них, а сами некоторое из того от чего отмахнулись мотают на ус.
7). Для благих целей буду оказывать всяческую помощь и поддержку бета-тестерам по вопросам, касающимся этой статьи (исходники, непонятки, вопросы, предложения и др.)
-
Сообщение от
priv8v
Сколько лет назад ребята из ЛК обещали подружиться с батниками? Давно.
В принципе, ничего нового для разработчиков в статье, действительно, нет. Насколько мне известно, хоть какие-то технологии для борьбы с батниками сейчас имеет только КИС. Это технологии пока не идеальны, но у конкурентов нет и таких.
Сообщение от
priv8v
хочется немного оторвать голову разработчикам ... теперь Зайцеву Олегу ... не выйдет отмахиваться ... (тот же Олег) с криком ... кривляний душой
В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо. Как на это реагировать, пусть решает команда Вирусинфо.
-
-
Сообщение от
DVi
В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо. Как на это реагировать, пусть решает команда Вирусинфо.
DVi справедливости ради надо отметить, что про "кривлянье души" в статье ничего не говорилось. Про Олега там было сказано:
...Такая скромность со стороны антивируса стала возможна благодаря Зайцеву Олегу (большинству известен как разработчик AVZ), который вывел эмулятор на достаточно приличный уровень и "заведует" его правилами..... т.е. оскорбления через средства массовой информации - журнал "Хакер" не было. По поводу высказывания про "кривлянье души" здесь на форуме, мне думается надо обсудить, но только не в этой теме, а закрытом разделе.
-
-
Справедливости ради, имя Олега упомянуто всуе, т.к. он не "выводил эмулятор" и не "заведует его правилами".
-
-
В принципе, ничего нового для разработчиков в статье, действительно, нет.
Рад, что мой расчет оправдался.
Насколько мне известно, хоть какие-то технологии для борьбы с батниками сейчас имеет только КИС. Это технологии пока не идеальны, но у конкурентов нет и таких.
Главное не засните на лаврах. Сонар2 не дремлет, а развивается. "Головокружение от успехов" - опасная вещь.
В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо.
Ваши слова не выдерживают никакой критики. Парировать это можно с ходу примерно так:
1). СМИ - сайт хакера. В статье (которая размещена на хакере) про Олега есть слова о том, что благодаря ему эмулятор сегодня на хорошем уровне - оскорблением это считать нельзя. Этим я лишь выразил свое уважение к Олегу.
2). Членом команды ВИ, насколько понимаю, я не являюсь. Во-первых, это видно даже из моего статуса - "Внешний специалист". Это четко подчеркивает каково мое положение на ВИ. Во-вторых, я общаюсь буквально с тремя людьми с ВИ - с остальными я не знаком.
Все.
Справедливости ради, имя Олега упомянуто всуе, т.к. он не "выводил эмулятор" и не "заведует его правилами".
В статье я упомянул свой любимый форум (вирусинфо) и упомянул специалиста, которого считаю лучшим. Что в этом плохого? Упомянул в хорошем контексте. А про то, что Олег не имеет отношения к правилам эмулятора (или не имел) - рассказывайте кому-нибудь другому.
Теперь отдельно о "кривлянии душой":
Некоторые бета-тестеры, просто тестеры, просто люди... иногда пытаются написать о минусах продукта, о том, что можно в системе сделать "то-то и то-то нехорошее", но описывают это либо на словах, либо с помощью процесс_эксплорера, либо с помощью батника. На что они получают один и тот же ответ: "это так и задумано. вот попробуйте реализовать это в виде pe-файла и сразу увидите как эмулятор сработает!". Имел в виду это.
-
Сообщение от
priv8v
Рад, что мой расчет оправдался.
Если хотите действительно сделать что-то хорошее, пишите мне в личку.
Данная же публикация выглядит непривлекательно.
-
-
Если хотите действительно сделать что-то хорошее, пишите мне в личку.
Имеете в виду написание в ЛС всех наработок по этой теме?
Многие задумки по технологиям находятся в зачаточных состояниях, другие - не далеко ушли от вышеперечисленных (т.е о них точно известно, т.к они лежат на поверхности), третьи - на этапе разработки. В любом случае я очень устал - на все_про_все у меня ушло несколько вечеров на ковыряние в отладчкие и масме (около 20 часов) + 4 часа на написание статьи. Мне это надоело. Не обещаю, что в ближайшие дни смогу довести до конца начатое - нужно отдохнуть (увлечься чем-то другим компьютерным, а потом вернуться к этой теме).
PS: когда можно обновить будет антивирус и прогнать на итоговых семплах, дабы увидеть, что их индекс опасности приблизился к сотне?