Обнаружил уязвимости в Kaspersky Internet Security 7.0.1.321

3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
19

3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
5 Закрытие процесса методом/функцией CloseHande
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
10 Не проверяет процессы с отрицательным
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
15 Убивание процесса утилитой gmer
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
Мой телефон 89039861223

Интересно теперь выслушать, мнения специалистов...

Добрый день, Николай.
[quote=NikolayFirsov;172395]3 Загрузка драйвера из exe файла (есть программа gmer так вот она загружает свой драйвер из ехе файла не через реестр а фиг знает как)
[/quote]
Продемонстрируйте, пожалуйста, не прибегая к фразе "а фиг знает как".

[quote=NikolayFirsov;172395]
5 Закрытие процесса методом/функцией CloseHande
[/quote]
Пришлите мне в личку пример такого кода.

[quote=NikolayFirsov;172395]
7 Не находит вирусы которые скрываются на диске ПО secdir(Secure Folder)
[/quote]
А должен? Эти вирусы действительно могут быть запущены из "ПО secdir(Secure Folder)"?

[quote=NikolayFirsov;172395]
10 Не проверяет процессы с отрицательным
[/quote]
С отрицательным "чем"? В чем заключается "проверка" процесса в Вашем эксперименте?

[quote=NikolayFirsov;172395]
11 Неконтроллируется автозапуск "Documents and Settings\<Имя пользователя>\Главное меню\Программы\Автозагрузка"
[/quote]
Что значит "неконтроллируется"? Напишите список действий, которые необходимо совершить, чтобы воспроизвести Ваш опыт.

[quote=NikolayFirsov;172395]
12 Необнаруживает вирусы которые упакованы в exe файле (с помощью Delphi можно упаковать ехе файл в виде ресурса в ехе файл)
[/quote]
А должен? Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?

[quote=NikolayFirsov;172395]
13 Отключение защиты антивируса методом перехвата API функций (возможно Restore SSDT и Restore code, нада сделать так чтобы было невозможно перехватить, а именно к примеру RemoteThread в SYSTEM(PID-4), как у вас сделанно Thread4:472,476,480,484,488,324)
[/quote]
Что означают эти цифры? Откуда Вы их взяли?

[quote=NikolayFirsov;172395]
15 Убивание процесса утилитой gmer
[/quote]
Вы уже разобрались, как работает утилита gmer?

[quote=NikolayFirsov;172395]
17 Добавление пользователей с правами администратора (Не контролируется команда net user 1 1 /add, net localgroup Administrators 1 /add)
[/quote]
А должна контролироваться?

[quote=NikolayFirsov;172395]
18 Отключение, перезагрузка и выход из системы (Не контролируется команда shutdown)
[/quote]
А должна контролироваться?

[quote=NikolayFirsov;172395]Мой телефон 89039861223[/quote]
[COLOR=blue][FONT=&quot]Kaspersky Lab Ltd,
[/FONT][/COLOR][COLOR=blue][FONT=&quot]10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia[/FONT][/COLOR][COLOR=blue][FONT=&quot]
Phone: +7(495)797-8700
[/FONT][/COLOR][FONT=&quot][URL="http://www.kaspersky.com/"][COLOR=blue]http://www.kaspersky.com[/COLOR][/URL]

P.S. Где остальные цифры приведенного Вами перечня?
[/FONT]

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 48 минут[/I][/B][/color][/size]

[quote=akoK;172422]Интересно теперь выслушать, мнения специалистов...[/quote]
Я списался с NikolayFirsov в привате. В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: [url]http://www.wasm.ru/article.php?article=apihook_3[/url]

[QUOTE=DVi;172560]В качестве доказательства наличия уязвимостей он прислал мне мультики, сделанные кем-то в сентябре 2006 года на старинной версии KAV 6.0 (на мультиках отсутствует номер минорной версии) по мотивам компиляции кодов из этой статьи: [url]http://www.wasm.ru/article.php?article=apihook_3[/url][/QUOTE]
То есть с 7.0.1.321 это никак не связано?

[quote=borka;172721]То есть с 7.0.1.321 это никак не связано?[/quote]

Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) :) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.

[quote=DVi;173049]Все мультики связаны с компиляцией кода с wasm.ru и предварительным запуском полученных модулей в нулевом кольце. Т.е. фактически - это демонстрация руткитоподобных действий. Причем для достижения результата Николай заносит часть модулей в доверенную зону (видно, как срабатывает проактивка) :) Я не знаю, работает ли этот код под 7.0.1.321, потому что не вижу смысла в таких экспериментах.[/quote]

Не все мультики связаны с wasm.ru.
Вот! я про нулевое кольцо в основном, т.к нулевое кольцо--- это полный доступ к системе, к примеру есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует.

часть модулей в доверенную зону--ты про hook.dll? так этот хук от программы camstudio, с помощью неё я записываю мультики.Если не веришь могу переделать мультик и увидешь что за hook.dll
А я знаю что под 7.0.1.321 неработает (т.е не контроллирует)

Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п

[QUOTE=DVi;172560]Разве тело исполняемого файла вируса, лежащее в ресурсах другого исполняемого файла, может нанести какой-либо урон кому-либо?[/QUOTE]параноики вас не поймут :)

[quote=NikolayFirsov;173191] Это опасная уязвимость, т.к можно сделать всё, к примеру убить процесс avp.exe удалить avp.exe и т.д и т.п[/quote]
Из нулевого кольца можно сделать вообще всё.

[quote=NikolayFirsov;173191]есть программа System Safety Monitor, так она контроллирует нулевое кольцо, а kis 7.0.1.321 некоторое не контроллирует[/quote]
1. Это до тех пор, пока вирусописатели не обращают внимание на это программку :wink_3:
2. Так вот чье окно всплывало на мультике поверх КИСа :smile: Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.

[quote=maXmo;173214]параноики вас не поймут :)[/quote]

Я сам делал троян, 2 файла 2 1 файл
хошь тебе на мыло пришлю?
В этом файле 2 файла в виде ресурса
Когда его запускаешь, ресурсы извлекаются в виде файла r_server.exe и admdll.dll в %systemroot%\system32

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=DVi;173582]Из нулевого кольца можно сделать вообще всё.


1. Это до тех пор, пока вирусописатели не обращают внимание на это программку :wink_3:
2. Так вот чье окно всплывало на мультике поверх КИСа :smile: Будьте объективными, делайте чистые эксперименты. Одновременная работа двух перехватчиков с одинаковой функциональностью на одной системе не может гарантировать полноценную эффективность ни одного из них.[/quote]

Так надо заранее делать, нужно обогнать вирусописателей
Скажите Адресс электронной почту разработчика(программиста) который пишет модуль "Проактная защита" или который создаёт файл klif.sys
Он мультики мои поймёт

Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.

Писал DVI
"Из нулевого кольца можно сделать вообще всё"

Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д

И ещё старт драйвера klif.sys позже чем драйвер safemon.sys (Это означает что можно создать вирус и он будет загружаться быстрее и блокировать антивирусный драйвер)
так как у klif.sys стоит start=1 (system) а у safemon.sys стоит start=0 (boot)
Если это непонятно то можно прочитать в книге Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows... 4-е изд. 2005г. 992 стр. ISBN.djv или в хэлпе команде sc create там про параметр старт
Разработчики Касперского знает программу System Safety Monitor? Она по проактивке мощнее и лучше

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Maxim;173987]Почему бы Вам не обратится официально в саппорт? Такие вопросы на форуме не решаются.[/quote]

Это куда дай ссылку обращусь, я просто тут навичок, вот нашёл только человека DVi и больше никог онезнаю
подскажи пожалуйста

Это здесь [url]http://www.kaspersky.ru/support[/url]

[quote=Maxim;173999]Это здесь [URL]http://www.kaspersky.ru/support[/URL][/quote]


там нужно как то зарегистрироваться. Как получить код активации
[URL]https://activation.kaspersky.com/[/URL]
Я ввожу любой пишет неверно
а какой писать тогда?

[QUOTE=NikolayFirsov;173993]Писал DVI
"Из нулевого кольца можно сделать вообще всё"
Так надо поставить контроль на нулевое кольцо (контроль запуска драйверов, физический доступ к диску, физический доступ к памяти, физический доступ к реестру[сам придумал про физ доступ реестр, но вдруг такая функция есть]) и все дела
Согласен, но можно контроль поставить, блокировать и т.д [/QUOTE]
Ага, и весить как полвинды при этом... И тормозить так же.

[quote=borka;174167]Ага, и весить как полвинды при этом... И тормозить так же.[/quote]

Вот System Safety Monitor что она весит как пол винды?, она мега 5 6 весит, и не тормазит а очень быстро грузиться и реагирует
Качните её протестируйте много нового узнаете

Как получить код активации на
[URL]https://activation.kaspersky.com/[/URL] ?
подскажите

Укажите "Проблема с ключом", тогда он не потребуется. Дальше расскажите о своих намерениях, мол не пользуюсь вашим антивирусом, в результате таких-то тестов нашел такие-то уязвимости.

Сорри, но эта тема напоминает "звонок хакера в ЛК". Ходила такая mp3-шка.

System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.

[QUOTE=Surfer;174533]System Safety Monitor вызывает очень много алертов, по крайней мере раньше вызавала. А у каспера сейчас задача - наоборот минимизировать их кол-во, чтобы и для домохозяйки сгодилось.[/QUOTE]

Это не возможно. Для домохозяек нужно чтоб антивирус все на автомате делал... то есть без алертов. Но проактивная зашита как рас и рассчитана на действия от пользователя. В итоге получаем, что если пользователь разбирается то и получает более качественную защиту, а если нет то стандартную "на автомате". Для домохозяйки сейчас и так "Базовая защита" введена, в ней проактивная защита на половину отключена.