Особенности реализации защиты сетевого траффика в KAV/KIS 2006

У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.

Например, если запустить nmap на свой IP адрес (nmap.exe -sT -p3128 192.168.0.67) или просто сделать коннект (например - telnet 127.0.0.1 3128) то оба соединятся! При этом "netstat -an" не покажет ничего открытого на 3128 порту.

Таким образом налицо факт того, что порт открыт но в netstat не отображается. Имхо этот факт, AVZ должен обнаруживать, но он этого не обнаруживает (пробовал и "Сервис->Открытые порты TCP" и сканирование с включенным checkbox-ом "Поиск портов TCP ..." в "Параметрах поиска")

Может я что то не так ищу? Или это фича?

2) предложение следующее:
Можно ли при анализе KiST выдавать не только список перехваченных функций, но и отдельный список перехватчиков?
Иначе, когда касперский перехватывает 40 функций не заметить в этом списке файл с названием отличным от klif.sys весьма легко.

[B]to x7273[/B]
Список перехватчиков без повторов сделать несложно, беру на заметку.
Насчет того, что AVZ не видит открытые порты - видимо, такова особенность защиты, которую он создает. У меня на подходе N свежекупленных лицензионных KIS, перед их расстановкой на ПК в конторе я один поставлю себе и изучу детально все его функции.

[QUOTE=x7273]У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.
...[/QUOTE]
На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.

Более того, если [I]netstat[/I] вам ничего не показывает, то и [I]AVZ[/I] покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная (используется один и тот же системный API), и показывают они ровно столько, сколько "позволяет" им показать сам KIS. Попробуйте воспользоваться менее "стандартными" программами (типа [URL="http://www.fyyre.net/~cardmagic"]DarkSpy[/URL]), которые пытаются показывать "скрытые" порты - может статься, что они вам покажут побольше.

А вообще, я бы посоветовал вам обратиться на [URL="http://forum.kaspersky.com"]форум ЛК[/URL] - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и [I]траффикМонитора [/I](компоненты, которая отслеживает трафик в KIS-е), и [I]Анти-Хакера [/I]- в трудных ситуациях они тоже могут помочь.

[QUOTE=aintrust]На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.[/QUOTE]
у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.

[QUOTE=aintrust]Более того, если [I]netstat[/I] вам ничего не показывает, то и [I]AVZ[/I] покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная [/QUOTE]
так я потому и поднял вопрос, что если уж проверять открытость портов то почему бы не делать это не с использованием стандартного API ... имхо искать руткит через стандартный API не самая лучшая идея :)

В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь

[QUOTE=aintrust]А вообще, я бы посоветовал вам обратиться на [URL="http://forum.kaspersky.com"]форум ЛК[/URL] - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и [I]траффикМонитора [/I](компоненты, которая отслеживает трафик в KIS-е), и [I]Анти-Хакера [/I]- в трудных ситуациях они тоже могут помочь.[/QUOTE]
их поддержка - отдельная песня. я там как то задал вопрос по поводу их реализации фильтра в sendmail-е (имхо там была фича, при которой сервер защищенный их способом можно было заюзать для рассылки спама) ... ответа так и не дождался.
при том, что лицензию мы честно, за деньги купили.

[QUOTE=x7273]у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.[/QUOTE]
Насчет KAV6, к сожалению, ничего не могу сказать - я его никогда себе не ставил. Хотя, учитывая, что там должен присутствовать модуль проверки сетевого трафика, то, по идее, должен присутствовать и монитор сетевых соединений... Впрочем, я могу и ошибаться.

Ладно, у меня под руками вроде есть финальная версия KAV6, сейчас не поленюсь и проверю. ;)

[COLOR="Blue"]Проверил. Да, действительно, монитора сетевых соединений в KAV-е нет, однако и [I]netstat[/I], и [I]DarkSpy[/I] показывают одно и тоже, причем абсолютно корректно. AVZ действительно "сносит крышу", но не в смысле того, что он совсем не видит сетевых соединений, а в том, что рисует на месте IP-адресов и портов нечто совершенно непотребное - вполне вероятно, что это глюки перерисовки грида, не знаю... Так что ваше изначальная проблема не подтверждается. Если хотите, давайте перенесем обсуждение в ветку антивирусов (а модераторы, надеюсь, нам помогут в этом, перенеся наши сообщения туда).[/COLOR]

[QUOTE=x7273]В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь[/QUOTE]
Нет, так, конечно, никто делать не станет.

[QUOTE=x7273]их поддержка - отдельная песня.
...
[/QUOTE]
В данном случае я имел ввиду не поддержку, и именно форум - раньше (во время бета-тестирования 6-й линейки продуктов - KIS и KAV) мне там приходилось довольно часто бывать, и я могу уверенно сказать, что разработчики стараются отвечать на вопросы.

PS. Тема переросла в офф-топик, поэтому через полчасика я добавлю сюда информацию, есть ли в KAV6 монитор сетевых соединений или нет, и на этом закроем ее.

to [B]x7273[/B]:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего [I]KAV6[/I], настройку портов в Установках, а также более подробно, что именно выводит [I]netstat[/I] и [I]AVZ[/I].

[quote=aintrust]to [B]x7273[/B]:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего [I]KAV6[/I], настройку портов в Установках, а также более подробно, что именно выводит [I]netstat[/I] и [I]AVZ[/I].[/quote]

Данные по касперу:
[CODE]Версия 6.0.0.303
Срочное обновление: е
Дата выпуска сигнатур: 06.11.2006 17:15:54
[/CODE]
В настройке в пункте дерева "Сервис"->"Настройки сети" если нажать на "Настройка портов"
то он выводит список портов, которые и являются открытыми на машине, но не показываются через netstat

например там есть порт 3128 (squid или иной прокси у меня не стоит)

Результаты комманды "netstat -anp TCP | grep LISTENING"
[CODE] TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:990 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5005 0.0.0.0:0 LISTENING
TCP 192.168.0.37:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1113 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING
TCP 127.0.0.1:7438 0.0.0.0:0 LISTENING
[/CODE]
как видно порта 3128 - не наблюдается
Но если сделать команду "nmap.exe -sT -p 3128 192.168.0.37"
[CODE]Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2006-11-08 17:25
Interesting ports on hostname (192.168.0.37):
PORT STATE SERVICE
3128/tcp open squid-http

Nmap run completed -- 1 IP address (1 host up) scanned in 0.437 seconds
[/CODE]
т.е. получается что он открыт, что подтверждается когда туда идешь telnet-ом

Причем открыт он именно каспером, т.к. если в вышеупомянутом списке его исключить, то телнет и nmap на него скажут что он закрыт.

Результат вывода AVZ и netstat-а у меня полностью совпадает
так что тут никаких вопросов у меня нет

Вопрос тока один, который и был с самого начала: существует способ открыть сетевой порт и убедить AVZ, что он закрыт (каспер это делает). Тогда насколько можно доверять результату поиска портов троянов?

Впрочем если попутно выяснится - зачем каспер открывает эти порты - тоже неплохо :)

Теперь, после подробного объяснения проблемы, все вроде стало на свои места... ;)

Ситуация, в общем, такова: каждый раз, когда клиент пытается установить соединение по одному из портов, отмеченных галкой в "Настройках сети", [I]KAV6[/I] для такого соединения устанавливает прозрачный прокси, через который в дальнейшем и идет весь трафик. Отвечает за это компонента, которая называется [I]траффикМонитор[/I] (+ сетевые драйверы [I]kl1.sys[/I] и компания), а далее услугами этого [I]траффикМонитора[/I] пользуется, в частности [I]Web-Antivirus[/I]. То есть, к примеру, если вы из браузера идете на какой-то веб-сервер (по 80 порту), то [I]траффикМонитор[/I], увидев, что идет запрос по протоколу http, начнет передавать его [I]Web-Antivirus[/I]-у, если он активен, который, в свою очередь, будет просматривать весь клиентский трафик на предмет вирусов. Эта компонента, [I]траффикМонитор[/I], "знает" и умеет парсить только вполне определенный набор протоколов уровня приложения, поэтому в случае, если ему встретится какой-либо незнакомый клиентский трафик (т.е. [I]траффикМонитор[/I] не сумеет понять, какой протокол используется), он будет его просто пропускать. Кстати, "увидеть" прокси, который организует [I]KAV6[/I] для обсуждаемых соединений, довольно легко - надо, к примеру, зайти [I]telnet[/I]-ом на какой-либо веб-сервер по 80 порту, а потом, не разрывая соединения, запустить [I]netstat[/I] или, что нагляднее, утилиту [I]TCPView[/I] компании Sysinternals.

Теперь по поводу открытия портов и почему они не видны командой [I]netstat[/I]. Дело в том, что [I]KAV6[/I] как-бы и не "открывает" (с точки зрения высокоуровневого API, которым пользуется [I]netstat[/I] или [I]AVZ[/I]) порты, перечисленные в "Настройках сети", а лишь "следит" за ними. Разница в том, что обычное открытие порта (когда какое-либо приложение открывает порт с тем, чтобы по нему могло начаться соединение, т.е. "прослушивает" его - LISTENING) делается на более высоком уровне с точки зрения стека сетевых протоколов, чем это делается в [I]KAV6[/I]. Как я уже сказал, [I]KAV6[/I] содержит несколько сетевых драйверов, которые встраиваются в сетевой стек и обеспечивают, в частности, перехват транспортных протоколов TCP и UDP и передачу сетевого трафика [I]траффикМонитор[/I]-у. Эти драйверы, собственно, и обеспечивают "невидимость" открытия контролируемых портов для обычных сетевых приложений.

Какой вывод? Использование высокоуровневого сетевого API, к сожалению, не может показать реальную картину во всей ее полноте. Фактически это означает, что приложение, которое наделено правами установки сетевых драйверов, вполне успешно может "скрывать" свой "открытый" порт от высокоуровневого сетевого API - примерно так же, как это делают руткиты, скрывая свои процессы и драйверы от высокоуровневого системного API, которым, к примеру, пользуется стандартный "Диспетчер задач Windows".

aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
Точно по такому же принципу работают аналогичные компоненты других антивирусных продуктов. Просто раньше, когда производился перехват только 25 и 110 порта (для прозрачной проверки почты), никто из пользователей не обращал внимание на редирект. Теперь же, когда перехватывать пришлось гораздо больше портов, посыпались подобные вопросы.
В КАВ/КИС6 есть возможность отключить перехват для определенных приложений - как раз для того, чтобы избежать вероятных проблем функционирования сетевого приложения. Делается это в "Доверенной зоне" галкой "Не проверять трафик".

[QUOTE=DVi]aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
...
[/QUOTE]
Вот и непосредственный разработчик [I]трафикМонитора[/I] прокомментировал эту ситуацию, спасибо!

Добавлю еще, что в KAV/KIS6 MP1 к числу проверяемых протоколов добавился протокол https (правда, только для вполне определенных ситуаций), а также то, что, [U]возможно[/U], в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.

[QUOTE]а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.[/QUOTE]
а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..

[QUOTE=Ego1st]а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..[/QUOTE]
Умалчиваемый смысл такой акции состоит (на мой взгляд) в том, что "средняя домохозяйка" вряд ли понимает, что такое сетевой порт и для чего он нужен, а "зловред" может воспользоваться любым портом (впрочем, как и любым протоколом, в том числе собственным) для закачки, к примеру, другого "зловреда". В этом случае а/в софт как-бы "думает за нас".

Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда [I]трафикМонитор[/I] действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет? ;)

[QUOTE]Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?[/QUOTE]

Ну я думаю что-то измениться нераньше чем в 7.0, вообще я с вами согласен сам отношусь к разряду паранаидальных людей=)))