PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
Printable View
PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
Отправил матеrиальчик Зайцеву Олегу. "Там разберутся".
[QUOTE=antanta;666763][B]SDA[/B], PM читаете? Какие настройки проверить?
[B]rav[/B], Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.[/QUOTE]
Я прочитал, имел ввиду эти настройки [url]http://support.kaspersky.ru/faq/?qid=208637578[/url]
[B]SDA[/B], Чтобы "мир стал чуточку безопасней", нужно запретить копирование файлов в system32. Поковырял кис, поставил запрет на создание и запись для слабо-и силноограниченных, что-то не работает. VBS- скрипт упорно копирует туда файлы. Потом разберусь, но это мои проблемы. Наверное, торможу.
Будет запрет - не будет дырки. От Зайцева Олега пока ответа не получал. Вообще-то дыра закрывается проще, правкой пары ключей в реестре.
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 10 минут[/I][/B][/color][/size]
[B]rav[/B], Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.
[QUOTE=antanta;666913][B]rav[/B], Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. [/QUOTE]
... равно как например DLL системой ищется начиная с текущей папки программы (чем пользуются многие зловреды, положив скажем в папку браузера или иного ПО свою DLL с именем как у системной и т.п.
Но это уход от темы - никакой HIPS никого ни от чего не защитит, ибо:
1. HIPS должен ставиться на эталонно чистую систему.
2. пользователь должен иметь действующий сертификат сапера и электрика одновременно (так как он должен принимать решение, доверять программе X или не доверять, а ошибаться как в случае двух означенных профессий ему нельзя - первая же ошибка классификации - и кирдык).
Поэтому HIPS в составе антивируса (как в том-же KIS) - это дополнение к антивиурсному монитору, которое повышает надежность антивирусной защиты ПК на некоторое количество процентов.
В остальных случаях "пробить" его тривиально - достаточно замаскировать зверя под что угодно доверенное и подсунуть пользователю с указанием, что запускать как доверенное - 90% запустят, это же банальная социальная инженерия. Был например случай - заражение одной сетки трояном, ворующим пароли ... вроде HIPS был и не спасал. Обратились ко мне за помощью - поиски показали, что один нехороший человек взял драйвера NVidia свежайшие (было это давно, закачка файла размером в десятки мб считалась тогда огромной), приклеил к ним трояна и положил на местную файлопомойку, с инструкцией, что перед установкой выключить антивирь, иначе глючить будет и драйвера не установятся...
Как я понимаю, файл svchost создаётся в system32 без расширения?
[QUOTE=rav;667125]Как я понимаю, файл svchost создаётся в system32 без расширения?[/QUOTE]
Именно так
[B]Зайцев Олег[/B], Да, хипс не для домохозяек. ИМХО, одного хипса явно недостаточно даже для так называемого "продвинутого пользователя". Тут у разговор не о том. Просто потестили один HIPS :)
Спасибо, дырка закрыта.
Ух ты, тут даже спасибо за найденые дырки раздают, и без напоминаний. Респект :D