AVZ 4.30

[quote=NikolayFirsov;215371]6.
2. hklm\SECURITY\Policy\Secrets\SAC или
Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука[/quote]
'Защиту' обеспечивает lsass.exe, и там ничего такого сложного нет - это обойти не сложно. Я думаю, что gmer получает доступ так: вызывает функции [FONT=Arial][SIZE=2]LsarOpenSecret и [/SIZE][/FONT][FONT=Arial][SIZE=2]LsarQuerySecret через [/SIZE][/FONT][FONT=Arial][SIZE=2]GetProcAddress в библиотеке [/SIZE][/FONT][FONT=Arial][SIZE=2]lsasrv.dll.

Paul[/SIZE][/FONT]

[quote=NikolayFirsov;215371]6.
a) Речь идёт не под ограниченной учётной записи, [B]а под Администратором [/B](ну в ХР у него RID 500)[B] (ведь в KIS8 разработали HIPS, а значит предусматривают баги из под администратора)[/B]
б) значит под администратором можно разогнать видеокарту, и процессор, т.е [B]поменять параметры железа в NT[/B] - это означает что можно создать вирус который меняет параметры биоса и видиокарты (время, пароль на биос, приоритет загрузки, частоту шины на видеокарте)?
2. *А те два означенных ключа еще содержат символ с кодом #0 в имени*---Непонял, расскажите подробнее???. К примеру я просто запускаю gmer.exe от [URL]http://www.gmer.net[/URL] и он загружает свой вспомогательный драйвер и этот драйвер использует функцию "Низкоуровневый доступ к диску" и в gmer.exe можно просмотреть что храниться в этих ветках hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI и просмотрел и ненашёл никаких *[B]содержат символ с кодом #0 в имени[/B]*
Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука
1. А если этот зловред скрытый на диске с помощью своего вспомогательного драйвера? и FAR может его обнаружить? к примеру в gmer.exe там он работает через "низкоуровневый доступ к диску".
7. "а демонстрация непонимания принципов работы антивируса и защиты ПК в целом"- т.е я непонимаю как работает антивирус и защита ПК в целом? Почему вы так считаете? Ведь половина баг уже они предусмотрели в KIS 8.0.0.x - это означает что баги или я неправ?
Ну к примеру любую багу из wasm.ru назовите, что она не
права?
(Речь идёт об Администраторе а не об огр.учётной записи)
8. Скачайте программу gmer.exe от [URL]http://www.gmer.net[/URL] и просканируйте систему, и увидете очень много типов хуков
[/quote]
6.а Так этому администратору и надо :) Никакой самы расчудесный HIPS не спасет человека, который сидит под админом и скажем у него запускается что-то там, что быдет пытаться спалить его железо (перегреть оно его сможет, спалить - маловероятно). HIPS в KIS расчитан не на администратора, а не обнаружение и блокировку потенциально опасной активности. Но есть одно НО - даже если выдаст KIS юзеру сообщение, что NVidia_super_puper_twicker.exe пытается скажем поставить драйвера ?! И юзер, который скачал это непойми откуда нажмет ОК не думая ... И KIS не может понять, действительно это твикер видеокарты или же это злонамеренный ускоритель-сжигатель (разница кстати невелика - любой разгон по идее загоняет железо в эктремальные режимы и может его спалить).
б. Можно. И HIPS не спасет никогда в жизни - см. п.п. а). Т.е. если скажем юзеру подсунут что-то там и он это запустит и подтвердит запрос HIPS на установку драйверов - системе кирдык. А по моим данным 95% юзеров именно это и делают, особенно если уверены, что эта программа им нужна. И спалить железо можно вполне легальным твикером/ускорителем, а не зловредом.
2. Введение в имя ключа символа с кодом #0 приводит к интересному эффекту - через обычное API доступ к ключа затрудняется, этот эффект был публично очень давно показан Руссиновичем, у него на сайте даже семпл есть на эту тему ... Т.е. обычное приложение, напрмиер Regedit, не сможет открыть такой ключ
8. Очень много хуков, или очень много глюков - неизвестно. Чем глубже копает антируткит, тем больше мусора он найдет, и совершенно не обазательно, что это опасно. Просто изучение логов антируткита предполагает хорошее знание системы + знание особенностей и закидонов конкретного антируткита (последнее вылавливается просто - его запуском на чистой системе)
7. Первичная задача антивируса - это быть антивирусом ! Т.е. ловить вирусы ... примочки типа HIPS - это дополнительный контур обороны, средство своевременного детектирования вредоносной активности со стороны вредителя, который не распознан сигнатурным сканером как зловред. Но очень распространенной ошибкой является подмена встроенных средств безопасности системы средствами безопасности антивируса, Firewall, HIPS и т.п. ! Это доп. средства, создающие [B]дополнительный контур защиты[/B], и следовательно повышающие безопасность системы в целом и позволяющие своевременно пределить активность зловреда. Но не их замена ... Если брать список, то 99% не является "багом" - назоваем это так: "хотелка юзера, который не умеет администрировать Windows и не хочет это делать". Такая категория юзеров к сожалению есть, но достаточно прочитать отзывы профи на wasm по поводу этой ветки и сделать вывод, как рассуждают об этом админы и системщики. Наиболее показательно: не находит вирусы, скрытые Folder Security Personal" - т.е. я ставлю под админом программу, она ставит свои драйвера в систему, KIS об этом предупреждает (он не даст проинсталлить драйвер), программе даны на то права (и KIS считает ее легитимной) - и мы получаем в системе конфликт двух программ безопасности, которые перехватят одно и тоже. Что удивительного в том, что скажем KIS не видит что-то, маскируемое специально предназначенной для этого программе, которой разрешили установиться (или программа маскировки начнет глючить, или будет срабатывание HIPS/антируткита на нее) ?! Или скажем если поставить два антивиря, будет нечто похожее, но они более показательно перегрызутся, все повинет ... и багу пишем обоим - "почему А не задавил конкурента Б" :) А если задавит - багу задавленному :)
или аналогично с "net user *** /add" - я сижу под кем ?! Под админом. А что должен делать админ ?! Правильно, админить, причем создание юзеров, выделение им прав, расшаривание ресурсов и т.п. - самая типовая задача администрирования. Вопрос - почему антивирус должен блокировать админу то, что является его святой обязанностью ?! А юзер админом не является, то возникает другой вопрос - а почему он тогда админ ?! И так аналогично по всем остальным пунктам... Это все равносильно, что я в любом unix всех юзеров сделаю root-ом, позапускаю все процессы из под рута (начиная с почты и WEB сервера) и потом буду пачками находить дыры и делать вывод, что *nix сама дырявая система в мире.
Поэтому вывод - безопасность системы это [B]комплекс мер[/B], состоящих в [B]грамотной настройке системы[/B], грамотном применении антивирусов, Firewall, HIPS и т.п. Посмотрите раздел "Помогите" в данной конференции - там представлены практически все антивирусы разных версий и типов, но почему-то не встречаются пользователи, работающие под учетной записью резко ограниченного юзера - все поголовно работали под админом ... Но это уже пошел флейм

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=p2u;215408]'Защиту' обеспечивает lsass.exe, и там ничего такого сложного нет - это обойти не сложно. Я думаю, что gmer получает доступ так: вызывает функции [FONT=Arial][SIZE=2]LsarOpenSecret и [/SIZE][/FONT][FONT=Arial][SIZE=2]LsarQuerySecret через [/SIZE][/FONT][FONT=Arial][SIZE=2]GetProcAddress в библиотеке [/SIZE][/FONT][FONT=Arial][SIZE=2]lsasrv.dll.[/SIZE][/FONT]

[SIZE=2][FONT=Arial]Paul[/FONT][/SIZE][/quote]
Или находит на диске и парсит файл, хранящий реестр - это обходит логическую блокировку, нехватку прав и все заморочки с хитрыми именами

Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?

[quote=Jef239;215668]Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?[/quote]
Во первых неадмин-юзер разный бывает, а во вторых - есть "Запуск от имени ...", позволяющий запускать что угодно от имени кого угодно. Этот фокус хорошо знаком админам, которые создают задания в планировщике для выполнения всяких операций обслуживания на сервере - обязательный параметр задания в шедуллере содержит логин и пароль учетной записи, из-под которой стартует задание. Аналогично и с любым ярлыком - там настраивается, от имени кого запустить задачу. Аналогично в висте - в ярлыке можно указать, что задачу пускать с полными правами админа.

[QUOTE=Jef239;215668]Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?[/QUOTE]
Не знаю насчёт Delfi, но OpenWatcom вот отлаживает и [B]не[/B] под админом. И драйверов он точно не ставит. И право "Отладка программ" дано только администраторам. 8)

[QUOTE=Зайцев Олег;215681]Аналогично и с любым ярлыком - там настраивается, от имени кого запустить задачу.[/QUOTE]Можете показать скриншот?

А зачем скриншот - это вопроизвести легко. Берем ярлык EXE файла, там нажимаем "Дополнительно ...", ставим птичку "Запускать с другими учетными данными". Сохраняем, при этом ничего видимо интересного не происходит. Далее запускаем программу с этого ярлыка, сситема спрашивает, чью учетную запись применить - текущую или выбранную. Если выбранную, предлагается указать какую и ввести пароль. Аналогично с заданиями шеделлера - там сразу задается учетная запись и пароль. Кстати говоря, шеделлир хранит логины и пароли, поэтому его можно применять как панель запуска программ от имени разных юзеров - в задании указать, что оно запускается вручную и всего делов. Но нужно помнить, что после эксремального твикинга, связанного с отключением всех служб подряд запуск от имени другого пользователя может не работать.

@ [b]Олег[/b]:

Немного офф-топ: возможно стоит поговорить в отдельной теме про RunAs, особенно о том, как она реазизована на Висте. Например, как я понял, в Висте эта функция не работает с explorer.exe, так как тот уже занят с оболочкой. Однако, есть простой обход - запускать IE с RunAs и открыть всё, что угодно. Всё, что с ним открывается (например C:\, Control Panel, и т.д.) будет открыто с админ правами...
Конец офф-топа.

Paul

[quote=p2u;215870]@ [B]Олег[/B]:

Немного офф-топ: возможно стоит поговорить в отдельной теме про RunAs, особенно о том, как она реазизована на Висте. Например, как я понял, в Висте эта функция не работает с explorer.exe, так как тот уже занят с оболочкой. Однако, есть простой обход - запускать IE с RunAs и открыть всё, что угодно. Всё, что с ним открывается (например C:\, Control Panel, и т.д.) будет открыто с админ правами...
Конец офф-топа.

Paul[/quote]
Я нечто подобное делаю с FAR-ом на Vista - он стартует у меня с правами админа

[quote=Зайцев Олег;215878]Я нечто подобное делаю с FAR-ом на Vista - он стартует у меня с правами админа[/quote]
Но это вы сами - там риска нет. Я о юных пользователях (если у вас больше одного пользователя на одном компе) или об умниках на работе, которые знают пароль для повышения привилегий. Определённый риск есть, конечно, в этом RunAs...

Paul

[quote=p2u;215882]Но это вы сами - там риска нет. Я о юных пользователях (если у вас больше одного пользователя на одном компе) или об умниках на работе, которые знают пароль для повышения привилегий. Определённый риск есть, конечно, в этом RunAs...

Paul[/quote]
Согласен ... вот тут как раз шедуллер хорош - там логин/пароль вводится при создании задания, пользователю не показывается и для запуска знать его не требуется. И в добавок поменять задание не вводя повторно пароля нельзя.

Олег, некритичный баг в AVZ 4.30 присутствует:
при ключе Minilog=Y в протокол сканирования выводятся строки "1.5 Проверка обработчиков IRP", "Проверка завершена" и "Анализатор-изучается процесс xxx путь"
(в последнем случаи - естественно с разными xxx и путями) - насколько я понял, записей с НЕ КРАСНЫМ шрифтом выводиться не должно в этом режиме?

И ещё пара вопросиков:
1. Как AVZ и его Antirootkit реагирует, если несколько руткитов ставят свои перехваты на одно и тоже место (например, на одну функцию в какой-либо DLL) - т.е. перехваты идут как бы каскадом?
2. Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?

[quote=Vorland;216195]Олег, некритичный баг в AVZ 4.30 присутствует:
при ключе Minilog=Y в протокол сканирования выводятся строки "1.5 Проверка обработчиков IRP", "Проверка завершена" и "Анализатор-изучается процесс xxx путь"
(в последнем случаи - естественно с разными xxx и путями) - насколько я понял, записей с НЕ КРАСНЫМ шрифтом выводиться не должно в этом режиме?

И ещё пара вопросиков:
1. Как AVZ и его Antirootkit реагирует, если несколько руткитов ставят свои перехваты на одно и тоже место (например, на одну функцию в какой-либо DLL) - т.е. перехваты идут как бы каскадом?
2. Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?
[/quote]
Да, это глюк - в минилог в теории должно только критичное выводиться.
По вопросам:
1. да, конечно. Но "видит" он верхний перехват их нескольких, снимает он их всех
2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд

Такой вопрос.. по этой хорошей програмке. "Сервис" -> "Диспетчер служб и драйверов". Мне нужно к примеру удалить системную службу..выдает: служба "..." опознана как системная. Ее удаление автоматически заблокировано. Можно как-то разблокировать эту возможность? Спасибо.

BC_DeleteSvc('')

Убьет даже системную вроде бы...

[QUOTE=rubin;216387]BC_DeleteSvc('')

Убьет даже системную вроде бы...[/QUOTE]Вместе с файлом, что чревато падением системы.

[quote]Вместе с файлом, что чревато падением системы[/quote]
Именно! Особенно если вспомнить, что большинство служб исполняет svchost.exe.


RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\[i]имя_службы[/i]');

(если лень в реестр ручками сходить).

Не лень, но высматривать так неудобно, служб показывает там намного больше чем через "службы", да и по названиям.. отличаются. У меня локализованный ос.

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 0 минут[/I][/B][/color][/size]

Если через реестр "ручками", (вводил RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\имя_службы');) выдает ошибку, то удалять нужно целый раздел с названием службы? или именно внутри него, что-то... А в самой программе эту возможность никак не разлочить?..

[quote=avz;216419] Если через реестр "ручками", (вводил RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\имя_службы');) выдает ошибку, то удалять нужно целый раздел с названием службы? или именно внутри него, что-то... [/quote]
Естественно надо до того, как службу удалить, её [b]отключить[/b] и перезагрузить комп.
В реестре указано название службы, а в GUI Windows - 'Отображаемое имя'. Например:
Служба 'Вторичный ход в Систему' (Secondary Logon) на самом деле называется seclogon в реестре.
Название служб и их отображаемые имена можно найти [url=http://www.oszone.net/2517/]здесь[/url]. Если вы там кое-какие не находите, то тогда Гугл всегда выручает.
P.S.: Если вы точно не разбираетесь в последствиях таких мер, то тогда лучше оставить службы в покое и просто отключить их.

Paul

[QUOTE=p2u;216538]Естественно надо до того, как службу удалить, её [b]отключить[/b] и перезагрузить комп.
В реестре указано название службы, а в GUI Windows - 'Отображаемое имя'. Например:
Служба 'Вторичный ход в Систему' (Secondary Logon) на самом деле называется seclogon в реестре.
Название служб и их отображаемые имена можно найти [url=http://www.oszone.net/2517/]здесь[/url]. Если вы там кое-какие не находите, то тогда Гугл всегда выручает.
P.S.: Если вы точно не разбираетесь в последствиях таких мер, то тогда лучше оставить службы в покое и просто отключить их.
Paul[/QUOTE]Если б я не разбирался, то наверно не спрашивал бы как удалить службу.) Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC)
Службы криптографии
Сетевые подключения
Инструментарий управления Windows
Запуск серверных процессов DCOM
Журнал событий
Диспетчер учетных записей безопасности
Windows Audio
Plug and Play
и файервол.