Показано с 1 по 9 из 9.

KIS 2010: версия новая, баги старые

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    KIS 2010: версия новая, баги старые

    Дата публикации 29.09.2009 Автор: priv8v

    Прежде чем говорить о каких-то багах и уязвимостях необходимо разобраться в том, где мы их будем искать, что именно считать багой, как работает данный продукт и какая у него философия принятия тех или иных решений. Часто бывает, что некоторые "неудобности" АВ-компании не признают и прикрывают их как угодно - начиная от удаления топика на форуме, заканчивая пафосными словами "такова политика компании". Но не все так просто - чаще всего, находимые баги, таковыми не являются, например, какой толк искать баги фаервола у Dr.Web'a, если у него никогда и в помине не было сетевого экрана? Еще очень популярно находить такой псевдо-баг: через Process Explorer баловаться с процессами антивируса, а то, что эта утилита от Руссиновича добавлена в доверенные приложения даже у самого ленивого антивируса, "дыроискателя" совершенно не волнует.

    Этими двумя небольшими примерами я лишь напоминаю читателю о том, что необходимо сперва разобраться в технологии/продукте, а не с ходу начинать кидаться тухлыми помидорами в сторону какого-то антивируса, тем самым, показывая свое полное невежество. Именно поэтому нужно сначала сделать небольшой ликбез об исследуемой технологии и АВ-продукте в общих чертах.
    Начнем с философии работы продукта

    Продукт нацелен на людей, у которых знание компьютера стремится к нулю, в народе таких людей называют домохозяйками. Сегодня очень модно все продукты затачивать именно под них и под геймеров - антивирус должен быть быстрым и молчаливым, а все остальное отодвигается на второй план. Начиная с 2009 версии эта тенденция наблюдается и у Антивируса Касперского, если KIS 7 своим поведенческим анализатором ругался и спрашивал о всем, что только можно, независимо от того, что за программа "шалит" в системе, то KIS 8 уже на настройках по умолчанию был куда тише своего предшественника. Он даже перестал поросенком визжать, дабы не расшатывать нервы домохозяйки, которые и так уже на ладан дышат. Такая скромность со стороны антивируса стала возможна благодаря Зайцеву Олегу (большинству известен как разработчик AVZ), который вывел эмулятор на достаточно приличный уровень и "заведует" его правилами. Эмулятор является одной из ключевых преград на пути вредоносного ПО - при первом запуске он анализирует "в уме" приложение (его действия в системе) и выносит вердикт - разрешать запуск или нет. Приложению присваивается какой-то индекс опасности - в зависимости от него приложение попадает в какую-то из групп по ограничению действий в системе - в зависимости от того, в какую группу попадает приложение, ему разрешаются те или иные действия в системе.

    Читать далее..
    Последний раз редактировалось anton_dr; 30.09.2009 в 22:02. Причина: Чуть дополнил входные данные

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.10.2009
    Сообщений
    82
    Вес репутации
    77
    Скорее всего опять проблемы с повышенной нагрузкой на систему. Да и наверняка эвристика опять не на высоте, без свежих баз.

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Чую, что сейчас тут понапишут всякого бреда (даже не перейдя по ссылке чтобы прочитать статью), поэтому вкратце расскажу о чем статья и для чего написана:


    1). Статья посвящена методам обхода эмулятора КИСа 2009 и 2010. Рассмотрены несколько простых способов его обхода (его обход дает практически безграничную свободу в системе).
    2). Опубликовал я лишь те методы, которые лежат на поверхности - они бросятся в глаза при первых же набросках в блокноте - главное хотя бы поверхностно понимать как работает эмулятор, тогда и эти способы будут воплощены в виде кода в первых же 10 разных семплах для тестирования эмулятора.
    3). Надеюсь, что теперь Зайцеву Олегу и другим разработчикам не выйдет отмахиваться от бета-тестеров предлагающих для тестирования каких-то компонент бат-файлы под предлогом "дайте нам ехе-файл, а не батник - ведь батник использует только админ, а мы не хотим вязать ему руки".
    4). Различные нехорошие действия в системе возможны, но их отметают (тот же Олег) с криком наподобие "дайте нам один ехе-файл, который это будет делать и пусть он обойдет наш супер-эмулятор" - надеюсь, что теперь подобных кривляний душой они делать не будут.
    5). Теперь подробнее о технологиях в статье:

    "Пятая колонна" - за изложенный тут материал хочется немного оторвать голову разработчикам. Сколько лет назад ребята из ЛК обещали подружиться с батниками? Давно. Видимо дальше обещаний не пошли. Так что это не способ обхода, а боян, которым всегда кидаются в ЛК, но никто почему-то не сообразил, что кидаться нужно не батниками, а pe-файлами, которые используют comspec.

    "Дыра размером с окно" - тут и так все ясно. Про GUI-приложения и рассуждать нечего. Данное решение просто витает в воздухе вокруг моего монитора - мне нужно было его лишь запечатать. Обсуждать тут нечего. Все и так ясно.

    "Прощай, немытый WinApi..." - на правах бреда. С этим никто возиться не будет и дальше лабораторного эксперимента это вряд ли пойдет.

    "РЕ-файлы бывают разные - желтые, зеленые, красные..." - либа. Одним словом. Почему весь код должен быть в файле? Код может выполниться до передачи на EP и после reta. Это очевидно.

    "Stupid user" - а это вообще не метод, а недоразумение.

    6). Очень надеюсь на то, что данную статью заметят не только хакеры, но и бета-тестеры ЛК - так им будет проще воевать с разработчиками, которые отмахиваются от них, а сами некоторое из того от чего отмахнулись мотают на ус.

    7).
    Для благих целей буду оказывать всяческую помощь и поддержку бета-тестерам по вопросам, касающимся этой статьи (исходники, непонятки, вопросы, предложения и др.)
    // ...

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от priv8v Посмотреть сообщение
    Сколько лет назад ребята из ЛК обещали подружиться с батниками? Давно.
    В принципе, ничего нового для разработчиков в статье, действительно, нет. Насколько мне известно, хоть какие-то технологии для борьбы с батниками сейчас имеет только КИС. Это технологии пока не идеальны, но у конкурентов нет и таких.



    Цитата Сообщение от priv8v Посмотреть сообщение
    хочется немного оторвать голову разработчикам ... теперь Зайцеву Олегу ... не выйдет отмахиваться ... (тот же Олег) с криком ... кривляний душой
    В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо. Как на это реагировать, пусть решает команда Вирусинфо.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от DVi Посмотреть сообщение



    В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо. Как на это реагировать, пусть решает команда Вирусинфо.
    DVi справедливости ради надо отметить, что про "кривлянье души" в статье ничего не говорилось. Про Олега там было сказано:
    ...Такая скромность со стороны антивируса стала возможна благодаря Зайцеву Олегу (большинству известен как разработчик AVZ), который вывел эмулятор на достаточно приличный уровень и "заведует" его правилами..... т.е. оскорбления через средства массовой информации - журнал "Хакер" не было. По поводу высказывания про "кривлянье души" здесь на форуме, мне думается надо обсудить, но только не в этой теме, а закрытом разделе.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Справедливости ради, имя Олега упомянуто всуе, т.к. он не "выводил эмулятор" и не "заведует его правилами".

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    В принципе, ничего нового для разработчиков в статье, действительно, нет.
    Рад, что мой расчет оправдался.

    Насколько мне известно, хоть какие-то технологии для борьбы с батниками сейчас имеет только КИС. Это технологии пока не идеальны, но у конкурентов нет и таких.
    Главное не засните на лаврах. Сонар2 не дремлет, а развивается. "Головокружение от успехов" - опасная вещь.

    В остальном же лично мне неприятно, что один член команды Вирусинфо через средство массовой информации нанес оскорбление другому члену команды Вирусинфо.
    Ваши слова не выдерживают никакой критики. Парировать это можно с ходу примерно так:
    1). СМИ - сайт хакера. В статье (которая размещена на хакере) про Олега есть слова о том, что благодаря ему эмулятор сегодня на хорошем уровне - оскорблением это считать нельзя. Этим я лишь выразил свое уважение к Олегу.
    2). Членом команды ВИ, насколько понимаю, я не являюсь. Во-первых, это видно даже из моего статуса - "Внешний специалист". Это четко подчеркивает каково мое положение на ВИ. Во-вторых, я общаюсь буквально с тремя людьми с ВИ - с остальными я не знаком.
    Все.

    Справедливости ради, имя Олега упомянуто всуе, т.к. он не "выводил эмулятор" и не "заведует его правилами".
    В статье я упомянул свой любимый форум (вирусинфо) и упомянул специалиста, которого считаю лучшим. Что в этом плохого? Упомянул в хорошем контексте. А про то, что Олег не имеет отношения к правилам эмулятора (или не имел) - рассказывайте кому-нибудь другому.


    Теперь отдельно о "кривлянии душой":
    Некоторые бета-тестеры, просто тестеры, просто люди... иногда пытаются написать о минусах продукта, о том, что можно в системе сделать "то-то и то-то нехорошее", но описывают это либо на словах, либо с помощью процесс_эксплорера, либо с помощью батника. На что они получают один и тот же ответ: "это так и задумано. вот попробуйте реализовать это в виде pe-файла и сразу увидите как эмулятор сработает!". Имел в виду это.
    // ...

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от priv8v Посмотреть сообщение
    Рад, что мой расчет оправдался.
    Если хотите действительно сделать что-то хорошее, пишите мне в личку.
    Данная же публикация выглядит непривлекательно.

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Если хотите действительно сделать что-то хорошее, пишите мне в личку.
    Имеете в виду написание в ЛС всех наработок по этой теме?
    Многие задумки по технологиям находятся в зачаточных состояниях, другие - не далеко ушли от вышеперечисленных (т.е о них точно известно, т.к они лежат на поверхности), третьи - на этапе разработки. В любом случае я очень устал - на все_про_все у меня ушло несколько вечеров на ковыряние в отладчкие и масме (около 20 часов) + 4 часа на написание статьи. Мне это надоело. Не обещаю, что в ближайшие дни смогу довести до конца начатое - нужно отдохнуть (увлечься чем-то другим компьютерным, а потом вернуться к этой теме).

    PS: когда можно обновить будет антивирус и прогнать на итоговых семплах, дабы увидеть, что их индекс опасности приблизился к сотне?
    // ...

Похожие темы

  1. Новая версия вымогателя.
    От Jook в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 17.08.2009, 16:17
  2. Новая версия Mytob (?)
    От Korum в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 18.04.2006, 15:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00317 seconds with 19 queries