Показано с 1 по 14 из 14.

Особенности реализации защиты сетевого траффика в KAV/KIS 2006

  1. #1
    x7273
    Guest

    Особенности реализации защиты сетевого траффика в KAV/KIS 2006

    У меня вопрос и предложение
    1) Вопрос следующий:
    на машине стоит 6-й касперский с включенной проактивной защитой.
    По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.

    Например, если запустить nmap на свой IP адрес (nmap.exe -sT -p3128 192.168.0.67) или просто сделать коннект (например - telnet 127.0.0.1 312 то оба соединятся! При этом "netstat -an" не покажет ничего открытого на 3128 порту.

    Таким образом налицо факт того, что порт открыт но в netstat не отображается. Имхо этот факт, AVZ должен обнаруживать, но он этого не обнаруживает (пробовал и "Сервис->Открытые порты TCP" и сканирование с включенным checkbox-ом "Поиск портов TCP ..." в "Параметрах поиска")

    Может я что то не так ищу? Или это фича?

    2) предложение следующее:
    Можно ли при анализе KiST выдавать не только список перехваченных функций, но и отдельный список перехватчиков?
    Иначе, когда касперский перехватывает 40 функций не заметить в этом списке файл с названием отличным от klif.sys весьма легко.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    to x7273
    Список перехватчиков без повторов сделать несложно, беру на заметку.
    Насчет того, что AVZ не видит открытые порты - видимо, такова особенность защиты, которую он создает. У меня на подходе N свежекупленных лицензионных KIS, перед их расстановкой на ПК в конторе я один поставлю себе и изучу детально все его функции.

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от x7273
    У меня вопрос и предложение
    1) Вопрос следующий:
    на машине стоит 6-й касперский с включенной проактивной защитой.
    По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.
    ...
    На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.

    Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная (используется один и тот же системный API), и показывают они ровно столько, сколько "позволяет" им показать сам KIS. Попробуйте воспользоваться менее "стандартными" программами (типа DarkSpy), которые пытаются показывать "скрытые" порты - может статься, что они вам покажут побольше.

    А вообще, я бы посоветовал вам обратиться на форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и Анти-Хакера - в трудных ситуациях они тоже могут помочь.
    Последний раз редактировалось aintrust; 06.11.2006 в 21:05.

  5. #4
    x7273
    Guest
    Цитата Сообщение от aintrust
    На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.
    у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.

    Цитата Сообщение от aintrust
    Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная
    так я потому и поднял вопрос, что если уж проверять открытость портов то почему бы не делать это не с использованием стандартного API ... имхо искать руткит через стандартный API не самая лучшая идея

    В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь

    Цитата Сообщение от aintrust
    А вообще, я бы посоветовал вам обратиться на форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и Анти-Хакера - в трудных ситуациях они тоже могут помочь.
    их поддержка - отдельная песня. я там как то задал вопрос по поводу их реализации фильтра в sendmail-е (имхо там была фича, при которой сервер защищенный их способом можно было заюзать для рассылки спама) ... ответа так и не дождался.
    при том, что лицензию мы честно, за деньги купили.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от x7273
    у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.
    Насчет KAV6, к сожалению, ничего не могу сказать - я его никогда себе не ставил. Хотя, учитывая, что там должен присутствовать модуль проверки сетевого трафика, то, по идее, должен присутствовать и монитор сетевых соединений... Впрочем, я могу и ошибаться.

    Ладно, у меня под руками вроде есть финальная версия KAV6, сейчас не поленюсь и проверю.

    Проверил. Да, действительно, монитора сетевых соединений в KAV-е нет, однако и netstat, и DarkSpy показывают одно и тоже, причем абсолютно корректно. AVZ действительно "сносит крышу", но не в смысле того, что он совсем не видит сетевых соединений, а в том, что рисует на месте IP-адресов и портов нечто совершенно непотребное - вполне вероятно, что это глюки перерисовки грида, не знаю... Так что ваше изначальная проблема не подтверждается. Если хотите, давайте перенесем обсуждение в ветку антивирусов (а модераторы, надеюсь, нам помогут в этом, перенеся наши сообщения туда).

    Цитата Сообщение от x7273
    В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь
    Нет, так, конечно, никто делать не станет.

    Цитата Сообщение от x7273
    их поддержка - отдельная песня.
    ...
    В данном случае я имел ввиду не поддержку, и именно форум - раньше (во время бета-тестирования 6-й линейки продуктов - KIS и KAV) мне там приходилось довольно часто бывать, и я могу уверенно сказать, что разработчики стараются отвечать на вопросы.

    PS. Тема переросла в офф-топик, поэтому через полчасика я добавлю сюда информацию, есть ли в KAV6 монитор сетевых соединений или нет, и на этом закроем ее.
    Последний раз редактировалось aintrust; 06.11.2006 в 22:12.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    to x7273:
    Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.

  8. #7
    Junior Member Репутация
    Регистрация
    08.11.2006
    Сообщений
    2
    Вес репутации
    41
    Цитата Сообщение от aintrust
    to x7273:
    Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.
    Данные по касперу:
    Код:
    Версия 6.0.0.303
    Срочное обновление: е
    Дата выпуска сигнатур: 06.11.2006 17:15:54
    В настройке в пункте дерева "Сервис"->"Настройки сети" если нажать на "Настройка портов"
    то он выводит список портов, которые и являются открытыми на машине, но не показываются через netstat

    например там есть порт 3128 (squid или иной прокси у меня не стоит)

    Результаты комманды "netstat -anp TCP | grep LISTENING"
    Код:
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:990            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:1110           0.0.0.0:0              LISTENING
      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
      TCP    0.0.0.0:5005           0.0.0.0:0              LISTENING
      TCP    192.168.0.37:139       0.0.0.0:0              LISTENING
      TCP    127.0.0.1:1113         0.0.0.0:0              LISTENING
      TCP    127.0.0.1:5679         0.0.0.0:0              LISTENING
      TCP    127.0.0.1:7438         0.0.0.0:0              LISTENING
    как видно порта 3128 - не наблюдается
    Но если сделать команду "nmap.exe -sT -p 3128 192.168.0.37"
    Код:
    Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2006-11-08 17:25
    Interesting ports on hostname (192.168.0.37):
    PORT     STATE SERVICE
    3128/tcp open  squid-http
    
    Nmap run completed -- 1 IP address (1 host up) scanned in 0.437 seconds
    т.е. получается что он открыт, что подтверждается когда туда идешь telnet-ом

    Причем открыт он именно каспером, т.к. если в вышеупомянутом списке его исключить, то телнет и nmap на него скажут что он закрыт.

  9. #8
    Junior Member Репутация
    Регистрация
    08.11.2006
    Сообщений
    2
    Вес репутации
    41
    Результат вывода AVZ и netstat-а у меня полностью совпадает
    так что тут никаких вопросов у меня нет

    Вопрос тока один, который и был с самого начала: существует способ открыть сетевой порт и убедить AVZ, что он закрыт (каспер это делает). Тогда насколько можно доверять результату поиска портов троянов?

    Впрочем если попутно выяснится - зачем каспер открывает эти порты - тоже неплохо

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Теперь, после подробного объяснения проблемы, все вроде стало на свои места...

    Ситуация, в общем, такова: каждый раз, когда клиент пытается установить соединение по одному из портов, отмеченных галкой в "Настройках сети", KAV6 для такого соединения устанавливает прозрачный прокси, через который в дальнейшем и идет весь трафик. Отвечает за это компонента, которая называется траффикМонитор (+ сетевые драйверы kl1.sys и компания), а далее услугами этого траффикМонитора пользуется, в частности Web-Antivirus. То есть, к примеру, если вы из браузера идете на какой-то веб-сервер (по 80 порту), то траффикМонитор, увидев, что идет запрос по протоколу http, начнет передавать его Web-Antivirus-у, если он активен, который, в свою очередь, будет просматривать весь клиентский трафик на предмет вирусов. Эта компонента, траффикМонитор, "знает" и умеет парсить только вполне определенный набор протоколов уровня приложения, поэтому в случае, если ему встретится какой-либо незнакомый клиентский трафик (т.е. траффикМонитор не сумеет понять, какой протокол используется), он будет его просто пропускать. Кстати, "увидеть" прокси, который организует KAV6 для обсуждаемых соединений, довольно легко - надо, к примеру, зайти telnet-ом на какой-либо веб-сервер по 80 порту, а потом, не разрывая соединения, запустить netstat или, что нагляднее, утилиту TCPView компании Sysinternals.

    Теперь по поводу открытия портов и почему они не видны командой netstat. Дело в том, что KAV6 как-бы и не "открывает" (с точки зрения высокоуровневого API, которым пользуется netstat или AVZ) порты, перечисленные в "Настройках сети", а лишь "следит" за ними. Разница в том, что обычное открытие порта (когда какое-либо приложение открывает порт с тем, чтобы по нему могло начаться соединение, т.е. "прослушивает" его - LISTENING) делается на более высоком уровне с точки зрения стека сетевых протоколов, чем это делается в KAV6. Как я уже сказал, KAV6 содержит несколько сетевых драйверов, которые встраиваются в сетевой стек и обеспечивают, в частности, перехват транспортных протоколов TCP и UDP и передачу сетевого трафика траффикМонитор-у. Эти драйверы, собственно, и обеспечивают "невидимость" открытия контролируемых портов для обычных сетевых приложений.

    Какой вывод? Использование высокоуровневого сетевого API, к сожалению, не может показать реальную картину во всей ее полноте. Фактически это означает, что приложение, которое наделено правами установки сетевых драйверов, вполне успешно может "скрывать" свой "открытый" порт от высокоуровневого сетевого API - примерно так же, как это делают руткиты, скрывая свои процессы и драйверы от высокоуровневого системного API, которым, к примеру, пользуется стандартный "Диспетчер задач Windows".

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
    Точно по такому же принципу работают аналогичные компоненты других антивирусных продуктов. Просто раньше, когда производился перехват только 25 и 110 порта (для прозрачной проверки почты), никто из пользователей не обращал внимание на редирект. Теперь же, когда перехватывать пришлось гораздо больше портов, посыпались подобные вопросы.
    В КАВ/КИС6 есть возможность отключить перехват для определенных приложений - как раз для того, чтобы избежать вероятных проблем функционирования сетевого приложения. Делается это в "Доверенной зоне" галкой "Не проверять трафик".

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от DVi
    aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
    ...
    Вот и непосредственный разработчик трафикМонитора прокомментировал эту ситуацию, спасибо!

    Добавлю еще, что в KAV/KIS6 MP1 к числу проверяемых протоколов добавился протокол https (правда, только для вполне определенных ситуаций), а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    366
    а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.
    а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
    но это имхо..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от Ego1st
    а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
    но это имхо..
    Умалчиваемый смысл такой акции состоит (на мой взгляд) в том, что "средняя домохозяйка" вряд ли понимает, что такое сетевой порт и для чего он нужен, а "зловред" может воспользоваться любым портом (впрочем, как и любым протоколом, в том числе собственным) для закачки, к примеру, другого "зловреда". В этом случае а/в софт как-бы "думает за нас".

    Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    366
    Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?
    Ну я думаю что-то измениться нераньше чем в 7.0, вообще я с вами согласен сам отношусь к разряду паранаидальных людей=)))
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

Похожие темы

  1. Ответов: 35
    Последнее сообщение: 27.02.2009, 10:56
  2. Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
    От SDA в разделе Windows для опытных пользователей
    Ответов: 0
    Последнее сообщение: 24.03.2008, 18:03
  3. Телефонный гид: особенности выбора коммуникатора
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 0
    Последнее сообщение: 29.02.2008, 22:33
  4. Panda Platinum 2006 Internet Security и Panda Titanium 2006 Antivirus
    От HATTIFNATTOR в разделе Антивирусы
    Ответов: 0
    Последнее сообщение: 04.11.2005, 19:39

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00143 seconds with 16 queries