-
Особенности реализации защиты сетевого траффика в KAV/KIS 2006
У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.
Например, если запустить nmap на свой IP адрес (nmap.exe -sT -p3128 192.168.0.67) или просто сделать коннект (например - telnet 127.0.0.1 312 то оба соединятся! При этом "netstat -an" не покажет ничего открытого на 3128 порту.
Таким образом налицо факт того, что порт открыт но в netstat не отображается. Имхо этот факт, AVZ должен обнаруживать, но он этого не обнаруживает (пробовал и "Сервис->Открытые порты TCP" и сканирование с включенным checkbox-ом "Поиск портов TCP ..." в "Параметрах поиска")
Может я что то не так ищу? Или это фича?
2) предложение следующее:
Можно ли при анализе KiST выдавать не только список перехваченных функций, но и отдельный список перехватчиков?
Иначе, когда касперский перехватывает 40 функций не заметить в этом списке файл с названием отличным от klif.sys весьма легко.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
to x7273
Список перехватчиков без повторов сделать несложно, беру на заметку.
Насчет того, что AVZ не видит открытые порты - видимо, такова особенность защиты, которую он создает. У меня на подходе N свежекупленных лицензионных KIS, перед их расстановкой на ПК в конторе я один поставлю себе и изучу детально все его функции.
-
-
Сообщение от
x7273
У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.
...
На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.
Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная (используется один и тот же системный API), и показывают они ровно столько, сколько "позволяет" им показать сам KIS. Попробуйте воспользоваться менее "стандартными" программами (типа DarkSpy), которые пытаются показывать "скрытые" порты - может статься, что они вам покажут побольше.
А вообще, я бы посоветовал вам обратиться на форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и Анти-Хакера - в трудных ситуациях они тоже могут помочь.
Последний раз редактировалось aintrust; 06.11.2006 в 21:05.
-
-
Сообщение от
aintrust
На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.
у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.
Сообщение от
aintrust
Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная
так я потому и поднял вопрос, что если уж проверять открытость портов то почему бы не делать это не с использованием стандартного API ... имхо искать руткит через стандартный API не самая лучшая идея
В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь
Сообщение от
aintrust
А вообще, я бы посоветовал вам обратиться на
форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и
траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и
Анти-Хакера - в трудных ситуациях они тоже могут помочь.
их поддержка - отдельная песня. я там как то задал вопрос по поводу их реализации фильтра в sendmail-е (имхо там была фича, при которой сервер защищенный их способом можно было заюзать для рассылки спама) ... ответа так и не дождался.
при том, что лицензию мы честно, за деньги купили.
-
-
Сообщение от
x7273
у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.
Насчет KAV6, к сожалению, ничего не могу сказать - я его никогда себе не ставил. Хотя, учитывая, что там должен присутствовать модуль проверки сетевого трафика, то, по идее, должен присутствовать и монитор сетевых соединений... Впрочем, я могу и ошибаться.
Ладно, у меня под руками вроде есть финальная версия KAV6, сейчас не поленюсь и проверю.
Проверил. Да, действительно, монитора сетевых соединений в KAV-е нет, однако и netstat, и DarkSpy показывают одно и тоже, причем абсолютно корректно. AVZ действительно "сносит крышу", но не в смысле того, что он совсем не видит сетевых соединений, а в том, что рисует на месте IP-адресов и портов нечто совершенно непотребное - вполне вероятно, что это глюки перерисовки грида, не знаю... Так что ваше изначальная проблема не подтверждается. Если хотите, давайте перенесем обсуждение в ветку антивирусов (а модераторы, надеюсь, нам помогут в этом, перенеся наши сообщения туда).
Сообщение от
x7273
В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь
Нет, так, конечно, никто делать не станет.
Сообщение от
x7273
их поддержка - отдельная песня.
...
В данном случае я имел ввиду не поддержку, и именно форум - раньше (во время бета-тестирования 6-й линейки продуктов - KIS и KAV) мне там приходилось довольно часто бывать, и я могу уверенно сказать, что разработчики стараются отвечать на вопросы.
PS. Тема переросла в офф-топик, поэтому через полчасика я добавлю сюда информацию, есть ли в KAV6 монитор сетевых соединений или нет, и на этом закроем ее.
Последний раз редактировалось aintrust; 06.11.2006 в 22:12.
-
-
to x7273:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
aintrust
to x7273:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.
Данные по касперу:
Код:
Версия 6.0.0.303
Срочное обновление: е
Дата выпуска сигнатур: 06.11.2006 17:15:54
В настройке в пункте дерева "Сервис"->"Настройки сети" если нажать на "Настройка портов"
то он выводит список портов, которые и являются открытыми на машине, но не показываются через netstat
например там есть порт 3128 (squid или иной прокси у меня не стоит)
Результаты комманды "netstat -anp TCP | grep LISTENING"
Код:
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:990 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5005 0.0.0.0:0 LISTENING
TCP 192.168.0.37:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1113 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING
TCP 127.0.0.1:7438 0.0.0.0:0 LISTENING
как видно порта 3128 - не наблюдается
Но если сделать команду "nmap.exe -sT -p 3128 192.168.0.37"
Код:
Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2006-11-08 17:25
Interesting ports on hostname (192.168.0.37):
PORT STATE SERVICE
3128/tcp open squid-http
Nmap run completed -- 1 IP address (1 host up) scanned in 0.437 seconds
т.е. получается что он открыт, что подтверждается когда туда идешь telnet-ом
Причем открыт он именно каспером, т.к. если в вышеупомянутом списке его исключить, то телнет и nmap на него скажут что он закрыт.
-
Junior Member
- Вес репутации
- 64
Результат вывода AVZ и netstat-а у меня полностью совпадает
так что тут никаких вопросов у меня нет
Вопрос тока один, который и был с самого начала: существует способ открыть сетевой порт и убедить AVZ, что он закрыт (каспер это делает). Тогда насколько можно доверять результату поиска портов троянов?
Впрочем если попутно выяснится - зачем каспер открывает эти порты - тоже неплохо
-
Теперь, после подробного объяснения проблемы, все вроде стало на свои места...
Ситуация, в общем, такова: каждый раз, когда клиент пытается установить соединение по одному из портов, отмеченных галкой в "Настройках сети", KAV6 для такого соединения устанавливает прозрачный прокси, через который в дальнейшем и идет весь трафик. Отвечает за это компонента, которая называется траффикМонитор (+ сетевые драйверы kl1.sys и компания), а далее услугами этого траффикМонитора пользуется, в частности Web-Antivirus. То есть, к примеру, если вы из браузера идете на какой-то веб-сервер (по 80 порту), то траффикМонитор, увидев, что идет запрос по протоколу http, начнет передавать его Web-Antivirus-у, если он активен, который, в свою очередь, будет просматривать весь клиентский трафик на предмет вирусов. Эта компонента, траффикМонитор, "знает" и умеет парсить только вполне определенный набор протоколов уровня приложения, поэтому в случае, если ему встретится какой-либо незнакомый клиентский трафик (т.е. траффикМонитор не сумеет понять, какой протокол используется), он будет его просто пропускать. Кстати, "увидеть" прокси, который организует KAV6 для обсуждаемых соединений, довольно легко - надо, к примеру, зайти telnet-ом на какой-либо веб-сервер по 80 порту, а потом, не разрывая соединения, запустить netstat или, что нагляднее, утилиту TCPView компании Sysinternals.
Теперь по поводу открытия портов и почему они не видны командой netstat. Дело в том, что KAV6 как-бы и не "открывает" (с точки зрения высокоуровневого API, которым пользуется netstat или AVZ) порты, перечисленные в "Настройках сети", а лишь "следит" за ними. Разница в том, что обычное открытие порта (когда какое-либо приложение открывает порт с тем, чтобы по нему могло начаться соединение, т.е. "прослушивает" его - LISTENING) делается на более высоком уровне с точки зрения стека сетевых протоколов, чем это делается в KAV6. Как я уже сказал, KAV6 содержит несколько сетевых драйверов, которые встраиваются в сетевой стек и обеспечивают, в частности, перехват транспортных протоколов TCP и UDP и передачу сетевого трафика траффикМонитор-у. Эти драйверы, собственно, и обеспечивают "невидимость" открытия контролируемых портов для обычных сетевых приложений.
Какой вывод? Использование высокоуровневого сетевого API, к сожалению, не может показать реальную картину во всей ее полноте. Фактически это означает, что приложение, которое наделено правами установки сетевых драйверов, вполне успешно может "скрывать" свой "открытый" порт от высокоуровневого сетевого API - примерно так же, как это делают руткиты, скрывая свои процессы и драйверы от высокоуровневого системного API, которым, к примеру, пользуется стандартный "Диспетчер задач Windows".
-
-
aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
Точно по такому же принципу работают аналогичные компоненты других антивирусных продуктов. Просто раньше, когда производился перехват только 25 и 110 порта (для прозрачной проверки почты), никто из пользователей не обращал внимание на редирект. Теперь же, когда перехватывать пришлось гораздо больше портов, посыпались подобные вопросы.
В КАВ/КИС6 есть возможность отключить перехват для определенных приложений - как раз для того, чтобы избежать вероятных проблем функционирования сетевого приложения. Делается это в "Доверенной зоне" галкой "Не проверять трафик".
-
-
Сообщение от
DVi
aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
...
Вот и непосредственный разработчик трафикМонитора прокомментировал эту ситуацию, спасибо!
Добавлю еще, что в KAV/KIS6 MP1 к числу проверяемых протоколов добавился протокол https (правда, только для вполне определенных ситуаций), а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.
-
-
а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.
а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..
Умалчиваемый смысл такой акции состоит (на мой взгляд) в том, что "средняя домохозяйка" вряд ли понимает, что такое сетевой порт и для чего он нужен, а "зловред" может воспользоваться любым портом (впрочем, как и любым протоколом, в том числе собственным) для закачки, к примеру, другого "зловреда". В этом случае а/в софт как-бы "думает за нас".
Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?
-
-
Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?
Ну я думаю что-то измениться нераньше чем в 7.0, вообще я с вами согласен сам отношусь к разряду паранаидальных людей=)))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-