Особенности реализации защиты сетевого траффика в KAV/KIS 2006

[x7273]

У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.

Например, если запустить nmap на свой IP адрес (nmap.exe -sT -p3128 192.168.0.67) или просто сделать коннект (например - telnet 127.0.0.1 312 то оба соединятся! При этом "netstat -an" не покажет ничего открытого на 3128 порту.

Таким образом налицо факт того, что порт открыт но в netstat не отображается. Имхо этот факт, AVZ должен обнаруживать, но он этого не обнаруживает (пробовал и "Сервис->Открытые порты TCP" и сканирование с включенным checkbox-ом "Поиск портов TCP ..." в "Параметрах поиска")

Может я что то не так ищу? Или это фича?

2) предложение следующее:
Можно ли при анализе KiST выдавать не только список перехваченных функций, но и отдельный список перехватчиков?
Иначе, когда касперский перехватывает 40 функций не заметить в этом списке файл с названием отличным от klif.sys весьма легко.

[Зайцев Олег]

to x7273
Список перехватчиков без повторов сделать несложно, беру на заметку.
Насчет того, что AVZ не видит открытые порты - видимо, такова особенность защиты, которую он создает. У меня на подходе N свежекупленных лицензионных KIS, перед их расстановкой на ПК в конторе я один поставлю себе и изучу детально все его функции.

[aintrust]

У меня вопрос и предложение
1) Вопрос следующий:
на машине стоит 6-й касперский с включенной проактивной защитой.
По косвенным признакам похоже что защиту сетевого трафика он реализует путем открытия кучи локальных серверных портов, на которые потом и заворачивается клиентское приложение. При этом он скрывает все эти открытые порты.
...

На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.

Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная (используется один и тот же системный API), и показывают они ровно столько, сколько "позволяет" им показать сам KIS. Попробуйте воспользоваться менее "стандартными" программами (типа DarkSpy), которые пытаются показывать "скрытые" порты - может статься, что они вам покажут побольше.

А вообще, я бы посоветовал вам обратиться на форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и Анти-Хакера - в трудных ситуациях они тоже могут помочь.

[x7273]

На самом деле, все несколько сложнее, поэтому "для надежности" в качестве средства для просмотра открытых портов я бы советовал вам пользоваться компонентами самого KIS-а - ведь там, насколько мне помнится, есть собственный монитор.

у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.

Более того, если netstat вам ничего не показывает, то и AVZ покажет ровно столько же - думаю, что методика отображения открытых портов у них очень похожая, если не идентичная

так я потому и поднял вопрос, что если уж проверять открытость портов то почему бы не делать это не с использованием стандартного API ... имхо искать руткит через стандартный API не самая лучшая идея

В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь

А вообще, я бы посоветовал вам обратиться на форум ЛК - там вопросы подобного плана встречаются довольно часто. Помимо этого, там постоянно находятся непосредственные разработчики и траффикМонитора (компоненты, которая отслеживает трафик в KIS-е), и Анти-Хакера - в трудных ситуациях они тоже могут помочь.

их поддержка - отдельная песня. я там как то задал вопрос по поводу их реализации фильтра в sendmail-е (имхо там была фича, при которой сервер защищенный их способом можно было заюзать для рассылки спама) ... ответа так и не дождался.
при том, что лицензию мы честно, за деньги купили.

[aintrust]

у меня не KIS а просто Антивирус со включенной проактивной защитой, там я этого вроде не видел.

Насчет KAV6, к сожалению, ничего не могу сказать - я его никогда себе не ставил. Хотя, учитывая, что там должен присутствовать модуль проверки сетевого трафика, то, по идее, должен присутствовать и монитор сетевых соединений... Впрочем, я могу и ошибаться.

Ладно, у меня под руками вроде есть финальная версия KAV6, сейчас не поленюсь и проверю.

Проверил. Да, действительно, монитора сетевых соединений в KAV-е нет, однако и netstat, и DarkSpy показывают одно и тоже, причем абсолютно корректно. AVZ действительно "сносит крышу", но не в смысле того, что он совсем не видит сетевых соединений, а в том, что рисует на месте IP-адресов и портов нечто совершенно непотребное - вполне вероятно, что это глюки перерисовки грида, не знаю... Так что ваше изначальная проблема не подтверждается. Если хотите, давайте перенесем обсуждение в ветку антивирусов (а модераторы, надеюсь, нам помогут в этом, перенеся наши сообщения туда).

В конце концов можно просто попытаться открыть все порты или сделать SYN сканирование, как это сделано в NMAP ... хотя имхо это не выход, да и UDP порты сильно не посканишь

Нет, так, конечно, никто делать не станет.

их поддержка - отдельная песня.
...

В данном случае я имел ввиду не поддержку, и именно форум - раньше (во время бета-тестирования 6-й линейки продуктов - KIS и KAV) мне там приходилось довольно часто бывать, и я могу уверенно сказать, что разработчики стараются отвечать на вопросы.

PS. Тема переросла в офф-топик, поэтому через полчасика я добавлю сюда информацию, есть ли в KAV6 монитор сетевых соединений или нет, и на этом закроем ее.

[aintrust]

to x7273:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.

[x7273]

to x7273:
Да, и вот еще что... Если вы захотите продолжить обсуждение, то укажите, плиз, номер билда вашего KAV6, настройку портов в Установках, а также более подробно, что именно выводит netstat и AVZ.

Данные по касперу:

Код:

Версия 6.0.0.303
Срочное обновление: е
Дата выпуска сигнатур: 06.11.2006 17:15:54

В настройке в пункте дерева "Сервис"->"Настройки сети" если нажать на "Настройка портов"
то он выводит список портов, которые и являются открытыми на машине, но не показываются через netstat

например там есть порт 3128 (squid или иной прокси у меня не стоит)

Результаты комманды "netstat -anp TCP | grep LISTENING"

Код:

  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:990            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1110           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5005           0.0.0.0:0              LISTENING
  TCP    192.168.0.37:139       0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1113         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:5679         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:7438         0.0.0.0:0              LISTENING

как видно порта 3128 - не наблюдается
Но если сделать команду "nmap.exe -sT -p 3128 192.168.0.37"

Код:

Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2006-11-08 17:25
Interesting ports on hostname (192.168.0.37):
PORT     STATE SERVICE
3128/tcp open  squid-http

Nmap run completed -- 1 IP address (1 host up) scanned in 0.437 seconds

т.е. получается что он открыт, что подтверждается когда туда идешь telnet-ом

Причем открыт он именно каспером, т.к. если в вышеупомянутом списке его исключить, то телнет и nmap на него скажут что он закрыт.

[x7273]

Результат вывода AVZ и netstat-а у меня полностью совпадает
так что тут никаких вопросов у меня нет

Вопрос тока один, который и был с самого начала: существует способ открыть сетевой порт и убедить AVZ, что он закрыт (каспер это делает). Тогда насколько можно доверять результату поиска портов троянов?

Впрочем если попутно выяснится - зачем каспер открывает эти порты - тоже неплохо

[aintrust]

Теперь, после подробного объяснения проблемы, все вроде стало на свои места...

Ситуация, в общем, такова: каждый раз, когда клиент пытается установить соединение по одному из портов, отмеченных галкой в "Настройках сети", KAV6 для такого соединения устанавливает прозрачный прокси, через который в дальнейшем и идет весь трафик. Отвечает за это компонента, которая называется траффикМонитор (+ сетевые драйверы kl1.sys и компания), а далее услугами этого траффикМонитора пользуется, в частности Web-Antivirus. То есть, к примеру, если вы из браузера идете на какой-то веб-сервер (по 80 порту), то траффикМонитор, увидев, что идет запрос по протоколу http, начнет передавать его Web-Antivirus-у, если он активен, который, в свою очередь, будет просматривать весь клиентский трафик на предмет вирусов. Эта компонента, траффикМонитор, "знает" и умеет парсить только вполне определенный набор протоколов уровня приложения, поэтому в случае, если ему встретится какой-либо незнакомый клиентский трафик (т.е. траффикМонитор не сумеет понять, какой протокол используется), он будет его просто пропускать. Кстати, "увидеть" прокси, который организует KAV6 для обсуждаемых соединений, довольно легко - надо, к примеру, зайти telnet-ом на какой-либо веб-сервер по 80 порту, а потом, не разрывая соединения, запустить netstat или, что нагляднее, утилиту TCPView компании Sysinternals.

Теперь по поводу открытия портов и почему они не видны командой netstat. Дело в том, что KAV6 как-бы и не "открывает" (с точки зрения высокоуровневого API, которым пользуется netstat или AVZ) порты, перечисленные в "Настройках сети", а лишь "следит" за ними. Разница в том, что обычное открытие порта (когда какое-либо приложение открывает порт с тем, чтобы по нему могло начаться соединение, т.е. "прослушивает" его - LISTENING) делается на более высоком уровне с точки зрения стека сетевых протоколов, чем это делается в KAV6. Как я уже сказал, KAV6 содержит несколько сетевых драйверов, которые встраиваются в сетевой стек и обеспечивают, в частности, перехват транспортных протоколов TCP и UDP и передачу сетевого трафика траффикМонитор-у. Эти драйверы, собственно, и обеспечивают "невидимость" открытия контролируемых портов для обычных сетевых приложений.

Какой вывод? Использование высокоуровневого сетевого API, к сожалению, не может показать реальную картину во всей ее полноте. Фактически это означает, что приложение, которое наделено правами установки сетевых драйверов, вполне успешно может "скрывать" свой "открытый" порт от высокоуровневого сетевого API - примерно так же, как это делают руткиты, скрывая свои процессы и драйверы от высокоуровневого системного API, которым, к примеру, пользуется стандартный "Диспетчер задач Windows".

[DVi]

aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
Точно по такому же принципу работают аналогичные компоненты других антивирусных продуктов. Просто раньше, когда производился перехват только 25 и 110 порта (для прозрачной проверки почты), никто из пользователей не обращал внимание на редирект. Теперь же, когда перехватывать пришлось гораздо больше портов, посыпались подобные вопросы.
В КАВ/КИС6 есть возможность отключить перехват для определенных приложений - как раз для того, чтобы избежать вероятных проблем функционирования сетевого приложения. Делается это в "Доверенной зоне" галкой "Не проверять трафик".

[aintrust]

aintrust, Вы совершенно верно описали принцип работы трафикМонитора.
...

Вот и непосредственный разработчик трафикМонитора прокомментировал эту ситуацию, спасибо!

Добавлю еще, что в KAV/KIS6 MP1 к числу проверяемых протоколов добавился протокол https (правда, только для вполне определенных ситуаций), а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.

[Ego1st]

а также то, что, возможно, в дальнейшем по-умолчанию будет контролироваться трафик для всех портов.

а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..

[aintrust]

а смысл, по умолчанию контролировать все порты, надо ставьте зачем лишняя нагрузка..
но это имхо..

Умалчиваемый смысл такой акции состоит (на мой взгляд) в том, что "средняя домохозяйка" вряд ли понимает, что такое сетевой порт и для чего он нужен, а "зловред" может воспользоваться любым портом (впрочем, как и любым протоколом, в том числе собственным) для закачки, к примеру, другого "зловреда". В этом случае а/в софт как-бы "думает за нас".

Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?

[Ego1st]

Хорошо ли это или плохо, не знаю. В теперешней ситуации, когда трафикМонитор действительно вносит определенную нагрузку - может быть и не очень хорошо, а в дальнейшем, когда он будет оптимизирован - трудно сказать. Поживем-увидим. Я могу сказать только за себя, что вряд ли буду пользоваться такого рода услугой для всех сетевых приложений. Наиболее вероятный сценарий - это помещение сетевых приложений, насчет которых я абсолютно уверен, в "Доверенную зону", ну а немногие оставшиеся пусть проверяются по полной программе, почему бы и нет?

Ну я думаю что-то измениться нераньше чем в 7.0, вообще я с вами согласен сам отношусь к разряду паранаидальных людей=)))