Сабж. Почему? Казалось бы, 2019 год, windows 10, доступа к ядру давно нет, у аверов минифильтры, обратные вызовы на любой вкус, плюшки в виде ранней загрузки, защищенный процесс ( antimalware ) итд итп. Просто колоссальное преимущество аверов, но малварь по-прежнему жива, да еще и растет с каждым годом. Лично у меня сложилось такое впечатление, что это заговор! Бизнес все таки... А так бы давно уже могли побороть эту напасть... А вы что думаете? Обсуждаем!
1. самая большая дыренька в любой секуре есмь сам же юзверь, то бишь основным инструментом малвари является соц. инженерия. 2. с малварей удобно.. 2.1. списывать неэффективность управление. 2.2. воровство. 2.3. выбивать гранты на "развитие". 2.4. схемы подстав.
слишком много плохого софта, написанного на плохих языках... если бы весь софт (включая операционные системы) изначально писался скажем на Аде, где очень сложно накодить себе переполнение буффера например, возможно ситуация была бы другой, но имеем то, что имеем... а так-то с одной стороны малварь приносит хорошие деньги хацкерам, с другой стороны малварь приносит хорошие деньги аверам... как бы отличный симбиоз, никто не выигрывает, никто не проигрывает, все стабильно кормятся, зачем что-то менять?
что значит "плохой язык"??????? то есть написать на сишечке пару-другую строк для решения переполнения буфера -- это прям так сложно???????
если это так легко, то почему столько уязвимостей переполнения буффера было и остается в софте? причем даже в софте больших корпораций... если это уже решено на уровне языка/стандартной библиотеки, то делать это специально не надо никому... тут наоборот надо специально постараться, чтобы сделать переполнение буффера в своей программе... ну скажем, не безопасный как минимум...
C 1 все понятно.. Действительно, аверы ведь далеко не у всех установлены, винда не у всех обновленная.. Больше интересна позиция аверов. Давно же уже могут блокировать инжекты, аля process hollowing и прочие примитивные, но не делают этого, хотя все инструменты есть, https://github.com/hasherezade/pe-sieve например (гит разраба malwarebytes). Стоит данный авер и скажу я вам ничего он не блокирует... точнее пытается эвристикой, но зачем? Есть же вот готовый инструмент у их же сотрудников. Почему не используют? И это не единичный случай. Или все просто сводится к... бизнесу?
hiddy, Ошибочное мнение что авер как то может отличить что апп вредоносно. Это невозможно в общем сделать.
Если выпустить лезвия к станку для бритья, которых будет хватать не на 3 использования, кто завтра придет за новыми лезвиями? При всех технологиях порошковой металлургии и металлообработки это должно быть возможно, но экономически нецелесообразно. Во многих изделиях промышленности заложен срок службы, начиная с краски поверх пластика и острых ребер, где эта краска будет вытираться, заканчивая конструктивными элементами. Как в обществе, лихорадочно ищущем, создающем и навязывающем новые потребности, могут взять и решить проблему с одной из них? Поэтому антивирусы вечны.
эта вещь да, бывает интересна... насколько я помню, у Касперского 6-ого (вроде как) был достаточно подробный дров (klif.sys или что-то такое), который перехватывал много чего в ядре... и все простые алгоритмы инжекта палились... потом они постепенно перевели все эти детекты на эвристику, ну и само собой положить эмуль куда проще, чем обойти перехваты драйвером... интересно зачем это было сделано? производительность? патчгард? или что? недавно купил себе филипс уанблейд, очень доволен))...
Но ведь легальные приложения просто не используют подобные техники, особенно pe-инжекты, которые уже лет 10 обсасывают на каждом blackhat и прочих фестах...
дыреньки в софте были бизнес-моделью мокрых и других корпи == чтобы боф стал реальной дыренькой, его отлаживать надо, а иначе тупо сегфолт политики безопасности являются мерой для распознавания малвари. к примеру, попытка элевации прав, запись в экзе итд-итп.
Rel, > потом они постепенно перевели все эти детекты на эвристику На этом история не заканчивается. Каспер просёк что его сканят тестами(читается память удалённо вм) на онлайн сервисах и вначале ввёл рандомные детекты, а затем вообще отключился. Сейчас он не рабочий и ничего не детектит, на всех сервисах онлайн чека.
На сколько я знаю PG руки связал и аверам в том числе, но и в замен m$ дали парочку новых механизмов. Но все же, мне кажется что-то тут не так! Ладно с аверами решили, людям нужны деньги, что вполне логично. Но а как же энтузиасты? Уже давно бы могли склепать что-нибудь опенсурсное, но только если Indy_ не прав и задача действительно сложнее чем кажется, даже со всеми преимуществами ядра.
оно и так ужо есть https://en.wikipedia.org/wiki/Security-Enhanced_Linux другой вопрос, что увеличение секуры также ведёт к массе неудобий
Потому что малварь выгодна аверам. не будет малвари - что будут делать касперы и дровебы с говнодом? А там миллиарды денег.. Вот и делают вид, что кого-то ловят. Пример отличного решения - Комодо. Все неподписанное и неизвестно запускает в виртуализации, и норм. Как это обойти?) Никак, кроме как покупать и прокачивать серт, что ес-но не для масс малвари. И то - обойдя виртуализацию, нужно еще обойти сетевой фаер, который у Комода еще в 10 году был лучше всех, а уж теперь даже Инди ничего бы с ним не сделал.
хммм... давно дело было и ставил комод на выньку, а потом он меня достал своими тормозами и убрал его ко всем чертям
до кучи, теже паттерны - открытие процесса, выделение памяти, запись, создание потока - в рамках одного процесса то можно рандомизовать и обдурить эвристики, уж не говоря о том когда оное выполняется сразу несколькими (один выделяет, другой пишет, ну вы понели)
ежли аверка надёжно перехватывает апи, то обдурить не получиться + вся муть ужо начинается с белых списков. проломить бофом доверенный процесс тоже бесполезно, пч ав может детектить аномальщину в поведение проги == к примеру, зачем калькулятору мутить с реестром загрузки дров. остаются лишь два направление.. 1. искать прорехи в логике ав, вгоняющие её в долгий цикл, и тогда сам юзерь будет понижать уровень защиты. 2. сугубо соц. инженерия.
запускаешься в контексте доверенного процесса https://lolbas-project.github.io/# - дальше мигрируешь в контекст экплорера или еще куда надо...