Тест на лечение активного заражения

Тема в разделе "WASM.HEAP", создана пользователем reader323, 30 июл 2011.

Статус темы:
Закрыта.
  1. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    stallker
    Проактивка у него в режиме параноидал - довольно мощная шутка, на многое ругается. Авер гуан. Фаер - так себе. А еше ихняя песочница - оч тормазнутая.. ИМХО
     
  2. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Это было в далеком 1998 году?
    Уж скорее это тогда 5.0, которая fail на fail'е.
     
  3. Rockphorr

    Rockphorr Well-Known Member

    Публикаций:
    0
    Регистрация:
    9 июн 2004
    Сообщения:
    2.622
    Адрес:
    Russia
    лечение активного заражения помойму занятие бредовое - снимите колесо у едущего автомобиля
    тестировать и лечить надо перед запуском на исполнение/интерпретацию
    ну а если зверек все таки проскочил - то первая мера - сделать заражение пассивным

    щас на крабе тема скачать коллекцию 45 гигов - если есть уверенные в своем антивире - скачайте и позапускайте попорядку если число блокировок совпадет с числом запусков какието шансы у вас есть
     
  4. stallker

    stallker New Member

    Публикаций:
    0
    Регистрация:
    9 май 2008
    Сообщения:
    360
    TermoSINteZ
    А что из фаеров нынче рулит?
    Кроме оутпоста.
     
  5. Psionic

    Psionic Member

    Публикаций:
    0
    Регистрация:
    25 сен 2008
    Сообщения:
    156
    Рулит бдительность и внимательность. Жаль Symantec Antivirus почил с миром - хорошая была программка, Norton совсем не труъ.
     
  6. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    =Censored=
     
  7. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov

    Вот скажите мне, зачем писать подобный бред? :) Добавление веса репутации в глазах других участников форума подобными желтыми комментариями? Врядли. Так в чем смысл было писать эту ахинею?

    В этих тестах нет ничего такого, что при желании нельзя бы воспроизвести, с тем чтобы либо подтвердить их результаты либо опровергнуть. Претензии по качеству тестирования и результатам авторами принимаются и учитываются - внезапно без какой-либо платы.

    Даже контора Данилова, которая при любом удобном случае всячески пытается проорать, что все куплено, все продались и вообще как стало страшно жить, тем не менее не гнушается вовсю пользоваться этими тестами для фиксов своих продуктов. При этом продолжая поливать авторов дерьмом.
     
  8. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    EP_X0FF
    Какая репутация на васме???
    На данный момент, васм - жёлтый форум, Вы сами ведь на kernelmode.info!
    EP_X0FF
    Может вспомним Вашу Пиар-кампанию на rootkit.com:
    чётко прослеживается тенденция:
    сначала находились LPE в продуктах "Лаборатории Касперского" и всячески поливались дерьмом.
    Затем Вы переключились на поливание дерьмом продуктов "Dr. Web".
    Как там в KL, больше платят? :lol:
     
  9. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov

    Что вас так задело? :) Ну написали бред, что с кем-то не бывает?

    По пунктам:

    Вы написали
    Что собственно я и упомянул в своем посте, цитата
    По поводу остального - вы резко перевели стрелки вообще на тему, которая не имеет к объекту обсуждения никакого отношения. С тем же успехом вы бы могли спросить о погоде в Москве на прошлой неделе ;)
     
  10. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    EP_X0FF
    NTarakanov
    А вот и не подеретесь. Горячие финские парни.
    Вам обоим предупреждение. Все, что хотите между собой порешать - в личку.
     
  11. stallker

    stallker New Member

    Публикаций:
    0
    Регистрация:
    9 май 2008
    Сообщения:
    360
    Вы перепутали тему, пишите такое рядом со словом антивирус.
     
  12. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    Как можно считать тесты от таких проектов как anti-malware.ru или matousec.com правдивыми???
    Ведь чётко видна схема монетизации:
    1.Делаем первый "грамотный тест" самых популярных AV/HIPS - и показываем что все они гуан (пример matousec с их BSODHook).
    2.Дальше в течении определённого времени проводится второе тестирование.
    3.Ожидание отклика от вендоров.
    4.Договоры с вендорами.
    5.Нарезка капусты.
     
  13. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    NTarakanov
    В реале тебе драйвер никто не даст загрузить, а если это все у них в юзермоде, покажите сэмпл, где крешится тот же аутпост от действий юзермода - "а не на словах".
    Нету сэмлпа? ну тогда о чем речь.
    Я ничего не имею за и против таких тестов. Мне они побарабану. Каждый зарабатывает как может. Я лишь одного не могу понять: Что вы нашли в этой теме такого, чтоб ее обсуждать в принципе?
     
  14. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    TermoSINteZ
    OK!
    Открываем мою статью в журнале "Хакер" март 2011-го:
    Повышение привилегий в Agnitum Ooutpost Security Suite Pro
    Множественные уязвимости в VBEngNT.sys.
    В процессе поиска багов, автор столнкулся с довольно интересным, на мой взгляд архитектурным багом, разработчики данной HIPS системы защитили все свои псевдоустройства, кроме одного, этот модуль играет своего рода dll только в пространстве ядра.
    Handle на псевдоустройство \\.\vbengnt может получить Guest пользователь, и с помощью определённых ioctl запросов переписать память по любому адресу в простарнстве ядра, что ведёт к очень простому сцеранию эксплуатации.
    Если подсчитывать точное количество уязвимостей а VBEngNT.sys - оно равняется 50(!!!) именно столько экспортных функций предоставляет этот модуль.
    Код (Text):
    1. .text:0002B850 ioctl_handler   proc near               ; DATA XREF: DriverEntry+86o
    2. .text:0002B850
    3. .text:0002B850 Irp             = dword ptr  8
    4. .text:0002B850
    5. .text:0002B850                 push    esi
    6. .text:0002B851                 push    edi
    7. .text:0002B852                 mov     edi, [esp+8+Irp]
    8. .text:0002B856                 mov     eax, [edi+60h]
    9. .text:0002B859                 mov     ecx, [eax+4]
    10. .text:0002B85C                 mov     esi, [eax+8]
    11. .text:0002B85F                 mov     edx, [edi+0Ch]
    12. .text:0002B862                 mov     [esp+8+Irp], ecx
    13. .text:0002B866                 mov     dword ptr [edi+1Ch], 0
    14. .text:0002B86D                 movzx   ecx, byte ptr [eax]
    15. .text:0002B870                 sub     ecx, 0
    16. .text:0002B873                 jz      loc_2B97D
    17. .text:0002B879                 sub     ecx, 2
    18. .text:0002B87C                 jz      loc_2B967
    19. .text:0002B885                 jz      short loc_2B8A0 ; ecx == 0x0E (IOCTL)
    Далее:
    Код (Text):
    1. .text:0002B8A0 loc_2B8A0:                              ; CODE XREF: ioctl_handler+35j
    2. .text:0002B8A0                 mov     eax, [eax+0Ch]
    3. .text:0002B8A3                 mov     ecx, eax ; <----- в eax значение IoCtl кода
    4. .text:0002B8A5                 shr     ecx, 2
    5. .text:0002B8A8                 and     ecx, 0F00h
    6. .text:0002B8AE                 cmp     ecx, 800h
    7. .text:0002B8B4                 jz      short loc_2B8CD
    8.  
    9. [..]
    10.  
    11. .text:0002B8CD loc_2B8CD:                              ; CODE XREF: ioctl_handler+64j
    12. .text:0002B8CD                 lea     ecx, [esp+8+Irp]
    13. .text:0002B8D1                 push    ecx
    14. .text:0002B8D2                 push    esi
    15. .text:0002B8D3                 push    edx
    16. .text:0002B8D4                 push    eax
    17. .text:0002B8D5                 call    vuln_function
    Далее:
    Функция по адресу 0x0001DAA0 является своего рода шлюзом:
    Код (Text):
    1. .text:0001DAA0 vuln_function   proc near               ; CODE XREF: ioctl_handler+85p
    2. .text:0001DAA0
    3. .text:0001DAA0 arg_0           = dword ptr  4
    4. .text:0001DAA0 arg_4           = dword ptr  8
    5. .text:0001DAA0 arg_8           = dword ptr  0Ch
    6. .text:0001DAA0 arg_C           = dword ptr  10h
    7. .text:0001DAA0
    8. .text:0001DAA0                 mov     eax, [esp+arg_0]
    9. .text:0001DAA4                 shr     eax, 2
    10. .text:0001DAA7                 push    edi
    11. .text:0001DAA8                 mov     edi, [esp+4+arg_C]
    12. .text:0001DAAC                 mov     ecx, [edi]
    13. .text:0001DAAE                 and     eax, 0FFh
    14. .text:0001DAB3                 cmp     eax, 32h
    15. .text:0001DAB6                 mov     dword ptr [edi], 0
    16. .text:0001DABC                 jb      short loc_1DAC7
    17.  
    18. [..]
    19.  
    20. .text:0001DAC7 loc_1DAC7:                              ; CODE XREF: vuln_function+1Cj
    21. .text:0001DAC7                 mov     edx, [esp+4+arg_8]
    22. .text:0001DACB                 cmp     edx, dword_45418[eax*4] ; <----- сравнение с правильными длинами
    23. .text:0001DAD2                 jz      short loc_1DADD
    24.  
    25.  
    26. [..]
    27.  
    28. .text:0001DAEB loc_1DAEB:                              ; CODE XREF: vuln_function+40j
    29. .text:0001DAEB                 cmp     eax, 31h        ; switch 50 cases
    30. .text:0001DAEE                 push    esi
    31. .text:0001DAEF                 ja      loc_1E186       ; default
    32. .text:0001DAEF                                         ; jumptable 0001DAF5 case 3
    33. .text:0001DAF5                 jmp     ds:off_1E190[eax*4] ;<----- развилка на вызовы 50-ти функций
    И финальный аккорд:
    После перебора 50-ти функций,обнаружилось что с с помощью функции ENGINE_XmlMsgEmpty можно переписать любую память константыми значениями:

    Код (Text):
    1. .text:0001DBFC                 mov     esi, [esp+8+arg_4] ;
    2. .text:0001DC00                 mov     eax, [esi]; <----- esi - наш буфер
    3. .text:0001DC02                 push    eax
    4. .text:0001DC03                 call    ENGINE_XmlMsgEmpty
    5.  
    6. [..]
    7.  
    8. .text:0001D200 ENGINE_XmlMsgEmpty proc near            ; CODE XREF: vuln_function+163p
    9. .text:0001D200                                         ; DATA XREF: .edata:off_460A8o
    10. .text:0001D200
    11. .text:0001D200 arg_0           = dword ptr  4
    12. .text:0001D200
    13. .text:0001D200                 push    esi
    14. .text:0001D201                 mov     esi, [esp+4+arg_0]
    15. .text:0001D205                 test    esi, esi
    16. .text:0001D207                 jnz     short loc_1D212
    17.  
    18. [..]
    19.  
    20. .text:0001D218                 add     esi, 14h ; <---- esi под нашим контролем
    21. .text:0001D21B                 push    esi
    22. .text:0001D21C                 call    sub_37650
    23.  
    24. .text:00037650 sub_37650       proc near               ; CODE XREF: ENGINE_XmlMsgEmpty+1Cp
    25. .text:00037650
    26. .text:00037650 arg_0           = dword ptr  4
    27. .text:00037650
    28. .text:00037650                 mov     eax, [esp+arg_0]
    29. .text:00037654                 mov     dword ptr [eax+14h], 0;<---- запись 0x00000000 по произвольному адресу
    30. .text:0003765B                 mov     dword ptr [eax+20h], 1
    31. .text:00037662                 add     eax, 28h
    32. .text:00037665                 mov     [esp+arg_0], eax
    33. .text:00037669                 jmp     nullsub_1
    34. .text:00037669 sub_37650       endp
    P.S. не ищите эту уязвимость - она была исправлена.
     
  15. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    Эксплоит приаттачить? :)
     
  16. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov
    Ок, я понимаю вашу точку зрения.

    Теперь давайте вернемся к собственно теме топика.

    Есть тест - Лечение активного заражения. Давайте не будем обсуждать остальные тесты AM, они к теме не имеют отношения.
    Есть его методология - то есть правила тестирования и правила оценки результатов. Она имеет недостатки - да, тест во многом синтетический - да безусловно.

    Имеется набор вредоносных программ, набор антивирусов.
    Продукты тестируются на возможность удалить / вылечить тот или иной образец вредоносного ПО.

    Все открыто - вы можете найти эти образцы вредоносного ПО (если хотите я могу вам их дать), скачать все эти антивирусные продукты и повторить тест.
    Еще раз повторю - все открыто, никто ни от кого ничего не прячет. Да тесты могут быть не идеальными (и так зачастую и бывает), да в них могут быть ошибки - это все естественно.

    Пожалуйста, не надо только разводить демагогию на счет, \"что вот не заплатили поэтому и не на первом-втором месте\". Тест открыт - вы можете все воспроизвести сами и подтвердить - опровергнуть эти результаты.

    p.s.
    Ни к Лаборатории Касперского, ни к Др.Веб я отношения не имею и никогда не имел. Предпочтений к их продуктам тоже не имею.

    TermoSINteZ
    По-моему ничего криминального в обсуждении теста нет, а сама тема на порядок чище и интереснее, чем большинство тем этого раздела.
    На личности и прочий детский сад, я собственно и не планировал переходить :)

    edit: typo
     
  17. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    EP_X0FF
    Вы ведь сами пишите:
    И вот ключевая (опять же Ваша)фраза:
    Тратить своё время на проверку реальности этих тестов, просто нету моральных сил, так как во время подготовки своего выступления на Chaos Construction в 2010-м году, я взял на тестирование около 20 AV/HIPS в алфавитном порядке от Agnitum до Zonealarm - убил примерно 2 недели, но и нашёл истину, что 80% продуктов имели ПРОСТЕЙШИЕ уязвимости класса r3->r0 (ioctl, SSDT/Shadow hooks, RC in SSDT/Shadow hooks).Что меня поражает, что на сегодняшний день, ещё сохранились продукты, в которых такие простейшие(в плане нахождения/патчинга) уязвимости СУЩЕСТВУЮТ!!!
    TermoSINteZ
    Да меня просто дико прикалывает АВ индустрия:
    так, надо придумать тесты, чтобы мы там мерили у кого длиннее! - Давайте!!!
    Так был рождём VirusBulletin 100 чего-то там....
    Так, что-то VB уже не торт, надо что-то другое придумывать!!!
    так родились matousec и AM
     
  18. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov

    Вы вырвали цитату из контекста. Если не помните, там это писалась к обоснованию почему же этот тест я считаю синтетическим и эта фраза приводилась как пример несостоятельности критерия А и Б. Что в итоге было резюмировано как необходимость комплексного тестирования (drop, install, work) с минимизацией или удалением злосчастных А и Б.

    Есть существенная разница касательно Матушека и АМ. Первый неприкрыто трясет деньги за свои услуги. На АМ тестят за просто так, тестят даже продукт, чьи разработчики всячески поливают этот сайт дерьмом уже который год и каждый раз орут о продажности тестеров, даже когда их антивирус получает высшую награду (согласитесь такая реакция на высший результат - это клиника). И заметьте - Доктор Веб каждый год если не первый, то второй точно. Я не вижу никакой корреляции с историями о \"проплаченных\" или \"подставных\" тестах. Тест на лечение активного заражения воспроизводим и все заинтересованные вендоры его воспроизвели. Кто не захотел проверить, исправить продукт, дополнить его действительно полезными свойствами - ну это их проблемы и их плачевные результаты, которые из года в год становятся только хуже тому подтверждение.
     
  19. NTarakanov

    NTarakanov New Member

    Публикаций:
    0
    Регистрация:
    19 ноя 2010
    Сообщения:
    94
    А вообще по теме тестов AV/HIPS, которые реально отражают действительность, такую информацию пожалуй можно получить в приватных сервисах так называемого "черного" рынка.
     
  20. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    NTarakanov
    Еще раз - все открыто - проведите контрольное тестирование кого угодно, не обязательно проверять всех. Методология известна, все остальное тоже. Проверить один продукт на соответствие результатам займет от силы несколько часов. Не хотите? Тогда почему вы поливаете грязью работу других и обвиняете их в продажности не имея на то абсолютно никаких веских (да вообще никаких) оснований?
     
Статус темы:
Закрыта.