Тест на лечение активного заражения

Это было в далеком 1998 году?
Уж скорее это тогда 5.0, которая fail на fail'е.

 

лечение активного заражения помойму занятие бредовое - снимите колесо у едущего автомобиля
тестировать и лечить надо перед запуском на исполнение/интерпретацию
ну а если зверек все таки проскочил - то первая мера - сделать заражение пассивным

щас на крабе тема скачать коллекцию 45 гигов - если есть уверенные в своем антивире - скачайте и позапускайте попорядку если число блокировок совпадет с числом запусков какието шансы у вас есть

 

TermoSINteZ

А что из фаеров нынче рулит?
Кроме оутпоста.

 

Рулит бдительность и внимательность. Жаль Symantec Antivirus почил с миром - хорошая была программка, Norton совсем не труъ.

 

=Censored=

 

NTarakanov

Вот скажите мне, зачем писать подобный бред? Добавление веса репутации в глазах других участников форума подобными желтыми комментариями? Врядли. Так в чем смысл было писать эту ахинею?

В этих тестах нет ничего такого, что при желании нельзя бы воспроизвести, с тем чтобы либо подтвердить их результаты либо опровергнуть. Претензии по качеству тестирования и результатам авторами принимаются и учитываются - внезапно без какой-либо платы.

Даже контора Данилова, которая при любом удобном случае всячески пытается проорать, что все куплено, все продались и вообще как стало страшно жить, тем не менее не гнушается вовсю пользоваться этими тестами для фиксов своих продуктов. При этом продолжая поливать авторов дерьмом.

 

EP_X0FF
Какая репутация на васме???
На данный момент, васм - жёлтый форум, Вы сами ведь на kernelmode.info!
EP_X0FF
Может вспомним Вашу Пиар-кампанию на rootkit.com:
чётко прослеживается тенденция:
сначала находились LPE в продуктах "Лаборатории Касперского" и всячески поливались дерьмом.
Затем Вы переключились на поливание дерьмом продуктов "Dr. Web".
Как там в KL, больше платят?

 

NTarakanov

Что вас так задело? Ну написали бред, что с кем-то не бывает?

По пунктам:

Вы написали

Что собственно я и упомянул в своем посте, цитата

По поводу остального - вы резко перевели стрелки вообще на тему, которая не имеет к объекту обсуждения никакого отношения. С тем же успехом вы бы могли спросить о погоде в Москве на прошлой неделе

 

Вы перепутали тему, пишите такое рядом со словом антивирус.

 

Как можно считать тесты от таких проектов как anti-malware.ru или matousec.com правдивыми???
Ведь чётко видна схема монетизации:
1.Делаем первый "грамотный тест" самых популярных AV/HIPS - и показываем что все они гуан (пример matousec с их BSODHook).
2.Дальше в течении определённого времени проводится второе тестирование.
3.Ожидание отклика от вендоров.
4.Договоры с вендорами.
5.Нарезка капусты.

 

TermoSINteZ

OK!
Открываем мою статью в журнале "Хакер" март 2011-го:
Повышение привилегий в Agnitum Ooutpost Security Suite Pro
Множественные уязвимости в VBEngNT.sys.
В процессе поиска багов, автор столнкулся с довольно интересным, на мой взгляд архитектурным багом, разработчики данной HIPS системы защитили все свои псевдоустройства, кроме одного, этот модуль играет своего рода dll только в пространстве ядра.
Handle на псевдоустройство \\.\vbengnt может получить Guest пользователь, и с помощью определённых ioctl запросов переписать память по любому адресу в простарнстве ядра, что ведёт к очень простому сцеранию эксплуатации.
Если подсчитывать точное количество уязвимостей а VBEngNT.sys - оно равняется 50(!!!) именно столько экспортных функций предоставляет этот модуль.

Код (Text):

1. .text:0002B850 ioctl_handler   proc near               ; DATA XREF: DriverEntry+86o
2. .text:0002B850
3. .text:0002B850 Irp             = dword ptr  8
4. .text:0002B850
5. .text:0002B850                 push    esi
6. .text:0002B851                 push    edi
7. .text:0002B852                 mov     edi, [esp+8+Irp]
8. .text:0002B856                 mov     eax, [edi+60h]
9. .text:0002B859                 mov     ecx, [eax+4]
10. .text:0002B85C                 mov     esi, [eax+8]
11. .text:0002B85F                 mov     edx, [edi+0Ch]
12. .text:0002B862                 mov     [esp+8+Irp], ecx
13. .text:0002B866                 mov     dword ptr [edi+1Ch], 0
14. .text:0002B86D                 movzx   ecx, byte ptr [eax]
15. .text:0002B870                 sub     ecx, 0
16. .text:0002B873                 jz      loc_2B97D
17. .text:0002B879                 sub     ecx, 2
18. .text:0002B87C                 jz      loc_2B967
19. .text:0002B885                 jz      short loc_2B8A0 ; ecx == 0x0E (IOCTL)

Далее:

Код (Text):

1. .text:0002B8A0 loc_2B8A0:                              ; CODE XREF: ioctl_handler+35j
2. .text:0002B8A0                 mov     eax, [eax+0Ch]
3. .text:0002B8A3                 mov     ecx, eax ; <----- в eax значение IoCtl кода
4. .text:0002B8A5                 shr     ecx, 2
5. .text:0002B8A8                 and     ecx, 0F00h
6. .text:0002B8AE                 cmp     ecx, 800h
7. .text:0002B8B4                 jz      short loc_2B8CD
8.  
9. [..]
10.  
11. .text:0002B8CD loc_2B8CD:                              ; CODE XREF: ioctl_handler+64j
12. .text:0002B8CD                 lea     ecx, [esp+8+Irp]
13. .text:0002B8D1                 push    ecx
14. .text:0002B8D2                 push    esi
15. .text:0002B8D3                 push    edx
16. .text:0002B8D4                 push    eax
17. .text:0002B8D5                 call    vuln_function

Далее:
Функция по адресу 0x0001DAA0 является своего рода шлюзом:

Код (Text):

1. .text:0001DAA0 vuln_function   proc near               ; CODE XREF: ioctl_handler+85p
2. .text:0001DAA0
3. .text:0001DAA0 arg_0           = dword ptr  4
4. .text:0001DAA0 arg_4           = dword ptr  8
5. .text:0001DAA0 arg_8           = dword ptr  0Ch
6. .text:0001DAA0 arg_C           = dword ptr  10h
7. .text:0001DAA0
8. .text:0001DAA0                 mov     eax, [esp+arg_0]
9. .text:0001DAA4                 shr     eax, 2
10. .text:0001DAA7                 push    edi
11. .text:0001DAA8                 mov     edi, [esp+4+arg_C]
12. .text:0001DAAC                 mov     ecx, [edi]
13. .text:0001DAAE                 and     eax, 0FFh
14. .text:0001DAB3                 cmp     eax, 32h
15. .text:0001DAB6                 mov     dword ptr [edi], 0
16. .text:0001DABC                 jb      short loc_1DAC7
17.  
18. [..]
19.  
20. .text:0001DAC7 loc_1DAC7:                              ; CODE XREF: vuln_function+1Cj
21. .text:0001DAC7                 mov     edx, [esp+4+arg_8]
22. .text:0001DACB                 cmp     edx, dword_45418[eax*4] ; <----- сравнение с правильными длинами
23. .text:0001DAD2                 jz      short loc_1DADD
24.  
25.  
26. [..]
27.  
28. .text:0001DAEB loc_1DAEB:                              ; CODE XREF: vuln_function+40j
29. .text:0001DAEB                 cmp     eax, 31h        ; switch 50 cases
30. .text:0001DAEE                 push    esi
31. .text:0001DAEF                 ja      loc_1E186       ; default
32. .text:0001DAEF                                         ; jumptable 0001DAF5 case 3
33. .text:0001DAF5                 jmp     ds:off_1E190[eax*4] ;<----- развилка на вызовы 50-ти функций

И финальный аккорд:
После перебора 50-ти функций,обнаружилось что с с помощью функции ENGINE_XmlMsgEmpty можно переписать любую память константыми значениями:

Код (Text):

1. .text:0001DBFC                 mov     esi, [esp+8+arg_4] ;
2. .text:0001DC00                 mov     eax, [esi]; <----- esi - наш буфер
3. .text:0001DC02                 push    eax
4. .text:0001DC03                 call    ENGINE_XmlMsgEmpty
5.  
6. [..]
7.  
8. .text:0001D200 ENGINE_XmlMsgEmpty proc near            ; CODE XREF: vuln_function+163p
9. .text:0001D200                                         ; DATA XREF: .edata:off_460A8o
10. .text:0001D200
11. .text:0001D200 arg_0           = dword ptr  4
12. .text:0001D200
13. .text:0001D200                 push    esi
14. .text:0001D201                 mov     esi, [esp+4+arg_0]
15. .text:0001D205                 test    esi, esi
16. .text:0001D207                 jnz     short loc_1D212
17.  
18. [..]
19.  
20. .text:0001D218                 add     esi, 14h ; <---- esi под нашим контролем
21. .text:0001D21B                 push    esi
22. .text:0001D21C                 call    sub_37650
23.  
24. .text:00037650 sub_37650       proc near               ; CODE XREF: ENGINE_XmlMsgEmpty+1Cp
25. .text:00037650
26. .text:00037650 arg_0           = dword ptr  4
27. .text:00037650
28. .text:00037650                 mov     eax, [esp+arg_0]
29. .text:00037654                 mov     dword ptr [eax+14h], 0;<---- запись 0x00000000 по произвольному адресу
30. .text:0003765B                 mov     dword ptr [eax+20h], 1
31. .text:00037662                 add     eax, 28h
32. .text:00037665                 mov     [esp+arg_0], eax
33. .text:00037669                 jmp     nullsub_1
34. .text:00037669 sub_37650       endp

P.S. не ищите эту уязвимость - она была исправлена.

 

Эксплоит приаттачить?

 

NTarakanov
Ок, я понимаю вашу точку зрения.

Теперь давайте вернемся к собственно теме топика.

Есть тест - Лечение активного заражения. Давайте не будем обсуждать остальные тесты AM, они к теме не имеют отношения.
Есть его методология - то есть правила тестирования и правила оценки результатов. Она имеет недостатки - да, тест во многом синтетический - да безусловно.

Имеется набор вредоносных программ, набор антивирусов.
Продукты тестируются на возможность удалить / вылечить тот или иной образец вредоносного ПО.

Все открыто - вы можете найти эти образцы вредоносного ПО (если хотите я могу вам их дать), скачать все эти антивирусные продукты и повторить тест.
Еще раз повторю - все открыто, никто ни от кого ничего не прячет. Да тесты могут быть не идеальными (и так зачастую и бывает), да в них могут быть ошибки - это все естественно.

Пожалуйста, не надо только разводить демагогию на счет, \"что вот не заплатили поэтому и не на первом-втором месте\". Тест открыт - вы можете все воспроизвести сами и подтвердить - опровергнуть эти результаты.

p.s.
Ни к Лаборатории Касперского, ни к Др.Веб я отношения не имею и никогда не имел. Предпочтений к их продуктам тоже не имею.

TermoSINteZ
По-моему ничего криминального в обсуждении теста нет, а сама тема на порядок чище и интереснее, чем большинство тем этого раздела.
На личности и прочий детский сад, я собственно и не планировал переходить

edit: typo

 

EP_X0FF
Вы ведь сами пишите:

И вот ключевая (опять же Ваша)фраза:

Тратить своё время на проверку реальности этих тестов, просто нету моральных сил, так как во время подготовки своего выступления на Chaos Construction в 2010-м году, я взял на тестирование около 20 AV/HIPS в алфавитном порядке от Agnitum до Zonealarm - убил примерно 2 недели, но и нашёл истину, что 80% продуктов имели ПРОСТЕЙШИЕ уязвимости класса r3->r0 (ioctl, SSDT/Shadow hooks, RC in SSDT/Shadow hooks).Что меня поражает, что на сегодняшний день, ещё сохранились продукты, в которых такие простейшие(в плане нахождения/патчинга) уязвимости СУЩЕСТВУЮТ!!!
TermoSINteZ

Да меня просто дико прикалывает АВ индустрия:
так, надо придумать тесты, чтобы мы там мерили у кого длиннее! - Давайте!!!
Так был рождём VirusBulletin 100 чего-то там....
Так, что-то VB уже не торт, надо что-то другое придумывать!!!
так родились matousec и AM

 

NTarakanov

Вы вырвали цитату из контекста. Если не помните, там это писалась к обоснованию почему же этот тест я считаю синтетическим и эта фраза приводилась как пример несостоятельности критерия А и Б. Что в итоге было резюмировано как необходимость комплексного тестирования (drop, install, work) с минимизацией или удалением злосчастных А и Б.

Есть существенная разница касательно Матушека и АМ. Первый неприкрыто трясет деньги за свои услуги. На АМ тестят за просто так, тестят даже продукт, чьи разработчики всячески поливают этот сайт дерьмом уже который год и каждый раз орут о продажности тестеров, даже когда их антивирус получает высшую награду (согласитесь такая реакция на высший результат - это клиника). И заметьте - Доктор Веб каждый год если не первый, то второй точно. Я не вижу никакой корреляции с историями о \"проплаченных\" или \"подставных\" тестах. Тест на лечение активного заражения воспроизводим и все заинтересованные вендоры его воспроизвели. Кто не захотел проверить, исправить продукт, дополнить его действительно полезными свойствами - ну это их проблемы и их плачевные результаты, которые из года в год становятся только хуже тому подтверждение.

 

А вообще по теме тестов AV/HIPS, которые реально отражают действительность, такую информацию пожалуй можно получить в приватных сервисах так называемого "черного" рынка.

 

NTarakanov
Еще раз - все открыто - проведите контрольное тестирование кого угодно, не обязательно проверять всех. Методология известна, все остальное тоже. Проверить один продукт на соответствие результатам займет от силы несколько часов. Не хотите? Тогда почему вы поливаете грязью работу других и обвиняете их в продажности не имея на то абсолютно никаких веских (да вообще никаких) оснований?