praegune kellaaeg 19.06.2025 21:06:40 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Bssldr
HV kasutaja
liitunud: 05.12.2009
|
23.10.2011 23:08:13
|
|
|
| friik1 kirjutas: |
Arutlus teemal, mis juhtuks siis kui käivitada vidin administraatoriõigustes, on üsna mõttetu, kuna eesmärk on seda takistada. Siiski, antiviirus käib kerneliruumis ning seal tegutsevad vidinad saavad teha praktiliselt ükskõik mida tahavad. Samamoodi järgivad nad ka adminiõigustes käivitatud asju ning pahavarale omaseid mustreid.
Sinu loogika järgi ei töötaks antiviirused üldse. Antiviirus kontrollib käivitatavat koodi sõltumata tema asukohast ning astub vahele. Käivitatav kood on üldjuhul muutumatu ning selle kontroll pole eriti ressursimahukas. Polümorfne kood on teine asi. Sellised asjad on üldjuhul haruldlased ning väga spetsiifilised. Ka pahavara on tihti polümorfne, seega on sellised rakendused false-positive'de allikad.
Ma saan aru, et sa oled progeja ning ei tea suurt midagi süsteemide kaitsest. Soovitan tutvuga terminitega riskianalüüs ja aksepteeritav jääkrisk. |
Kerneli-ruumis jääb peale see, kes esimesena saab oma koodi laetud ja huvipakkuvad kerneli funktsioonid hookitud - reaalsus on see, et pahavara teeb seda üldjuhul enne AV'd - edasi on "võitjal" täielik kontroll selle üle milliseid vastuseid saavad teised protsessid neilt funktsioonidelt. See, mis sa AV'de kohta räägid on tüüpiline loosungiteksti, mida AV tootjad oma toote kohta kirjutaksid - teeb seda, teeb toda - reaalsus on teine. Sa ülistad siin väga AV'de heuristikafunktsioone ja mustrite analüüsimist. Kas sa üldse tajud, mis pahavara oma olemuselt on? Pahavara kasutab neidsamu OSi poolt pakutavaid funktsioone, mida igasugune ohutu tarkvaragi - vahe on selles, mis eesmärgil. Samuti ei ole polümorfne pahavara mingi haruldus - on olemas isegi vastavad tooted masinkoodi obfuskeerimiseks. Ma tean väga hästi, kuidas ühte süsteemi rünnata ja ma tean väga hästi, millised kaitsemeetodid on OSi tasemel arvestatavad.
Sinule soovituseks: enne kui teemasse ründava iseloomuga postituse teed ja siis 10 posti jutti OSi arhitektuurist ja AV'de võimekusest mingit oma pseudoteooriat ajad, mõtle, kas sa ikka valdad teemat sellel tasemel nagu valdab see, keda ründad.
|
|
| Kommentaarid: 9 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
8 |
|
| tagasi üles |
|
 |
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
24.10.2011 09:11:28
|
|
|
Ärge kakelge  - juba oma paar aastakümmet on nii olnud, et viirusekirjutajad käivad alati sammu ees ja siis tulevad alle viirusetõrjujad. 
Ning veel ka väike ääremärkus, BIOS-i rünnakuvõimelisi viiruseid on mõned üksikud, näiteks CIH ja tema edasiarendused. Ülejäänud, mida väga massiliselt leida võib, on hoopis ikkagi Boot-viirused. Ehk siis "tegelased", mis arvuti käivitamisel kettalt esimesena mällu laetakse ja mis siis kõikvõimalikud enda vastu suunatud rünnakud ära blokeerivad.
- Aga õnneks pole ka neid eriti palju näppu jäänud, muidu on ääretult tüütud tegelased küll.
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
|
24.10.2011 10:17:10
|
|
|
Bssldr, ega antiviirusekirjutajad kah lollid pole. Sinu stsenaariumi järgi võimutseksid viirused igal sammul. Paraku on operatsioonisüsteemi ja antiviiruse poisid ikka natuke tööd teinud, et igasugused ohud maandada.
Selle koodi laadimise kohta niipalju, et mingisugune jubin antiviirusest laetakse juba bootloaderi poolt kerneli külge ning mingist viiruse ettejõudmisest ei saa juttugi olla. Ette jõudis antiviirus, kes juba toimuval silma peal hoiab. Uuemal ajal kernelile enam nii lihtsalt ligi ei saagi, tahab digiallkirju ning igasugu asju. Lisaks kontrollib enda terviklikust ning anomaalia korral kohe BSOD.
Polumorfse koodi kohta ma juba ütlesin, et need on antiviirustel kohe hammaste vahel, sõltumata sisust. Kunagi oli mingi polümorfse koodiga benchmark, mida ei saanud antiviirust kinni panemata üldse kasutada...
Sina muudkui eeldad, et sul on kohe ligipääs kernelmode ja süsteem on kaitsmata. Kui sa nii kõva viirusekirjutaja oled, siis tahaks kohe näha, kuidas sa kaitstud süsteemi sisse saad.
Teadmistest... no ütleme nii, et asutustes ei tehta üle nädala zero-filli ja ei paigaldata süsteeme uuesti... Süsteemid üldjuhul töötavad ikka aastaid ning viiruseuss eriti närimas ei käi, mis sellest et karjade viisi dumbusereid neid kasutab.
Aitab trolli söötmisest, pole mõtet enam vist postitada.
tahanteada, TPM ja Trusted Execution võtmesõnadeks. Raud kontrollib, mida mällu laetakse.
|
|
| Kommentaarid: 188 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
166 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
24.10.2011 12:19:47
Re: BIOS flashimine? |
|
|
| Bssldr kirjutas: |
Mainiks ära, et süsteem on puhas, aga teatud ajavahemike tagant teen siiski ennetavas mõttes kõikidele kõvaketastele zerofilli. Mõtlesin, et võiks nende meetodite hulka lisada ka BIOS flashimise. Oletame nüüd, et on worst-case scenario ja mingi pahalane istub nii BIOSis kui ka kõvakettal - mis oleks sellisel juhul parim cleanup meetod?
Ise olen mõelnud midagi sellist:
1. Kõvaketas tühjaks.
2. Q-Flash või DOS utiliidiga BIOSile flash (Windowsi-põhise flash utiliidiga võib pahalane arvatavasti manipuleerida).
3. OS peale. |
Kui tõesti worst case scenario siis oleks BIOSe kivi füüsiline vahetus ilmselt parim lahendus - kui paha juba BIOSis istub siis selleks ajaks kui sa mingi flashiva vidina laetud saad on ta oma töö juba teinud (ning see kehtib ka DOSi põhiste juppide kohta). Viskad kivi välja, paigutad kettad teise masinasse ja nullid seal, uus kivi sisse ja siis OSi installima. Siis jääb veel ainult see stsenaarium et juba tehases on kivvi pahalane istutatud (mida IIRC on täiesti ette tulnud)
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
avrn
Kreisi kasutaja
liitunud: 16.02.2007
|
|
24.10.2011 15:35:34
Re: BIOS flashimine? |
|
|
| HacaX kirjutas: |
| Siis jääb veel ainult see stsenaarium et juba tehases on kivvi pahalane istutatud (mida IIRC on täiesti ette tulnud) |
Selle kohta viidet pole?
|
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
Bssldr
HV kasutaja
liitunud: 05.12.2009
|
|
24.10.2011 20:51:17
|
|
|
| friik1 kirjutas: |
Bssldr, ega antiviirusekirjutajad kah lollid pole. Sinu stsenaariumi järgi võimutseksid viirused igal sammul. Paraku on operatsioonisüsteemi ja antiviiruse poisid ikka natuke tööd teinud, et igasugused ohud maandada.
Selle koodi laadimise kohta niipalju, et mingisugune jubin antiviirusest laetakse juba bootloaderi poolt kerneli külge ning mingist viiruse ettejõudmisest ei saa juttugi olla. Ette jõudis antiviirus, kes juba toimuval silma peal hoiab. Uuemal ajal kernelile enam nii lihtsalt ligi ei saagi, tahab digiallkirju ning igasugu asju. Lisaks kontrollib enda terviklikust ning anomaalia korral kohe BSOD.
Polumorfse koodi kohta ma juba ütlesin, et need on antiviirustel kohe hammaste vahel, sõltumata sisust. Kunagi oli mingi polümorfse koodiga benchmark, mida ei saanud antiviirust kinni panemata üldse kasutada...
Sina muudkui eeldad, et sul on kohe ligipääs kernelmode ja süsteem on kaitsmata. Kui sa nii kõva viirusekirjutaja oled, siis tahaks kohe näha, kuidas sa kaitstud süsteemi sisse saad.
Teadmistest... no ütleme nii, et asutustes ei tehta üle nädala zero-filli ja ei paigaldata süsteeme uuesti... Süsteemid üldjuhul töötavad ikka aastaid ning viiruseuss eriti närimas ei käi, mis sellest et karjade viisi dumbusereid neid kasutab.
Aitab trolli söötmisest, pole mõtet enam vist postitada.
tahanteada, TPM ja Trusted Execution võtmesõnadeks. Raud kontrollib, mida mällu laetakse. |
Kohe kurb vaadata, et sa nii loll oled.
See, kui tihti ma regulaarselt oma süsteemi puhastan on minu enda asi.
Miks sa arvad, et AV on mingi imeline toode, mis kõike näeb ja kinni püüab? Windowsis jooksev programm saab teha täpselt nii palju kui vastavad APId võimaldavad - nendele APIdele on ligipääs nii AV'del kui pahavaral. Mis takistab pahavaral end laadimast enne AV'd? Pahavara kirjutajatel on väga lihtne analüüsida AV'de toiminguid ja võtta käsutusse meetmed, mis garanteerivad selle, et pahavara kood saab esimesena laetud. Muidugi tunnevad AV tootjad oma ala, aga pahavara kirjutajal on alati eelis. Loomulikult on AV'st kasu, enamuse püüab ta kinni, kuid rohkem arenenud pahavara peale hammas ei hakka.
Digiallkirjad, räägid sa nüüd draiverite signeerimisest? Draiverite signeerimise nõudest saab mööda, samuti on olnud juhuseid, kus pahavara kirjutaja ostab lihtsalt Microsoftilt signeerimisvõtme või varastab selle mõnelt tuntud tarkvaratootjalt (viimati langes vist Realtek selle ohvriks).
OSi enda terviklikkuse kontroll? Kui tõhus see kontroll ikka on, kui rootkit kernelis möllama hakkab ja diagnostikafunktsioonid üle kirjutab.
Mingi polümorfse koodiga benchmark? Järelikult oli sitt benchmark ja analüüsimiseks oli võetud üsna kitsas valim. Ja kuna sa räägid nii umbmääraselt, siis võibolla lugesid sa seda juttu mõnest blogist, mille on kirjutanud samasugune idioot nagu sa ise. Kui masinkoodi obfuskeerida, ei ole võimalik vaatlemisel üheselt väita, et see kood on obfuskeeritud. Üsna palju kasutatakse pahavara puhul ka tehnikat, kus CPU instruktsioonid on krüpteeritud ning dekrüptitakse vahetult enne täitmist ning seejärel krüpteeritakse uuesti.
Tundub, et trollimise all mõtled sa seda, et ma kirjutan teksti, millest sa aru ei saa ja mis läheb vastuollu sinu valede arusaamadega. Ning tõesti, arvan, et sa ei peaks rohkem postitama, parajalt naiivne jutt on sul.
Kuna sa midagi uskuda ei taha, siis natuke lugemist reaalsete näidete kohta:
http://en.wikipedia.org/wiki/Stuxnet
http://en.wikipedia.org/wiki/Alureon
Lisaks veel omavahel konkureerivad Zeus ja SpyEye.
|
|
| Kommentaarid: 9 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
8 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
24.10.2011 22:13:27
|
|
|
Siin pole midagi teha, kui arvutiviiruste kirjutajad poleks "samm ees", siis poleks antiviirus-programmide kirjutajatel, viiruste analüüsijatel ka mitte kui midagi teha ja nad jääksid lihtsalt nälga.  
Nii oli see juba Windows 3.1 ajastul, Win95-Win98-Win Me-Win XP-Win 7 ajastutel ja nii saab see ka olema Win 8 ajastul. Lihtsalt on juba praegu teada, et usinamatel viirustekirjutajate pilk on juba praegu Win 8-le suunatud.
----------------------------------
Ning on veel üks keiss, mis eristab ammuseid aegu tänapäevast, nimelt uuendatakse tänapäeval viirusetõrjet juba mitu kordi päevas, vanasti oli see tihti nii, et programmi uuendati siis, kui arvutiomanikul see meelde tuli, kui üldse tuli.
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
blinx
HV vaatleja
liitunud: 28.11.2009
|
|
25.10.2011 21:02:56
|
|
|
Zerofill ka Hidden Protected Area
_________________
'Just buy everything then you're safe' |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
