Jump to content
Sign in to follow this  
catforalice

Работа проактивной защиты в KAV2012

Recommended Posts

В проактивной защите, есть раздел "подозрительные обращения к реестру". По умолчанию, данный параметр включен.

Пишем простейший батник а-ля:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t reg_sz /d virus.exe /f

смотрим на изменившийся параметр Shell.

Вопрос: ветка Winlogon не является важной или проактивная защита работает по какому-то особому алгоритму?

 

Share this post


Link to post

to catforalice:

"Подозрительное обращение к реестру" в проактивной защите означает не мониторинг неких "критичных мест", а создание ключей, неоткрываемых/ неудаляемых стандартными средствами.

Мониторинг в ожидаемом смысле был в Kav был в v6-v7 и v6/v6R2 Wks. С v8 персональной линейки он есть только в Kis.

 

По поводу "подозрительных" - все достаточно просто:

- см., например, RegDelNull

Для чего так было сделано:

в свое время этот 'приемом' пользовалась малварь. См. например, описание того же RootkitRevealer со слов "Key name contains embedded nulls". Еще пример

 

Ныне описание того, что же этот пункт означает, осталось, похоже, только в доках к Wks :)

Edited by fp_post

Share this post


Link to post

К чему я спрашиваю: советуя людям базовую версию, я по сути, рекомендую полу-работающее ПО ибо в борьбе с винлоками (что на данный, момент является зубной болью пользователей) незащищенный системный реестр - путь к заражению. У базовой версии Dr.Web 6, в этом плане все в порядке: в расширенных настройках есть опции защиты реестра и блокирование низкоуровневой записи на винчестер (все работает, проверено).

P.S. на предложение поменять KAV на KIS, возражу: а зачем тогда выпускать настолько резанные версии нормального продукта?

P.P.S. позапрошлой зимой, мной поднималась данная тема и тестеры вроде-как ответили, что в последующих версиях, контроль над жизненно важными ветками реестра будет восстановлен, но...

P.P.P.S Продукты Касперского мне очень нравятся: все мои объекты, которые я заставил купить лицензию на KIS или Work Space, тему вирусов закрыли навсегда, но домашнему юзеру, зачастую, KIS - дорого, а KAV лажается ну просто на ровном месте. :icon20:

Edited by catforalice

Share this post


Link to post
У базовой версии Dr.Web 6, в этом плане все в порядке: в расширенных настройках есть опции защиты реестра и блокирование низкоуровневой записи на винчестер (все работает, проверено).
При заражении неизвестным винлоком с использованием автозагрузки и последующей перезагрузкой системы - ничего вам не поможет.

P.S. на предложение поменять KAV на KIS, возражу: а зачем тогда выпускать настолько резанные версии нормального продукта?

КАВ в основном для компьютеров, которые редко имеют доступ в интернет.

Винлоки распространяются только через интернет, поэтому рекомендуйте КИС, ~1600 на 2 компьютера.

Share this post


Link to post
При заражении неизвестным винлоком с использованием автозагрузки и последующей перезагрузкой системы - ничего вам не поможет.

 

КАВ в основном для компьютеров, которые редко имеют доступ в интернет.

Винлоки распространяются только через интернет, поэтому рекомендуйте КИС, ~1600 на 2 компьютера.

Класс, просто класс! Я, как инженер IT, конечно понимаю, что антивирус - не панацея, но сама формулировка: "При заражении неизвестным винлоком ... ничего вам не поможет." просто прелесть :b_lol1: может стоит разместить данный слоган на упаковочке? :b_lol1:

Если при заражении неизвестным винлоком, он (винлок) не сможет изменить путь к Shell, Userinit, прописать политики, то, по крайней мере, юзер получит рабочий стол при загрузке и работающий антивирус, который (до появления сигнатур) будет хотя бы блокировать винлок.

Удивительно: касперский отлично справляется с WinSector, Kido и прочей гадостью, а тут - примитивный, относительно, винлок, манипулирующий файлами и ключами реестра. <_<

 

Share this post


Link to post

Меня больше напрягает тот факт что в рекомендуемом при установке автоматическом режиме дроппер TDL получает группу "Слабые ограничения", то есть буквально допуская заражение. А если учесть тот факт что 80% пользователей на все алерты ХИПСа жмут: "Да, доверяю" или "Да, разрешить" то получается что защита от TDL в KIS примитивна.

Share this post


Link to post
Класс, просто класс! Я, как инженер IT, конечно понимаю, что антивирус - не панацея, но сама формулировка: "При заражении неизвестным винлоком ... ничего вам не поможет." просто прелесть :b_lol1: может стоит разместить данный слоган на упаковочке? :b_lol1:

 

Попросите Ummitium - может он и разместит.

А заодно и расскажет, откуда у него в автозагрузке винлок берется.

Share this post


Link to post

При этой "примитивной" защите КИС хорошо ловит и лечит TDSS (TDL по вашему). :) Может и защита не такая уж "примитивная"?

Share this post


Link to post
P.P.P.S Продукты Касперского мне очень нравятся: все мои объекты, которые я заставил купить лицензию на KIS или Work Space, тему вирусов закрыли навсегда, но домашнему юзеру, зачастую, KIS - дорого, а KAV лажается ну просто на ровном месте. :icon20:

 

Посоветуйте им пить в день на бутылочку пива меньше.

Разницу между КАВ и КИС наберут за месяц, а за полтора-два выйдет полная лицензия на КИС в добавок к лицензии на КАВ, который "не дорого".

Share this post


Link to post
Посоветуйте им пить в день на бутылочку пива меньше.

Разницу между КАВ и КИС наберут за месяц, а за полтора-два выйдет полная лицензия на КИС в добавок к лицензии на КАВ, который "не дорого".

Нет, я сделаю лучше: просто порекомендую антивирус Игоря Данилова... :supercool:

 

Share this post


Link to post
Нет, я сделаю лучше: просто порекомендую антивирус Игоря Данилова... :supercool:

Это пожалуйста :)

Share this post


Link to post
При этой "примитивной" защите КИС хорошо ловит и лечит TDSS (TDL по вашему). :) Может и защита не такая уж "примитивная"?

Ага, особенно когда TDL3 при кис 11 возрождается после перезагрузки, а при лечении "внебрачного" сына третьего TDL'я Zeroaccess, зависание системы, а после жесткой перезагрузки zeroaccess на месте.

 

Share this post


Link to post
Ага, особенно когда TDL3 при кис 11 возрождается после перезагрузки, а при лечении "внебрачного" сына третьего TDL'я Zeroaccess, зависание системы, а после жесткой перезагрузки zeroaccess на месте.

Мне было бы очень интересно посмотреть это дело на 2012.

Который из TDL3? Нужен дроппер (в личные сообщения).

Share this post


Link to post
Мне было бы очень интересно посмотреть это дело на 2012.

Который из TDL3? Нужен дроппер (в личные сообщения).

К сожалению дроппера у меня уже нет, так как я два месяца назад переустановил систему.

Edited by CatalystX

Share this post


Link to post
К сожалению дроппера у меня уже нет, так как я два месяца назад переустановил систему.

 

Тогда я был бы очень благодарен, если бы Вы писали про разного рода "неработу" антивирусов, как то "нелечение малвары" только в тех случаях, когда готовы предоставить сценарий для воспроизведения и исправления.

 

Сотрясать воздух все умеют :)

 

p.s.

Обычно пользователи исхитряются хранить документы так, чтобы они не пропадали при "переустановке системы".

Edited by Maratka

Share this post


Link to post
Если при заражении неизвестным винлоком, он (винлок) не сможет изменить путь к Shell, Userinit, прописать политики, то, по крайней мере, юзер получит рабочий стол при загрузке и работающий антивирус, который (до появления сигнатур) будет хотя бы блокировать винлок.

Удивительно: касперский отлично справляется с WinSector, Kido и прочей гадостью, а тут - примитивный, относительно, винлок, манипулирующий файлами и ключами реестра. <_<

Если дропер будет заражать особым способом, то продукт вам не поможет, так как не будет работать в момент заражения.

Попросите Ummitium - может он и разместит.

А заодно и расскажет, откуда у него в автозагрузке винлок берется.

Дропер его туда прописывает, причем при работающем антивиурсе и перезагружает систему, при старте системы происходит заражение. (воспроизводилось на виртуалке с участием КАВ 2012, DrWeb 6.0, NIS 2012, Eset Smart Security 5.0)

Share this post


Link to post
И на запись в автозагрузку молчит ХИПС?

Если ГУИ не активно, то молчит естественно, как и в авто режиме. И "автозагрузок", кстати тьма. Да и способов прописать в неё доверенными прогами тоже хватает.

 

Share this post


Link to post
И на запись в автозагрузку молчит ХИПС?
Если брать КИС, то смотря в какие ограничения попадет дропер при запуске. Если в слабые, то промолчит (с Рекомендуемыми специалистами ЛК настройками ), если брать КАВ или DrWeb 6.0, то точно промолчит.

 

Share this post


Link to post
Если брать КИС, то смотря в какие ограничения попадет дропер при запуске. Если в слабые, то промолчит (с Рекомендуемыми специалистами ЛК настройками ), если брать КАВ или DrWeb 6.0, то точно промолчит.

 

Неужели?

Т.е. грамотные пользователи, которые заражают систему малварой, чтобы посмотреть "что дальше будет" не могут заблокировать запись в авторан для всего, что "неизвестное"?

Или не могут поставит галочку "все незвестное в сильные ограничения"?

Или что они еще не могут?

Edited by Maratka

Share this post


Link to post
Если ГУИ не активно, то молчит естественно, как и в авто режиме. И "автозагрузок", кстати тьма. Да и способов прописать в неё доверенными прогами тоже хватает.

 

 

Хватает - значт больше чем "один"?

Так расскажите (в личные сообщения), как можно прописаться в автозапуск при установленном КИС 2012.

Share this post


Link to post
Хватает - значт больше чем "один"?

Так расскажите (в личные сообщения), как можно прописаться в автозапуск при установленном КИС 2012.

На неделе может выложу несколько способов, и не в личные сообщения. Сейчас очень занят, выкроил пару минут в перекурах. Убеждать и доказывать что-то лично Вам не вижу смысла. Вы не можете повлиять на изменения функционала КИС. А как самый первый способ - это запустить абсолютно любую, например самописную прогу, сразу же после появления раб.стола. Прогу можно разместить на флешке, к примеру.

Share this post


Link to post
Хватает - значт больше чем "один"?

Так расскажите (в личные сообщения), как можно прописаться в автозапуск при установленном КИС 2012.

Вот, пока только одна прога. Не претендует на абсолютную работоспособность, но это дело наживное. На большие ковыряния времени пока всё ещё нет. На ХР прописывает вредоносный батник(и) в автозагрузку, находясь даже с сильных ограничениях. Умудряется выполнить часть "вредоносных" действий даже будучи запущена из под учетной записи "Гость". Естественно, вместо батника может быть любая недетектируемая малвара. Даже на прописывание Еикара КИС2012 с задержкой реагирует, а не мгновенно.

Edited by Alexandr Donovskiy
Удалено

Share this post


Link to post
Вот, пока только одна прога. Не претендует на абсолютную работоспособность, но это дело наживное. На большие ковыряния времени пока всё ещё нет. На ХР прописывает вредоносный батник(и) в автозагрузку, находясь даже с сильных ограничениях. Умудряется выполнить часть "вредоносных" действий даже будучи запущена из под учетной записи "Гость". Естественно, вместо батника может быть любая недетектируемая малвара. Даже на прописывание Еикара КИС2012 с задержкой реагирует, а не мгновенно.

 

Достоевский, у меня была просьба в личные сообщения.

В "личные" - это так, чтобы я видел, и Вы. И все.

А как там влиять на функциона ХИПСа - это уже мои проблемы, ага?

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.