Jump to content
ossa

Вопрос по синтетическому тесту CLT

Recommended Posts

4 минуты назад, Maratka сказал:

Меня интересует не скриншот, а понимание вопроса.
Как прописать нужную DLL в список KnownDlls?

Изменить реестр, а как ещё? Именно этот ключ в автозагрузке

 

Screenshot_44.png

Share this post


Link to post
1 минуту назад, ossa сказал:

Изменить реестр, а как ещё? Именно этот ключ в автозагрузке

Что такое "изменить реестр"?

Share this post


Link to post
8 минут назад, Maratka сказал:

Что такое "изменить реестр"?

Изменить реестр - это значит приложением clt.exe попытаться внести изменения в данном ключе реестра.

Share this post


Link to post
6 минут назад, ossa сказал:

Изменить реестр - это значит приложением clt.exe попытаться внести изменения в данном ключе реестра.

Тогда попытайтесь пожалуйста объяснить, по какой причине данной привилегии нет в 64-битной системах?
Ведь чего проще казалось бы, обычный монитор реестра, обычное приложение, и обычный ключ. Приложение изменяет ключ, монитор реестра сообщает. А вот нет его на x64 системах. И далеко не только его одного нет, отсутствует ~30% перехватов вызова функций.

Share this post


Link to post
15 минут назад, Maratka сказал:

Тогда попытайтесь пожалуйста объяснить, по какой причине данной привилегии нет в 64-битной системах?
Ведь чего проще казалось бы, обычный монитор реестра, обычное приложение, и обычный ключ. Приложение изменяет ключ, монитор реестра сообщает. А вот нет его на x64 системах. И далеко не только его одного нет, отсутствует ~30% перехватов вызова функций.

Не понял, почему это нет? А куда этот ключ подевался в 64-битных системах?

Share this post


Link to post
1 минуту назад, ossa сказал:

Не понял, почему это нет?

Ну не знаю. Нет, и нет ее. Совсем нет. И не было никогда.

3 минуты назад, ossa сказал:

А куда этот ключ подевался в 64-битных системах?

Никуда не подевался. На месте он. Только вот привилегии KnownDLLs на 64-битных ОС нет.
Хотя казалось бы, не все ли равно какой ключ реестра мониторить? :D

Share this post


Link to post
11 минут назад, Maratka сказал:

Никуда не подевался. На месте он. Только вот привилегии KnownDLLs на 64-битных ОС нет.

А, ну это да, так и есть. Этот ключ в KIS для 64-х битных систем даже не контролируется "Контролем программ". Привилегии нет. Может быть потому, что для 32-х битных систем эта запись реестра со списком KnownDlls нужна именно для поиска неявно загруженных dll-библиотек.

Edited by ossa

Share this post


Link to post
4 минуты назад, ossa сказал:

Может быть потому

Не может.
А просто потому оно так, что в 64-битных системах функционал антивирусов ограничен стараниям Microsoft.
Однако, т.к. мы с Вами оба отлично знаем, что мониторить файл или ключ реестра антивирус умеет вне зависимости от системы, то значит пройти тест ограничением чтения файла вряд-ли удастся: CLT очень вероятно просто не использует его во время теста. Вопрос состоит в системных вызовах, а значит Ваши ограничения на чтение файла - это просто бутафория:

1 час назад, ossa сказал:

Эта библиотека читается clt.exe при запуске приложения, то есть вообще до начала тестирования. Если запретить чтение, получаем два алерта о том, что точка входа в процедуру не найдена. Прога CLT всё равно при этом запускается. Далее тест проходится в полном объёме. Если разрешить, будет та же самая уязвимость в инъекции KnownDlls. Отсюда вывод - это просто вспомогательная либа, позволяющая нормально отработать тестовому инструменту. Соответственно за объяснение вопроса это принять невозможно.

 

Share this post


Link to post

В общем я понял пока одно. Можно сказать с уверенностью, что вот эта опция на скрине контролирует совсем не то, что подразумевают в своём тесте инъекцией KnownDlls разработчики Comodo LeakTests. Поэтому и срабатывания "Контроля программ" нет. Не думаю, чтобы разработчики Kaspersky и Comodo ошибались в таких вещах.

 

Screenshot_49.png

Share this post


Link to post

Контролирует то то. :D
Но проверять это в антивирусе ЛК нужно с помощью других утилит. CLT тут очевидно не походит.

Share this post


Link to post

Смотрите как проходит этот тест HIPS Comodo. Вот какой алерт появляется - на попытку доступа к так называемому "защищённому COM-интерфейсу". Кликнешь "Разрешить" и будет уязвимость.  А в "Контроле программ" KIS  эти интерфейсы вообще не контролируются. Вот кажется мы и подошли к разгадке

 

Screenshot_50.png

Screenshot_51.png

Share this post


Link to post

Как раз advapi32.dll  предоставляет пользовательским приложениям специальные функции доступа к реестру. Подключение к COM-интерфейсу advapi32.dll даст приложению возможность работать с реестром полностью легально  посредством Windows API.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.