При запуске игры marathon ошибка W:8:80090305

[Maratka]

8 минут назад, AlexeyK сказал:

У Вас фришник вроде, но вообще есть БП для этого.)

А принцип его работы Вы в курсе?
Т.е. принцип там разумный, ничего плохого не скажу. Очень правильный... Но если малвара в ядре...А установка драйвера - то по части опять же SW. HIPS там рулит на 100%, если настроен, но настроен он у 5% потребителей, то просто статистика, я ее помню из года так 2014 (не 2017, когда еще работал) - но там дельта процента - 1-2 единицы в любом случае.

[Igor Kurzin]

@puppycat, дополнительные данные больше не требуются (получили воспроизведение), в данный момент занимаемся анализом проблемы. 
Как временное обходное решение можно настроить исключения для процессов: 

C:\Program Files (x86)\Steam\steamapps\common\Marathon\MarathonLauncher.exe
C:\Program Files (x86)\Steam\steamapps\common\Marathon\Marathon.exe

[AlexeyK]

1 минуту назад, Maratka сказал:

Но если малвара в ядре

А ядро современной ОС позволит запуститься неподписанному драйверу? Он туда каким образом проникнет и приступит к деятельности? 🙂 Защита ОС тоже не стоит на месте, тут много чего сделано.

Даже некоторые тестовые сборки продуктов ЛК невозможно использовать, если не включить тестовый режим ОС или не отключить проверку подписи драйверов.

[Maratka]

Ну это кое-что удобоваримое.
Если временно, и временно - это на недели. 
 

1 минуту назад, AlexeyK сказал:

А ядро современной ОС позволит запуститься неподписанному драйверу?

А с чего Вы решили, что неподписанного? Опыт Рилтека не учит?

[AlexeyK]

16 минут назад, Maratka сказал:

Опыт Рилтека не учит?

Realtek fixed a security vulnerability discovered in the Realtek HD Audio Driver Package that could allow potential attackers to gain persistence, plant malware, and evade detection on unpatched Windows systems.

Ну и что, нашли потенциальную уязвимость и справили, ничего особенного, если речь про это. 

Я так же могу сказать, что настройка исключений для файлов, рекомендованная специалистами ЛК - это потенциальная уязвимость и может быть использована злоумышленниками. Вопрос ведь в вероятности. 

Edited May 6 by AlexeyK

[Maratka]

5 минут назад, AlexeyK сказал:

Я так же могу сказать, что настройка исключений для файлов, рекомендованная специалистами ЛК - это потенциальная уязвимость и может быть использована злоумышленниками. Вопрос ведь в вероятности. 

А я выше написал про точечные атаки.

Когда статьи идут в Яндексе, что пенсионер отправил жулью на "безопасный счет" 14 млн рублями - это  как?
Да так, находят таких! Когда Долина хату продавала - она абы кому непойми зачем продавала? Да нет, то была точечная атака на Долину, иначе откуда им знать, что хата не 10, а все 150 млн тянет?

[andrew75]

10 минут назад, AlexeyK сказал:

Я так же могу сказать, что настройка исключений для файлов, рекомендованная специалистами ЛК - это потенциальная уязвимость и может быть использована злоумышленниками. Вопрос ведь в вероятности. 

а сколько нужно вложить чтобы использовать эту потенциальную уязвимость и сколько можно на этом получить? 🙂

[AlexeyK]

13 минут назад, andrew75 сказал:

а сколько нужно вложить чтобы использовать эту потенциальную уязвимость и сколько можно на этом получить? 🙂

Так уязвимость драйверов тоже так и осталась теоретической, по крайней мере не сообщалось о реальных атаках вроде бы. Я про то и пишу - вероятность.

Вообще, в продукте можно отключить любые компоненты, в т.ч. МА, и выбрать игнорирование в ЦУ - и продукт даже не будет никак беспокоить пользователя напоминаниями. И только отключение ФА не даст себя забыть, игнорировать его нет возможности. Это не я придумал, а разработчики. Они не считают, что при таких отключениях защита обрушится - в отличие от ФА.

19 минут назад, Maratka сказал:

пенсионер отправил жулью на "безопасный счет" 14 млн рублями - это  как?

Вот ведь незадача, неужто все оттого, что он отключил-таки в антивирусе МА во время игры... 😀

[Maratka]

33 минуты назад, AlexeyK сказал:

Так уязвимость драйверов тоже так и осталась теоретической, по крайней мере не сообщалось о реальных атаках вроде бы. Я про то и пишу - вероятность.

Теоретическая и не сообщалось - это не синонимы. Рилтек по понятной причине была заинтересована замять.
Опять же, не вдавался я в эти нюансы -может и теоретически оно было. Я не вникал в те времена в это подробности, слышал что называется "краем уха".

Ну вот сейчас дай думаю посмотрю - читаю:
"Все началось с того, что специалисты белорусской антивирусной компании «ВирусБлокада» 9 июля обнаружили интересную вредоносную программу, драйвера которой имели легальную цифровую подпись от Realtek. На этом сюрпризы не закончились, так как эта вредоносная программа использовала ранее неизвестную уязвимость в обработке LNK-файлов"

https://habr.com/ru/companies/eset/articles/99506/
 

т.е. я про что: что-то там было. Я не вникал, да и не суть - было, ибо писали про это на уровне выше моего, значит было про что писать.

Возможно, это про разные уязвимости (еще раз - не вникал), т.е. было их две, или даже больше. Суть то какая? А суть в том, что ЛК была вынуждена блокировать на своем уровне подпись RtlK, ибо... а там начали отваливаться всякие микшеры с полуофициальных их драйверов, ибо собери их все до кучи, и добавь в KSN - правильно, не выйдет... ну т.е. можно, но ?попу рвать...  А зачем, не ЛК же проблема?

 

[AlexeyK]

@Maratka Я не знаю, конечно, технических подробностей работы компонентов, но по косвенным признакам можно говорить, что глобально SW важен скорее даже не столько для пользователя, сколько для сбора данных KSN, которая получает много информации о разных событиях в системах для дальнейшего анализа и выявления угроз.

Вот "заявление об обработке данных" KART, который по сути вырезанный SW с облаком. Там большое количество всевозможных данных по соединениям и обменом статисткой SW и KSN. Можно через поиск по словам KSN и System Watcher найти.

Edited May 6 by AlexeyK