|
Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
Опции темы | Опции просмотра |
19.05.2010, 04:54 | #1 (permalink) |
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
100% уязвимость известных антивирусных программ.
Новое открытие основано на том, что подавляющее большинство современных антивирусов используют для анализа файлов и исполняемого кода специальные драйверные перехватчики, скрытые в самых глубинах операционной системы. В прежние времена, когда все операции обрабатывались единым потоком, атакующим пришлось бы немало потрудиться, чтобы своевременно вставить вредоносный код на место только что проверенного фрагмента, но сейчас многоядерные процессоры привели к тому, что один поток обработки (тренд) часто не может отследить работу других трендов. В результате практически все современные антивирусные пакеты для Windows можно обмануть и пропустить через них вредоносный код, который в иных условиях будет полностью блокирован. Механизм, помогающий обходить системные механизмы безопасности, которые используют антивирусные продукты, получил название KHOBE (Kernel HOok Bypassing Engine – механизм обхода перехватчиков ядра), а сам метод назван «argument-switch»(подмена аргумента). Все что нужно для обмана антивирусных программ по новому методу, это чтобы антивирус использовал для изменения ядра операционной системы перехватчики (hook) из таблицы дескрипторов системных служб SSDT (System Service Descriptor Table). По результатам проведенного теста уязвимости оказались подвержены 100% из 34 проверенных продуктов. Кроме того, для выполнения вредоносных действий достаточно, чтобы пользователь вошел под учетной записью, не имеющей полномочий администратора. Конечно, у нового метода есть серьезные ограничения. Для атаки необходимо поместить на машину большой объем кода, так что новый метод не подойдет для атак с помощью консольных сценариев или атак, где главным фактором успеха является быстрота и незаметность. Фактически, атака по новому методу возможна только тогда, когда атакующий имеет реальную возможность для запуска двоичных исполняемых файлов на атакуемой машине. Новую технику атаки можно сочетать с использованием уязвимостей в других программах, например, в уязвимых версиях Adobe Reader или Oracle JVM (Java Virtual Machine) – с помощью такой комплексной атаки можно внести на машину вредоносный код, не вызывая подозрений у антивирусной программы. Если разработчику вредоносного кода удастся своевременно подменить содержание проверяемого файла, код вируса может полностью уничтожить установленный и корректно работающий антивирус, обойдя системные перехваты событий в собственном тренде и не используя полномочия администратора. matousec.com Будьте осторожны. |
19.05.2010, 04:54 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Иногда проблему можно решить сразу, нужно только посмотреть аналогичные топики Русификация программ Конфликт нескольких антивирусных ПО Нет доступа к сайтам антивирусных компаний Установка программ. Интерфейс для программ |
18.06.2010, 11:12 | #4 (permalink) |
4846АМ
Регистрация: 07.05.2010
Сообщений: 1,941
Записей в дневнике: 22
Сказал(а) спасибо: 3
Поблагодарили 4 раз(а) в 3 сообщениях
Репутация: 7564
|
Все приплыли... Переходим на linux
__________________
Человек будет свободен до тех пор, пока дважды два равно четырем |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|