Защита от связок эксплоитов.

[Malriser]

Цитата:

Сообщение от Utkin

Все возможно, но как-то несерьезно опять рассуждаете. Вы знаете, что теоретически выходя на улицу Вы подвергаетесь опасности попадания метеорита в голову? Поэтому сидите дома и никуда не выходите. Я так и не понял как в 7-8 винде Вы обойдете защиту браузера, антивируса и винды? И Вы наверно тоже в курсе, что пакованные/шифрованные исполняемые файлы, автоматически считаются бякой в наше время? Даже если предназначены для показа открытки ко дню святого Валентина? То есть в результате я должен получить окошко с надписью - разрешить неизвестной гадости с мутным именем agshdfd65478.tmp внести изменения на данном компьютере? Что же выбрать, разрешить или не разрешить?

http://www.rapid7.com/db/modules/exp...ocal/bypassuac
https://msisac.cisecurity.org/adviso...3/2013-105.cfm
http://www.symantec.com/security_res...jsp?asid=22523
http://habrahabr.ru/company/pentestit/blog/182246/
http://www.wiki-security.com/wiki/Parasite/RootkitTDSS/
http://forum.k0d.cc/forumdisplay.php?f=38
http://www.exploit-db.com/search/?ac...b=&filter_cve=


Предпочту ответ ссылками, а не словами

[Utkin]

Цитата:

Предпочту ответ ссылками, а не словами

Ссылка с сайта производителя антивируса, как бэ говорит нам, что или решение уже есть или вот-вот появится. Ключевой посыл - пользуйтесь антивирусами. Ссылка на хабре 5 июня - для вирусов это большой срок.
И да, забыл - новые БИОС со всякими там UEFI. Переписать место откуда грузиться система при включенных выпендрежах теперь пупец как сложно.

[Malriser]

Цитата:

Сообщение от Utkin

Ссылка с сайта производителя антивируса, как бэ говорит нам, что или решение уже есть или вот-вот появится. Ключевой посыл - пользуйтесь антивирусами.
И да, забыл - новые БИОС со всякими там UEFI. Переписать место откуда грузиться система при включенных выпендрежах теперь пупец как сложно.

Не сказал бы. Зачем через биос? Можно похерить виндовый загрузчик своим, и только потом передавать управление первому.


Пример: http://www.dood.tk/2012/07/mbr-locker.html

[Utkin]

Потенциально возможно все, это уже обсуждалось и так всем ясно, зачем повторяться? Меня интересуют реальные возможности.

[Arigato]

Реальные возможность очень простые: "Скачать песню бесплатно без регистрации и смс", по клику выдает на закачку что-то вроде music.mp3.exe
Ну и как обычно, юзвер качает, не глядя соглашается с непонятными вопросами системы и готово.

[Malriser]

Цитата:

Сообщение от Utkin

Потенциально возможно все, это уже обсуждалось и так всем ясно, зачем повторяться? Меня интересуют реальные возможности.

А я вам говорил не про реальные возможности?

http://www.securitylab.ru/news/439614.php

Если кого-то за это арестовывают, значит это реальная возможность? Или я не прав ?)

[Utkin]

Цитата:

Если кого-то за это арестовывают, значит это реальная возможность? Или я не прав ?)

Не знаю, мало данных для анализа. В статье как-то вскользь об этом говорится.

Цитата:

Ну и как обычно, юзвер качает, не глядя соглашается с непонятными вопросами системы и готово.

Ну глупость юзера это другое как бы. Тут описывается ситуация - что я просто зашел на страничку и бах, все пропало.
При этом мой бесплатный AVG сканирует странички перед открытием. И пару раз ругалось на вполне благочинные сайты - как раз по поводу эксплойтов (последний раз заблокировал сайт с материалами по системному анализу). При этом весь цимес и начался из-за того, что я и ранее писал - современные антивирусы имеют средства защиты и от эксплойтов. Поэтому их использование вполне оправдано и в данных случаях.
Хотя казалось бы - открыл офсайт того же Касперского:

Цитата:

О защите от эксплойтов
В Антивирусе Касперского реализована новая технология предотвращения и блокирования действий программ-эксплойтов. Эта технология предназначена для защиты от вредоносных программ, использующих уязвимости в популярных приложениях, таких как Adobe Reader, Internet Explorer, Firefox и др., для осуществления вредоносных действий с целью получения контроля над компьютером, кражи личных данных пользователей и т. д.

Технология защиты от программ-эксплойтов в Антивирусе Касперского включает в себя следующие методы:

•Контроль запуска исполняемых файлов из уязвимых программ и веб-браузеров (например, попытка запуска исполняемого файла программой, предназначенной для просмотра документов).
•Контроль подозрительных действий уязвимых программ (например, повышение прав выполняемой уязвимой программы, запись в память системы других процессов).
•Мониторинг действий программ предыдущих запусков (например, была ли запущена программа пользователем или эксплойтом).
•Отслеживание источника вредоносного кода (например, веб-браузер, который запустил скачивание зараженного файла; удаленный веб-адрес).
•Предотвращение использования уязвимостей программ

[Arigato]

Спорить бессмысленно. Это вечная борьба вирусмейкеров и антивирусных компаний (есть даже мнение, что за частую это одно и тоже лицо). Если будет найдена какая-то новая уязвимость, не факт, что антивирус ее отловит. Но как только она станет известна, антивирус проапгрейдят.