Уязвимость Windows в win32k.sys

Svart Testare · 09-12-10 19:15:35

petrun пишет:

И что, с обновлением базы происходит обновление эвристики?

Наверное. Ведь как у эксплойта может быть сигнатура? Это же нелепо. А вот попытка использовать какую-то функцию или ещё что-то неподобающим образом — это как раз повод для срабатывания эвристики.

petrun · 09-12-10 19:50:40

Svart Testare пишет:

А вот попытка использовать какую-то функцию или ещё что-то неподобающим образом

Ее используют вполне подабающим образом - почитайте внимательно. Другое дело, что в ней ошибка.

Svart Testare · 09-12-10 20:10:16

petrun пишет:

Другое дело, что в ней ошибка.

Ну а как можно ошибку в функции отразить в сигнатурах антивируса? Он может отреагировать если эту функцию какой-то софт пытается вызвать.

petrun · 09-12-10 20:22:09

Svart Testare пишет:

Ну а как можно ошибку в функции отразить в сигнатурах антивируса?

А я вам про что говорю?
Только меры вроде вспывающего окошка "кто-то вызвал функцию".

Svart Testare · 09-12-10 20:29:43

petrun пишет:

Только меры вроде вспывающего окошка "кто-то вызвал функцию".

Так он и блокирует процесс, пытающийся вызвать эту функцию и эксплуатировать эксплойт (сорри за тавтологию). В общем, пользователь защищён. Даже если он получит некую гадость, которая попытается локально повысить привилегии и что-то наделать.

petrun · 09-12-10 20:32:54

Svart Testare пишет:

Так он и блокирует процесс, пытающийся вызвать эту функцию

А ничего, что эту функцию вызывают куча программ, помимо экспойта?

Svart Testare · 09-12-10 20:35:45

petrun пишет:

А ничего, что эту функцию вызывают куча программ, помимо экспойта?

Вот MSE как-то на другие программы не реагирует, а на эксплойт сразу заорал и дал ссылку на техническое описание на сайте MS.

petrun · 09-12-10 20:36:53

Svart Testare пишет:

Вот MSE как-то на другие программы не реагирует, а на эксплойт сразу заорал и дал ссылку на техническое описание на сайте MS.

Сказка про белого бычка. Тут-то он на сигнатуру реагирует.

Mazzy · 09-12-10 20:41:23

Svart Testare, ну ё-моё, хватить петь песни МСЕ. Вот вам:

Lord_Evil · 09-12-10 20:42:42

Svart Testare пишет:

Вот MSE как-то на другие программы не реагирует, а на эксплойт сразу заорал и дал ссылку на техническое описание на сайте MS.

Т.е. ты сейчас проверил? Так может все-таки по сигнатуре он его подцепил? Попробуй собрать код эксплоита другим компилятором, как выше советуют) И вообще, эта новость уже не новость. Майор надыбал х3 когда на wasm.ru, показал Бродяге, тот мне, и я уже две недели медитирую на ее описание big_smile

Добавлено спустя 02 мин 20 с:

Mazzy пишет:

Svart Testare, ну ё-моё, хватить петь песни МСЕ. Вот вам:

Ну, реакция на сигнатуру или ссылку..

Svart Testare · 09-12-10 20:48:50

Mazzy пишет:

ну ё-моё, хватить петь песни МСЕ. Вот вам:

И о чём это говорит? В MSE уязвимость стала блокировать со дня её обнаружения — с 26 ноября. А когда Аваст научился?

petrun пишет:

Сказка про белого бычка. Тут-то он на сигнатуру реагирует.

Вы так уверенно говорите, будто у вас есть неопровержимые доказательства smile Поделитесь! Мне самому интересно!

savuor · 09-12-10 21:18:28

Svart Testare пишет:

В MSE уязвимость стала блокировать со дня её обнаружения — с 26 ноября.

Да не уязвимость блокируется, а эксплоит. Который, к слову, можно и пересобрать в другом компиляторе или модифицировать, чтобы не палить сигнатуры.

Linfan · 09-12-10 22:24:08

Svart Testare пишет:

petrun пишет:
И что, с обновлением базы происходит обновление эвристики?
Наверное. Ведь как у эксплойта может быть сигнатура? Это же нелепо. А вот попытка использовать какую-то функцию или ещё что-то неподобающим образом — это как раз повод для срабатывания эвристики.

Сварт, эвристика касается прежде всего сигнатур, которые не на 100% совпадают с исходной. Ослеживать все вызовы WinAPI... мсье, вы слабо представляете что такое WinAPI. Если через MSE анализатор прогонять работу всей системы, то Core i7 будет так тупить, что Каспер на Целероне покажется крайне шустро работающей прогой lol

И еще - у каждого бинаря есть своя сигнатура, т.к. это всего лишь уникальный набор байтов из файла бинарника (обычно в начале бинаря).

usr_share · 09-12-10 22:28:51

Linfan пишет:

Ослеживать все вызовы WinAPI

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно. Это может делать любой антивирус, не обязательно MSE. Весь винапи не надо отслеживать.

savuor · 09-12-10 22:37:55

d1337r пишет:

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно.

А как насчет определить, вызвала эти функция "правильная" программа или зловредная?

Mazzy · 09-12-10 22:38:43

d1337r пишет:

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно.

Ага, ну да, а от будущих эксплоитов кто защищать будет? Тогда уже анализировать все потенциально опасные функции, что равнозначно падению производительности.
Но, в принципе, попробуйте когда-нибудь проактивную защиту на максимальном уровне от comodo, к примеру big_smile Будете получать запрос на подтверждение любого действия типа "Приложение...пытается...это похоже на...Разрешить...?."

Svart Testare · 10-12-10 00:07:36

savuor пишет:

Который, к слову, можно и пересобрать в другом компиляторе или модифицировать, чтобы не палить сигнатуры.

Не думайте, что в MS такие дураки, что не предусмотрели и этот вариант. Пока мне неизвестны случаи, чтобы от этого или другого эксплойта, который отлавливается MSE, кто-то пострадал.

petrun · 10-12-10 00:10:25

Svart Testare пишет:

Не думайте, что в MS такие дураки, что не предусмотрели и этот вариант.

В мс безусловно не дураки, но вечный двигатель или гиперпространственный звездолет они не могу сделать. Некоторые вещи невозможны. Вообще.

bALMER · 10-12-10 00:19:23

Svart Testare пишет:

Не думайте, что в MS такие дураки, что не предусмотрели и этот вариант.

да, и пересобрали код всем возможными компиляторами... не проще заплатку придумать?)

Svart Testare · 10-12-10 00:26:40

Linfan пишет:

Ослеживать все вызовы WinAPI...

Вот что я нарыл из открытых источников (закрытые опрошу позднее):

Dynamic Signature Service
In addition to taking advantage of daily signature downloads, Microsoft Security Essentials is able to validate suspicious files against newly identified malware in near-real time by querying the Dynamic Signature Service. Actions from unknown sources such as unexpected network connections, attempting to modify privileged parts of the system or downloading known malicious content all trigger requests for updates from the Dynamic Signature Service.
Rootkit protection
Microsoft Security Essentials includes a number of new and improved technologies to provide additional defense against rootkits and other aggressive threats. These technologies include live kernel behavior monitoring for monitoring the integrity of kernel structures, support for direct file-system parsing to help identify and remove malicious programs and drivers hidden from the file system, and improved live rootkit removal that dynamically loads a new kernel mode driver as part of the cleaning process so that it can help successfully remove some of the more advanced rootkits.

А облачные антивирусы уже некоторое время в моде.

Добавлено спустя 23 с:

bALMER пишет:

не проще заплатку придумать?)

Всему своё время. Патчи выходят по графику.

bALMER · 10-12-10 00:28:39

Svart Testare пишет:

Microsoft Security Essentials includes a number of new and improved technologies

этим кормить можно кого угодно! А примеры будут?

Svart Testare · 10-12-10 00:29:03

bALMER пишет:

этим кормить можно кого угодно! А примеры будут?

До следующего предложения дочитать не судьба?

bALMER · 10-12-10 00:31:29

Svart Testare пишет:

До следующего предложения дочитать не судьба?

Вы зря думаете, что я не прочитал все. Но это сказки бабушки Маруси МС, если нет примеров работы. Подобное у нас в стране печатают на красивых листовках и раздают возле входа супермаркеты.

Добавлено спустя 03 мин 47 с:

Svart Testare пишет:

Всему своё время. Патчи выходят по графику.

а можно на этот график выхода патчей глянуть?

Отредактировано bALMER (10-12-10 00:35:34)

Svart Testare · 10-12-10 00:35:56

bALMER пишет:

если нет примеров работы

Какие вам нужны примеры работы? Написано же:

These technologies include live kernel behavior monitoring for monitoring the integrity of kernel structures, support for direct file-system parsing to help identify and remove malicious programs and drivers hidden from the file system, and improved live rootkit removal that dynamically loads a new kernel mode driver as part of the cleaning process

Или вы хотите, чтобы были картинки как в «Букваре»?
И потом, не забывайте, что есть вещи, которые авторы раскрывать не будут, чтобы злоумышленникам труднее было обходить защиту.

Добавлено спустя 01 мин 03 с:

bALMER пишет:

а можно на этот график выхода патчей глянуть?

en.wikipedia.org/wiki/Patch_Tuesday

bALMER · 10-12-10 00:39:25

Svart Testare пишет:

Какие вам нужны примеры работы?

да написано, что винда самая безопасная ос в мире. Написать можно что угодно. Примеры работы нужны.

Svart Testare пишет:

И потом, не забывайте, что есть вещи, которые авторы раскрывать не будут, чтобы злоумышленникам труднее было обходить защиту.

я понимаю сей факт, но поймите, написать можно что угодно. Еще раз говорю, примеры из жизни, опыта.

Добавлено спустя 05 мин:

Svart Testare пишет:

en.wikipedia.org/wiki/Patch_Tuesday

так бы сразу и сказали - раз в месяц. И где гарантия, что запилят все известные на данный момент дыры?

И к стати, а с какой частотой обновляется MSE?

Отредактировано bALMER (10-12-10 00:45:29)

Форум StopLinux

Объявление

#26 09-12-10 19:15:35

Re: Уязвимость Windows в win32k.sys

#27 09-12-10 19:50:40

Re: Уязвимость Windows в win32k.sys

#28 09-12-10 20:10:16

Re: Уязвимость Windows в win32k.sys

#29 09-12-10 20:22:09

Re: Уязвимость Windows в win32k.sys

#30 09-12-10 20:29:43

Re: Уязвимость Windows в win32k.sys

#31 09-12-10 20:32:54

Re: Уязвимость Windows в win32k.sys

#32 09-12-10 20:35:45

Re: Уязвимость Windows в win32k.sys

#33 09-12-10 20:36:53

Re: Уязвимость Windows в win32k.sys

#34 09-12-10 20:41:23

Re: Уязвимость Windows в win32k.sys

#35 09-12-10 20:42:42

Re: Уязвимость Windows в win32k.sys

#36 09-12-10 20:48:50

Re: Уязвимость Windows в win32k.sys

#37 09-12-10 21:18:28

Re: Уязвимость Windows в win32k.sys

#38 09-12-10 22:24:08

Re: Уязвимость Windows в win32k.sys

#39 09-12-10 22:28:51

Re: Уязвимость Windows в win32k.sys

#40 09-12-10 22:37:55

Re: Уязвимость Windows в win32k.sys

#41 09-12-10 22:38:43

Re: Уязвимость Windows в win32k.sys

#42 10-12-10 00:07:36

Re: Уязвимость Windows в win32k.sys

#43 10-12-10 00:10:25

Re: Уязвимость Windows в win32k.sys

#44 10-12-10 00:19:23

Re: Уязвимость Windows в win32k.sys

#45 10-12-10 00:26:40

Re: Уязвимость Windows в win32k.sys

#46 10-12-10 00:28:39

Re: Уязвимость Windows в win32k.sys

#47 10-12-10 00:29:03

Re: Уязвимость Windows в win32k.sys

#48 10-12-10 00:31:29

Re: Уязвимость Windows в win32k.sys

#49 10-12-10 00:35:56

Re: Уязвимость Windows в win32k.sys

#50 10-12-10 00:39:25

Re: Уязвимость Windows в win32k.sys

Подвал форума