AV test - samozaštita

11

AV test - samozaštita

offline
  • 3x0 
  • Građanin
  • Pridružio: 01 Avg 2009
  • Poruke: 40

Zasto testirati da li neki sigurnosni program moze da se odbrani protiv aplikacije koja ima kernel mode privilegije, logicno je da aplikacija koja ima kernel mode privilegije zaustavi drugu aplikaciju sa istim privilegijama. Jedna od mogucih odbrana je da vendori dodaju zastitu za specificnu implementaciju terminacije iz kernela, sto moze da bude pogubno za stabilnost i performanse sistema.

Bolji metod zastite je da sigurnosna aplikacije ne dozvoli nekoj nepoznatoj aplikaciji pristup kernelu.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 19 Dec 2010
  • Poruke: 1106
  • Gde živiš: Beograd

Bravo za Webroot.



offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

3x0 ::Zasto testirati da li neki sigurnosni program moze da se odbrani protiv aplikacije koja ima kernel mode privilegije, logicno je da aplikacija koja ima kernel mode privilegije zaustavi drugu aplikaciju sa istim privilegijama.

Teoretski, driver može da radi bilo šta i jedino ograničenje je ono koje nameće znanje i domišljatost programera tako da se ne može reći da su dva drivera ravnopravna (pa time i testiranje ima smisla, a i rezultati pokazuju da su se neke aplikacije odupirale napadima iz kernel moda - znači, daleko od toga da se podrazumeva da driver odrađuje posao).

offline
  • 3x0 
  • Građanin
  • Pridružio: 01 Avg 2009
  • Poruke: 40

dr_Bora ::3x0 ::Zasto testirati da li neki sigurnosni program moze da se odbrani protiv aplikacije koja ima kernel mode privilegije, logicno je da aplikacija koja ima kernel mode privilegije zaustavi drugu aplikaciju sa istim privilegijama.

Teoretski, driver može da radi bilo šta i jedino ograničenje je ono koje nameće znanje i domišljatost programera tako da se ne može reći da su dva drivera ravnopravna (pa time i testiranje ima smisla, a i rezultati pokazuju da su se neke aplikacije odupirale napadima iz kernel moda - znači, daleko od toga da se podrazumeva da driver odrađuje posao).


Znam to. Ako pogledas drugi deo mog posta, rekao sam da je moguce zastiti se protiv pojedinacnih metoda terminacije iz kernela.

Ali dokle se igrati macke i misa i bloat-ovati windows kernel sa hiljadama hookovanih APIja i time rizikovati destabilizaciju sistema, u vidu usporenja i problema sa kompatibilnoscu sa drugim programima zarad resavanja ovog "problema"?
Problem je sto je windows lose dizajniran out-of the box u sigurnosnom smislu. Cak i "problem" sa onesposobljavanjem iz safe moda je krivica samog dizajna windowsa, AV kompanije jedino mogu da implementiraju restrikcije u vidu onemogucavanja nepoznatim programima pristup registry kljucu koji forsira reboot u safe mode.

Kao sto sam rekao, problem je u tome sto treba efikasno onemoguciti malicioznim aplikacijama pristup kernelu i problem je resen. Samo sto je nemoguce razlikovati nepoznati malware od nepoznatog legitimnog programa.


Mnogo je bitnije da se AV ne moze onesposobiti iz user mode-a, a koliko vidim AVovi imaju mnogo vecu uspesnost u tom slucaju. Smile

Edit; na primer, user mode termination: kernelmode.info/forum/viewtopic.php?f=15&t=1485
KAV je mrtav iz user mode-a. Smile

Ko je trenutno na forumu
 

Ukupno su 581 korisnika na forumu :: 3 registrovanih, 2 sakrivenih i 576 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: amstel2, dragoljub11987, Tas011