Перейти к содержанию

Recommended Posts

vaber

У меня есть предложение к AM к проведению небольшого сравнения антивирусов (IS) в плане возможности обнаружения ими актуальных и часто используемых малварой/адварой методик по обходу UAC на win7/win8.1 x86/x64.

Наиболее актуальные на текущий момент и часто используемые 2 способа.

1. Подмена загружаемой DLL autoelevate приложением. Оно же "DLL search order hijacking". Наиболее известный способ, расписанный в сети, давно и часто используемый. Как пример, "подкладывание" фейковой CRYPTBASE.dll в каталог system32\sysprep и последующий запуск autoelevate приложения sysprep.exe. Активно ипользуется такая атака на несколько подобных приложений с различными вариациями имен dll. Причем в Китае массово даже в легитимном софте...

2. Использование shim (RedirectEXE) на autoelevate приложение, например cliconfg.exe. Первоначально такой способ использовался в BlackEnergy, затем в Gootkit (буткит на исходных кодах буткита Cidox\Rovnix). Затем же в этом же Gootkit, который "превратился" из буткита в безфайловую малвару по аналогии с активнораспространяемым сейчас Poweliks. + массово рапросраняемая сейчас adware и троянский загрузчик.

Проверять можно на наиболее интересных IS - симантек, трендмайкро, макафи, есет. Можно добавить и пару бесплатных. Консумерские версии антивирусов.

Если такая тема заинтересует и будет желание провести такое небольшое сравнение, то я с удовольствием поделюсь необходимыми семплами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1.

Ключевой тут является вот эта фраза:

Активно ипользуется такая атака на несколько подобных приложений с различными вариациями имен dll

Ее даже не пришлось мне самому говорить, Василий сам это сказал. Защита от этого должна быть на концептуальном уровне, а не костыль вида "создание такой-то dll в такой-то папке - плохо". Для нормального тестирования этого пункта нужно не только несколько itw-сэмплов с разной эксплуатацией этого, но еще и несколько лик-тулз (закрытых разумеется). Для чего? Чтоб никто не заточился.

2.

Если для этого заюзать itw-тушки, то как добиться того, чтобы увидеть работу механизма блокировки обхода UAC, а не блокирование самой малвари? (сигнатурный детект, эвристика, облако, эмуляция, песочница, само поведение в конце концов). Тут нужен кодинг ликтеста, имхо.

А сам-то ты что думаешь? Ловит такое кто-то из перечисленных тобой аверов или нет (хоть на уровне "так чует моя левая пятка")? Вот моя интуиция подсказывает, что никто это не ловит. Возможно только у каспера есть на второй пункт поведенческий костыль вида детекта на последовательность запуска этих процессов и таких манипуляций с файлами (правило вида: непонятное приложение запускает сдбинст&кликонфиг&лоад_аппхелп&еще чего-нибудь).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Защита от этого должна быть на концептуальном уровне, а не костыль

На концептуальном уровне должны делать защиту программисты в MS.

Для нормального тестирования этого пункта нужно не только несколько itw-сэмплов с разной эксплуатацией этого, но еще и несколько лик-тулз (закрытых разумеется). Для чего? Чтоб никто не заточился.

Я предлагаю не так высоко прыгать - просто сравнение, не тестирование. Затачиваться никто не будет - или есть защита или ее нет. Ликтесты можно...ноя предалагаю проще, именно то, что раздают ITW. Выбор достаточен. На ликтесты может и не быть срабатываний, т.к. хз как у кого что реализовано (возможно детект не простой может быть, а с подключением облака, статистики, эвристики и прочее).

2.

Если для этого заюзать itw-тушки, то как добиться того, чтобы увидеть работу механизма блокировки обхода UAC, а не блокирование самой малвари? (сигнатурный детект, эвристика, облако, эмуляция, песочница, само поведение в конце концов). Тут нужен кодинг ликтеста, имхо.

Присоединяйся с ликтестами. Касаемо проблем именно с детектом самих бинарей...тут нужно идти от продукта - глянуть, какой модуль за что отвечает и можно ли как-то заюзать семпл, несмотря на детект (вполне возможно, для кого-то будет достаточно файловый ав отрубить и т.п)

А сам-то ты что думаешь? Ловит такое кто-то из перечисленных тобой аверов или нет (хоть на уровне "так чует моя левая пятка")? Вот моя интуиция подсказывает, что никто это не ловит. Возможно только у каспера есть на второй пункт поведенческий костыль вида детекта на последовательность запуска этих процессов и таких манипуляций с файлами (правило вида: непонятное приложение запускает сдбинст&кликонфиг&лоад_аппхелп&еще чего-нибудь).

Если бы я знал, я бы сравнение не предлагал бы провести :). Я понятия не имею, кто будет, а кто не будет на это обращать внимание.

З.Ы. Аверы - сотрудники антивирусной компании, разрабы, вирусаналитики и т.п., а не сами антивирусы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Я предлагаю не так высоко прыгать - просто сравнение, не тестирование. Затачиваться никто не будет - или есть защита или ее нет. Ликтесты можно...ноя предалагаю проще, именно то, что раздают ITW. Выбор достаточен. На ликтесты может и не быть срабатываний, т.к. хз как у кого что реализовано (возможно детект не простой может быть, а с подключением облака, статистики, эвристики и прочее).

Ну можно в принципе и itw файлы брать, будет быстрее и проще, но упремся в сложность разработки того, что у какого антивируса можно отключить, чтоб не резал файл другими функциями.

С Симантеком будут проблемы - они молятся на репутацию - итого файл будет иметь плохую репутацию (ура, мы победили!), или будет неизвестен (нулевая репутация и лерн на работу и подозрения - ура, мы победили!), а если обмануть репутацию или она будет хорошей, то тут два варианта - "обманывать нечестно", а второй - "файл известен по облаку, что он хороший, потому ему такая деятельность разрешается, мы половину адвари адварью не считаем". У вас патовая Ситуация с симантеком - он победит в любом случае :punish:

Тестируйте все с лик-тестами на vbs - сима там в не шибко хорошем свете, простите за выражение :P

Аверы - сотрудники антивирусной компании, разрабы, вирусаналитики и т.п., а не сами антивирусы.

ну это в вашей тусе мож так принято, а по всем интернетам чтоб долго не писать "антивирус" пишут коротко "авер", поэтому из контекста можно видеть о чем идет речь :)

Если бы я знал, я бы сравнение не предлагал бы провести

А я б наоборот делал ;)

А вообще сейчас у Сергея на подходе тест лечения активного заражения + сравнение бесплатных ав, наверняка все ресурсы туда уйдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея интересна, думаю нужно сделать. Это как раз свежая тема будет, а не перемывание старых тестов.

Кто готов взять за такой тест - пишите мне в личку ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Идея интересна, думаю нужно сделать. Это как раз свежая тема будет, а не перемывание старых тестов.

Отлично. Тем более проведение подобного сравнения много ресурсов не займет. И времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
а если обмануть репутацию или она будет хорошей, то тут два варианта - "обманывать нечестно", а второй - "файл известен по облаку, что он хороший, потому ему такая деятельность разрешается, мы половину адвари адварью не считаем". У вас патовая Ситуация с симантеком - он победит в любом случае :punish:

Тестируйте все с лик-тестами на vbs - сима там в не шибко хорошем свете, простите за выражение :P

Как вы обманите репутацию, Insight Symantec в частности? Думаю никак, она сама иногда ошибается, на практике - редко, если только на чуть-чуть.

Тест должен отражать реальные условия, а не "заваливать" вендора. Это просто ни к чему.

vbs беда всех, их не видят экспертные HIPSы, облако по ним тоже не работает. Не актуальны vbs в "голом" виде, вирлабовцы подскажут лучше здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Обман репутации - в смысле выход из разряда неизвестных и подозрительных, инфу раскрывать не буду.

vbs нужен не для нагибания Симы, а для упрощения разработки ликтеста и для изоляции детекта, т.е исключения факторов репутации, эмуляции, эвристики и т.д, но это потребует усилий, а ресурсов нет, потому придется взять готовую малварь/адварь. Лично я плохо себе представляю как на Симе протестировать малварь для определения его умения реагировать на обход uac, с vbs же примерно представляю.

Судя по Вашей подписи (предположительно) у Вас поболее будет знаний, чем у меня в области интерфейса настроек Симантека, поэтому предлагаю высказать свой взгляд на возможность такого теста на нем.

Актуальность vbs вредоносов не шибко относится к данной теме, все-таки о другом речь, но от себя могу заметить, что по разным странам актуальность таких малварей может разниться на порядок и более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
Обман репутации - в смысле выход из разряда неизвестных и подозрительных, инфу раскрывать не буду.

vbs нужен не для нагибания Симы, а для упрощения разработки ликтеста и для изоляции детекта, т.е исключения факторов репутации, эмуляции, эвристики и т.д, но это потребует усилий, а ресурсов нет, потому придется взять готовую малварь/адварь. Лично я плохо себе представляю как на Симе протестировать малварь для определения его умения реагировать на обход uac, с vbs же примерно представляю.

Судя по Вашей подписи (предположительно) у Вас поболее будет знаний, чем у меня в области интерфейса настроек Симантека, поэтому предлагаю высказать свой взгляд на возможность такого теста на нем.

Актуальность vbs вредоносов не шибко относится к данной теме, все-таки о другом речь, но от себя могу заметить, что по разным странам актуальность таких малварей может разниться на порядок и более.

Ничего не посоветую, слишком специфический тест.

По поводу популярности VBS: здесь поможет статистика KSN (http://securelist.ru/statistics/), больше в Африке распространены VBS черви, особенно Dunihou, на него Symantec имеет защиту.

Больше нет засветок VBS вредоносов или они есть, но действительно распространения не имеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

dunihou это общий детект каспера, как хеур.генерик, он сейчас много семейств в этот детект сует. Это как заявить, что каспер имеет защиту от всего Trojan.Gen по классификации Симы. Но это оффтоп. По тесту же я выше уже все неплохо пожевал. Я б может на себя взял небольшую часть теста в области кодинга, но пока мы не знаем как изолировать такой детект. Хотя если время будет может что сделаю и сам потыкаю, все равно имеются сервера незанятые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот, кстати, EP_X0FF и тулзу по образцу и подобию буткита backboot/Pitou выложил.

UACME

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

К слову о кодинге на vbs - зловред на vbs по итогам года у Каспера входит в топ-10 (7 место):

http://securelist.ru/analysis/ksb/24580/ka...ka-za-2014-god/

Что хорошо говорит о его "распространения не имеет", если что :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
К слову о кодинге на vbs - зловред на vbs по итогам года у Каспера входит в топ-10 (7 место):

http://securelist.ru/analysis/ksb/24580/ka...ka-za-2014-god/

Что хорошо говорит о его "распространения не имеет", если что :)

Посмотрите выше, я вам давал ссылку на securelist, там он вообще по миру на 4 месте (за последние 30 дней), но где конкретно? Африка? Южная Америка? Монголия? (кстати из-за чего именно там?) Я говорил о РФ, США, Европе, просто не уточнил. А червяк один и тот же, его уже все вендоры выучили. У Symantec на него и сигнатуры, и эвристика на семейство, и IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Значит если будет время, придется доказать показательно свое 10 сообщение этой темы. Как-то много вас товарищей пользователей Симы набежало и все требуют подтверждений моим словам, приходится давать, хотя я привык, что мои слова принимают на веру :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Сами себе противоречите. Итак, вы дали ссылку последнюю на отчёт (7 место в рейтинге), внимательно сравните наименование детектов в отчёте и по текущей статистике, о которой я вам изначально говорил, ну вы написали, мол "дженерик", хотя там ни слова нет об этом (а говорил я о Worm.VBS.......), другое дело HEUR:Win32.Trojan.Generic (он же эмулятор, он же общий и т.д.) и выясните: чем же они отличаются. :D

Так если это "дженерик", чего опять об этом писать? Это же не говорит о распространённости конкретного зловреда? Я, кстати, до сих пор не верю в то, что это "дженерик", ибо об этом не написано, странное дело получается, зачем тогда так путаться, там не писать, а в другом детекте писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Хорошо, поясню как с этим обстоят дела в вирлабе, ибо у вас все на уровне "верю не верю":

Процитирую сам себя:

dunihou это общий детект каспера, как хеур.генерик, он сейчас много семейств в этот детект сует. Это как заявить, что каспер имеет защиту от всего Trojan.Gen по классификации Симы

Речь идет о зловредах .vbs.Dinihou. - без указания конкретной модификации - т.е если говорить именно по такой формуле - все как я сказал: на данный момент это гигантский общий детект и с конкретными сигнатурами, и с эвристиками, и с детектами на vbs-пакерокрипторы и прочие (возможно, даже есть блэкджек и ...). Просто примите это на веру.

Поэтому говорить (процитирую вас), что

в Африке распространены VBS черви, особенно Dunihou, на него Symantec имеет защиту.

просто нельзя. В этом детекте слишком много семейств совершенно разных и сказать, что Сима абсолютно все их детектит... в общем не шибко верно.

Примеры:

Мегапопулярный вбс червяк с флешек, имеет кучу заливок на вт (причем давнешний), комменты, голосовалку (Сима чего-то не видит его):

https://www.virustotal.com/ru/file/9830a1f9...9b355/analysis/

Строго аналогичная ситуация:

https://www.virustotal.com/ru/file/1d8be644...edd81/analysis/

А вот примеры того, что Сима все-таки детектит (каспер их палит общим детектом Dinihou):

https://www.virustotal.com/ru/file/f9331b62...424f9/analysis/ (Сима: VBS.Downloader.Trojan)

https://www.virustotal.com/ru/file/b1e71d8f...c017a/analysis/ (Сима: Backdoor.Trojan)

Как видно, согласно тому же Симе - это разные зловредики, а не один тот же с парой измененных байт (как мини иллюстрация к моим словам).

Теперь поговорим за конкретный детект, который колеблется на 4-7 местах в топе ЛК:

VBS.Dinihou.r

Судя по всему именно про него вы написали (если я правильно понял):

А червяк один и тот же, его уже все вендоры выучили. У Symantec на него и сигнатуры, и эвристика на семейство, и IPS.

Ежели вы это написали про целиком Dinihou, то про это я уже выше пояснил. Но и с этим конкретным детектом не все гладко - это "зараженные" ярлыки, которые мегапопулярны в странах с широким распространением флешек и социального общения вида "пришел в гости". Это как ответ на ваш вопрос "(кстати из-за чего именно там?)" :)

Это тупо ярлык. Зачем там сигнатуры/эвристика/ипс - непонятно. Достаточно одного тупого детекта в виде простейшего регэкспа.

Вот погуглил пару свежих ярлыков (детектов у Симы на них нет):

https://www.virustotal.com/ru/file/183627cb...fc362/analysis/

https://www.virustotal.com/ru/file/671e3bac...611d1/analysis/

А вот тоже свежий ярлык, на который у Симы вполне понятный детект (VBS.Dunihi!lnk):

https://www.virustotal.com/ru/file/8883b330...0ee64/analysis/

Все это говорит об одном - у Симы на эти ярлыки есть простейшая сигнатурка, но она далеко не полная (плохой регэксп написали).

PS: Все это я написал не потому, что хочу показать какой Сима плохой, а его последователи не являются экспертами в ИБ, а чтоб немного поубавить пыл - общайтесь спокойно на форуме, не надо в каждое сообщение бросать одновременно вызов/недоверие к словам собеседника/рекламу Симы/стеб. Изначально все это я писал просто словами, сейчас мне пришлось взяться за клаву и набросать аргументацию/доказательства своим словам. В следующий раз не буду вестись на стеб и провокации. Будете по человечески спрашивать - буду адекватно по человечески объяснять, но не виде постоянного спора.

PS2: товарищи администрация, если посчитаете данное обсуждение неуместным в этой теме, то перенесите куда-то

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
Хорошо, поясню как с этим обстоят дела в вирлабе, ибо у вас все на уровне "верю не верю":

Процитирую сам себя:

Речь идет о зловредах .vbs.Dinihou. - без указания конкретной модификации - т.е если говорить именно по такой формуле - все как я сказал: на данный момент это гигантский общий детект и с конкретными сигнатурами, и с эвристиками, и с детектами на vbs-пакерокрипторы и прочие (возможно, даже есть блэкджек и ...). Просто примите это на веру.

Поэтому говорить (процитирую вас), что

просто нельзя. В этом детекте слишком много семейств совершенно разных и сказать, что Сима абсолютно все их детектит... в общем не шибко верно.

Примеры:

Мегапопулярный вбс червяк с флешек, имеет кучу заливок на вт (причем давнешний), комменты, голосовалку (Сима чего-то не видит его):

https://www.virustotal.com/ru/file/9830a1f9...9b355/analysis/

Строго аналогичная ситуация:

https://www.virustotal.com/ru/file/1d8be644...edd81/analysis/

А вот примеры того, что Сима все-таки детектит (каспер их палит общим детектом Dinihou):

https://www.virustotal.com/ru/file/f9331b62...424f9/analysis/ (Сима: VBS.Downloader.Trojan)

https://www.virustotal.com/ru/file/b1e71d8f...c017a/analysis/ (Сима: Backdoor.Trojan)

Как видно, согласно тому же Симе - это разные зловредики, а не один тот же с парой измененных байт (как мини иллюстрация к моим словам).

Теперь поговорим за конкретный детект, который колеблется на 4-7 местах в топе ЛК:

VBS.Dinihou.r

Судя по всему именно про него вы написали (если я правильно понял):

Ежели вы это написали про целиком Dinihou, то про это я уже выше пояснил. Но и с этим конкретным детектом не все гладко - это "зараженные" ярлыки, которые мегапопулярны в странах с широким распространением флешек и социального общения вида "пришел в гости". Это как ответ на ваш вопрос "(кстати из-за чего именно там?)" :)

Это тупо ярлык. Зачем там сигнатуры/эвристика/ипс - непонятно. Достаточно одного тупого детекта в виде простейшего регэкспа.

Вот погуглил пару свежих ярлыков (детектов у Симы на них нет):

https://www.virustotal.com/ru/file/183627cb...fc362/analysis/

https://www.virustotal.com/ru/file/671e3bac...611d1/analysis/

А вот тоже свежий ярлык, на который у Симы вполне понятный детект (VBS.Dunihi!lnk):

https://www.virustotal.com/ru/file/8883b330...0ee64/analysis/

Все это говорит об одном - у Симы на эти ярлыки есть простейшая сигнатурка, но она далеко не полная (плохой регэксп написали).

PS: Все это я написал не потому, что хочу показать какой Сима плохой, а его последователи не являются экспертами в ИБ, а чтоб немного поубавить пыл - общайтесь спокойно на форуме, не надо в каждое сообщение бросать одновременно вызов/недоверие к словам собеседника/рекламу Симы/стеб. Изначально все это я писал просто словами, сейчас мне пришлось взяться за клаву и набросать аргументацию/доказательства своим словам. В следующий раз не буду вестись на стеб и провокации. Будете по человечески спрашивать - буду адекватно по человечески объяснять, но не виде постоянного спора.

PS2: товарищи администрация, если посчитаете данное обсуждение неуместным в этой теме, то перенесите куда-то

Спасибо за доп. инфу. Один момент. Ок, я могу быть не прав насчёт "дженерика", но почему я сомневаюсь - описал выше.

Вы писали про TOP 7, там Worm.VBS....

Я писал тоже о нём раньше. Когда я говорил о распространённости лишь в опред. странах, указывая этого же зловреда (тот же самый детект) вы сказали, что это "дженерик", ладно, но что главное - по нему нельзя говорить о распространённости. Однако посмотрите на пост №13 - вы тут же использовали это как доказательство его "популярности". Т.е. вы нарушили смысл собственного суждения или я вас не понял. Вы хотели сказал, что это дженерик для любых VBS-ов и не обязательно Dunihi?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Вы хотели сказал, что это дженерик для любых VBS-ов и не обязательно Dunihi?

Да, просто Dinihou.* - тут огромнейшая солянка из разных VBS-зловредов (в т.ч и Dunihi). Но не прям таки для любых - у каспера есть и другие деткты на VBS-малварь, просто в него толкают больше всего. А конкретно Dinihou.r - детект "зараженных" ярлыков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот, кстати, EP_X0FF и тулзу по образцу и подобию буткита backboot/Pitou выложил.

UACME

Вернусь снова к обсуждению сравнения. EP_X0FF более основательно взялся за эту утилитку и постоянно ее совершенствует исходя из публичных методов. Все перечисленное в первом посте в ней есть в различных вариациях + под x86-32/x64. Так что можно проводить сравнение исключительно на этой утилите + проверка малварными семплами, если вдруг будет подозрение на "заточку" под конкретно утилиту.

 

З.Ы. В марте одно семейство малвари обновилось, там используется еще один способ обхода UAC (в прочем, там не только UAC-ом интересен - там и инжект в произвольный процесс, в том числе и антивирусов под SD ;) ). Думаю, уже скоро о нем кто-нибудь да напишет. И, соотвественно, весьма вероятно, обновится и эта утилита. Как раз пока будем обсуждать тест на лечение активного заражения и подойдет время к проведению этого сравнения =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

инжект в произвольный процесс, в том числе и антивирусов под SD

 

То есть он произвольный и проверять возможность самозащиты нужно тысячи раз на каждый антивирус? То есть есть у антивируса 5-10-15 процессов, а всего только в диспетчере их отображается скажем 79 - выбирается любой 1?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

З.Ы. В марте одно семейство малвари обновилось, там используется еще один способ обхода UAC (в прочем, там не только UAC-ом интересен - там и инжект в произвольный процесс, в том числе и антивирусов под SD ;) ). Думаю, уже скоро о нем кто-нибудь да напишет. И, соотвественно, весьма вероятно, обновится и эта утилита. Как раз пока будем обсуждать тест на лечение активного заражения и подойдет время к проведению этого сравнения =)

 

 

http://www.kernelmode.info/forum/viewtopic.php?f=16&p=25612#p25609

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Сергей Ильин

Все перечисленное в первом посте в ней есть в различных вариациях + под x86-32/x64. Так что можно проводить сравнение исключительно на этой утилите + проверка малварными семплами, если вдруг будет подозрение на "заточку" под конкретно утилиту.

 

Как самплы возьмем "в довесок" к этой утилите?

 

Может быть ситуация, что тулза будет кем-то из вендоров детектироваться сигнатурами (такое было в предыдущих тестах с утилитами). Что делать в этом случае?

 

Если на тулзу реакции не будет, но на вредоносы через какие-то костыли будет детект, то как быть в этом случае?

 

Пока я не очень понимаю методику подсчета итоговых результатов теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

 

Как самплы возьмем "в довесок" к этой утилите?

 

Может быть ситуация, что тулза будет кем-то из вендоров детектироваться сигнатурами (такое было в предыдущих тестах с утилитами). Что делать в этом случае?

 

Если на тулзу реакции не будет, но на вредоносы через какие-то костыли будет детект, то как быть в этом случае?

 

Пока я не очень понимаю методику подсчета итоговых результатов теста.

 

Я предлагаю не тест, а сравнение. Более упрощенно и быстро.

В большиснтве AV, я думаю, можно будет отключить файловый антивирус и, так или иначе, запустить утилиту. Вредоносные программы можно использовать лишь как дополнительное подтверждение реагирования\не реагирования на утилиту (на часть методов, т.к. там есть и  методы, не применяемые в точности в malware, но прекрасно работающие).

Вообще для данного сравнения абсолютно все-равно, есть ли сигнатурный детект на утилиту или семплы малвари. Тут главное, как антивирус будет реагировать на метод обхода UAC. А уж там, по результатам, будем думать. Если вдруг случится такое, что на утилиту срабатывания нет, а на малварь, с тем же по сути методом обхода, есть. Такое может быть...но вряд ли будет)

 

Подсчитывать там не проблема - в утилите есть на данный момент 9 способов, останется +\- ставить)

 

Но вообще в целом, AV не вовсе не обязаны хоть как-то реагировать именно но обход UAC. Чисто академический интерес. Кто такие методики детектирует и запрещает, а кто никак не реагирует. Тоже результат :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×