информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Рекордное число уязвимостей в 2021 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Думаю, требуются некоторые пояснения 10.05.10 08:33  Число просмотров: 1843
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 10.05.10 08:34  Количество правок: 1
<"чистая" ссылка>
Вообще метод довольно интересный и в данном случае (в отличие от всяких чОрных экранов смерти и прочей "чумы") совершенно реальный. Но журналисты и здесь все переврали

Опубликован способ обхода всех современных антивирусов
Ну, во первых не всех, скажем Forefront/MSSE в списке не значатся (в основном потому, что в MS запрещено стыковать разные продукты при помощи недокументированных API - anticompetitive и все такое, но об этом позже).

Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows
Во-вторых, атака действительно имеет место быть и действительно позволяет обходить т.н. "проактивную" защиту. По крайней мере значительные ее части. Но именно и только ее. Антивирусные мониторы таким способом не обойти, потому как там используются (мини)фильтры файловых систем, не имеющие никакого отношения к SSDT.

Метод ориентируется на антивирусы, использущие штатный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).
Этот способ какой угодно, но уж никак не штатный. Настолько не штатный, что на x64 системах, PatchGuard немедленно уведет систему в bugcheck при попытке использования этого штатного метода. Он нигде не документирован и, соответственно, не рекомендован к использованию. MSSE, не использующий хуков SSDT этой уязвимости не подвержен (как и большинство антивирусов с отключенной проактивной защитой).
<site updates> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach