информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Тут определенный тип атаки 24.12.02 09:52  Число просмотров: 1884
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1)
>Просто, если уж я захочу заразить кого-нить - напишу специально для него >и проверю, словит ли мой новый вирус хоть один из известных мониторов
Ты делаешь атаку типа P->P и явно собираешь инфу по типу ОС, и ПО на машине жертвы для написания вируса(К примеру,на *niх платформу виндошный вирус не позарится). Так что АВ тут не поможет уж ничем. :v)
А когда Ты не набрал врагов в и-нете, то шанс нарваться на добряка-х
очень мал. Среди узеров с твоим провайдером на серваке тучи бродят с открытыми портами и незаклепаными дырками и добрый-х не будет утруждать себя "на проход к Тебе на тачку, если рядом есть заначка!"
2) Тебе не обязательно запускать все в надежде запустить вирус. И не обязательно ждать доброго атаккера. К примеру 2 месяца назад я очень хорошо подорвался на сайте lola.ru, где добрый ActiveX мне обработал реестр, засунул двоих троянцов и изуродовал эксплорер до неузнаваемости. АВП только хрюкнул.
3) Можно атаковать и без ActiveX. На хтмл-страничке в меты прописывают новый фонт, и как ни странно этот фонт усеру на машину пропишется и встанет. Чувствуешь? Там и вирус может быть.
И каково будет Тебе если Ты уже обнаружил вирусную активность?
Мало того что неприятно, так virus и убивать еще надо. Зачем лишний раз убивать стариков-вирусов, если монитор их просто блокирует и закрывает к ним доступ(про новые вирусы я ничего не говорю!).
<miscellaneous>
2 HandleX 21.12.02 12:10  
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
<"чистая" ссылка>
И неужели Ты не боишься подцепить вирус?
(Это следует из Твоих рассуждений в топике про Бат. Там Ты явно охаял все ав-мониторы.)
Или тебе инфы на компе не жалко?
А если юзерь без ведома твоего запустит "гадость"?
Востанновить можно, но лучше предупредить ситуацию.
Добавлю крылатой фразой 23.12.02 17:10  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
Любой АВ монитор - это нервы каждый день
Любой вирус - это адреналин раз в пол-года :-)
Ну, у меня так всё складывается… 22.12.02 20:57  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 22.12.02 21:12  Количество правок: 1
<"чистая" ссылка>
> И неужели Ты не боишься подцепить вирус?
Боюсь.
> (Это следует из Твоих рассуждений в топике про Бат. Там Ты
> явно охаял все ав-мониторы.)
Охаял. Может это дело привычки. Я без них работаю, привык к ТАКОЙ скорости работе компа. Если ставлю ав-монитор, то ячувствуюпадение скорости. Я ведь секс с презервативом не просто так привёл для сравнения ;-) Там ведь тоже самое.
> Или тебе инфы на компе не жалко?
Жалко. Но, наверное дома ценность моей инфы не такая, чтобы ставить монитор. А на работе... Да гори оно там всё огнём! ;-)))))))
> А если юзерь без ведома твоего запустит "гадость"?
> Востанновить можно, но лучше предупредить ситуацию.
Я давно не даю лазить на машине чужим под админом. Это пока спасает. Мне сейчас 27 лет, 10 лет я работаю c ВТ. Я чувствую на машине вирусную активность, пусть это и звучит немного сверхестественно ;-)
Полностью согласен 23.12.02 13:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Тоже работаю без монитора.
И довольно немногие вирусы и трояны из тех кого я знаю могут работать не вызывая у меня подозрений.
Кроме всего прочего я периодически бываю в SoftIce, который не пользуется NtQuerySystemInformation-ом, и отличия в его видении процессов по proc и видении таскманагера бросаются в глаза. Хотя ни разу и не попадалось :-), но думаю бросились бы :-)
Ко всему прочему, я довольно долго занимаюсь компами и примерно (только примерно, потому как и на старуху бывает проруха) знаю как распространяются вирусы. И пока что работаю надежнее монитора. :-)
Я некоторое время работал с кейлоггерами и другими троянами и понял, что монитор (да и сканер) опаздывают примерно на неделю (а то и больше), и если они не отловили руткит на входе, то уже и не отловят (хороший руткит - плохой я и так увижу).
А окончательно подорвала мою веру в сигнатурный анализ статейка на уинц-е. Старючий нетбус преобразовался так, что продолжил запускаться, но авп с новыми базами на него начхать. Слышал, что авп такие изменения уже ловит. Но это же только идея - развивать ее можно чуть ли не до бесконечности.
Еще, реально такие анализаторы защищиют только от скрипткиддисов, а от них я и сам защищусь.

ЗЫ: Получилось несколько сумбурно, но идея понятна. Мониторы опасны хотя бы тем, что дают иллюзию защищенности, не давая реальной защищенности. Возвращаясь к сексу с презервативом. Если не предохраняться, то, образно говоря, сначала подумаешь, потом потребуешь справку из вендиспансера, потом еще раз подумаешь, а потом откажешься. А если считаешь, что защищен, то подхватишь или бытовой сифилис, или трихомоноз, или в самый неподходящий момент защита сломается, или тебя заразят специально для тебя разработанным вирусом, которому на такие способы предохранения начхать :-)
Полностью согласен 23.12.02 18:08  
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Расуждаю:
1) С АВ монитором Вы не уверены что не подцепите вирус более нового поколения.
но "с легкостью отрежете все остальные". И мешать работе они Вам не будут.
Почти все вирусы отсылающие Ваши данные по байтику в период подключения к и-нет тоже будут подавлены.
2) Без АВ монитора Вы вообще "беззащитны" и любой вирус сможет подхватить Вас.
Я не уверен, что вирусы нового поколения пишутся "корявыми программистами" и что эти вирусы как-то себя явно проявят(с коэффициентом поджирания памяти 0,1) во время своего "дела". И о вирусной активности Вы врядли заметите.
3) АВ монитор жрет память(особенно АВП). Что касается небезызвестного drweb'a,
который старается не жрать память, а он ее скажу Вам прямо совсем почти и не жрет. Как мне известно обрабатывает только определенные вызовы функций, что значительно снижает уровень его активности на машине. Подумаешь пару байт в невыгружаемом пуле. А для машин с оперативой больше 64Mb и хорошо настроеной ОС
на них эта пара байт - есть машинный 0. Зато выполнен пункт 1).
Сумбурно, но факт.
А сравнение с "Сексом" есть неверное с точки зрения "клиента".
Она - твой партнер. Она не заражена(это должно быть установлено). => Ты не будешь заражен как ни крути(ну можно постараться конечно, но это для уродов), но рискуешь стать папой. Так что презерватив здесь не будет в роли "АВ монитора"
а будет в роли "деструктора дочернего ядра программы"!
Дело не в памяти. Дело вот в чём... 24.12.02 07:10  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Количество команд, которые приходится выполнять процессору при работе с файлами увеличевается раза в 1,5-2, зависит от настроек монитора. Винты и так штука не быстрая, а мы их ещё потормозим медленной работой ядра. Поэтому чувствуется, что ни говори. Ощущение вроде того, что отключили Bus mastering, и это отчасти правильное ощущение, поскольку те данные, которые раньше тупо тащились в буфер аппаратурой шины и отдавались приложению, начинают проверяться монитором с использованием CPU.
Вот такие дела.
Дело привычки 23.12.02 19:25  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Отсутствие монитора кроме всего прочего приучает к осторожности. От сканеров отказываться все-таки не стоит (пока) и перед запуском чего-либо в обязательном порядке проверять что.

Про новые вирусы (даже не нового поколения - никаких нововведений не требуется, нужно только чтоб он не был похож на уже известные; при этом можно сразу и посмотреть похож ли - базы общедоступны) я и не писал, что их создают корявые программисты. Просто, если уж я захочу заразить кого-нить - напишу специально для него и проверю, словит ли мой новый вирус хоть один из известных мониторов.

Про активность - как раз не имеется в виду использование памяти или количество потоков в эксплорере - я вряд ли смогу хотя бы примерно сказать сколько того или другого должно быть в здоровой системе. Но большинству вирусов необходимо запуститься хоть раз - в этом я им помогать не буду. Бровсер и мэйлер можно настроить так, чтоб и не мешали и не велись на большинство атак. А вот пользователь который кликает на все подряд в надежде, что его защитит монитор имеет гораздо больше шансов подцепить заразу, чем я. Ну а если появится атака на клиента, которая сама загрузит и запустит файл, так во первых это все-таки в большинстве случаев заметно, а во вторых от нее и монитор не защитит.
Тут определенный тип атаки 24.12.02 09:52  
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1)
>Просто, если уж я захочу заразить кого-нить - напишу специально для него >и проверю, словит ли мой новый вирус хоть один из известных мониторов
Ты делаешь атаку типа P->P и явно собираешь инфу по типу ОС, и ПО на машине жертвы для написания вируса(К примеру,на *niх платформу виндошный вирус не позарится). Так что АВ тут не поможет уж ничем. :v)
А когда Ты не набрал врагов в и-нете, то шанс нарваться на добряка-х
очень мал. Среди узеров с твоим провайдером на серваке тучи бродят с открытыми портами и незаклепаными дырками и добрый-х не будет утруждать себя "на проход к Тебе на тачку, если рядом есть заначка!"
2) Тебе не обязательно запускать все в надежде запустить вирус. И не обязательно ждать доброго атаккера. К примеру 2 месяца назад я очень хорошо подорвался на сайте lola.ru, где добрый ActiveX мне обработал реестр, засунул двоих троянцов и изуродовал эксплорер до неузнаваемости. АВП только хрюкнул.
3) Можно атаковать и без ActiveX. На хтмл-страничке в меты прописывают новый фонт, и как ни странно этот фонт усеру на машину пропишется и встанет. Чувствуешь? Там и вирус может быть.
И каково будет Тебе если Ты уже обнаружил вирусную активность?
Мало того что неприятно, так virus и убивать еще надо. Зачем лишний раз убивать стариков-вирусов, если монитор их просто блокирует и закрывает к ним доступ(про новые вирусы я ничего не говорю!).
В принципе согласен, но 24.12.02 15:00  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Это просто два разных подхода. Можно блокировать старые malware мониторами, а можно читать секьюрити рассылки (хотя бы ту же rsn). У последнего подхода, кстати, есть один большой плюс: не так часто появляются принципиально новые классы атак. И если я знаю, что ActiveX опасен, а Java в принципе не очень, то я и настрою все соответствующим образом (по крайней мере перед посещением warez и adult сайтов). Если я знаю что под админом ходить в нет вредно - я создам рестриктед юзера и т.д.. Ну вообще-то я этого не делаю: во-первых лень, во-вторых на основании трезвой оценки риска и возможных потерь. Кроме того не стоит пользоваться mainstream-овыми клиентами (если уж на то пошло и ОС-ями тоже :-) ). Если бы у того же Bat-а были бы продажи M$ OE, думаю, в нем бы тоже находили дыры и с той же регулярностью. При всей моей нелюбви к M$ и к БГ лично - программеры там не лохи, даже больше скажу они одни из лучших - но это тема отдельного разговора.

Короче, одной настройкой я могу обрубить целый класс атак (и известных эксплоитов и еще не написанных).

А в случае с АВМ: даже если он отрежет сотню известных атак на одну и ту же дыру. 101-я совсем свежая - пролезет. Если использовать эвристиков - себе дороже - будет материться на анекдоты про вовочку на максимальном уровне, и впустую жрать ресурсы (немалые) на более низком. Вот только пользователю АВМ ничего неизвестно (в общем случае, так как АВ никаких рекомендаций не дают) о том куда именно ломятся все эти вирусы. Кроме того большинство АВ блокируют не использование самой дыры, а запуск уже скачанного и готового к действию трояна на локальной машине

ЗЫ: p2p атаки имхо самые опасные. И даже не потому, что при грамотном проведении почти 100% гарантия, а потому, что если человек взялся меня ломать, то соответственно ему чего-то нужно такое, что скорее всего принесет мне финансовый ущерб (это может быть направлено как на то, чтоб у меня чего-то не было, так и на то чтоб что-то было не только у меня). А обычные черные шапки в худшем случае сопрут аську или отформатят винт - недосуг им разбираться кто именно им попался (исходя из того, что я попадусь в толпе юзверей позорных, с которых и взять то нечего)
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach