информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ростелеком заподозрили в попытке... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08  Число просмотров: 2204
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 13:21  Количество правок: 2
<"чистая" ссылка>
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
<site updates>
Отключение защиты антивируса Касперского 24.07.07 23:00  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Отключение защиты антивируса Касперского
Kaspersky Lab Forum via BORODA(C) http://forum.kaspersky.com/index.php?showtopic=42889

Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006
Производитель поставлен в известность более года назад.
Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"


Полный текст
c:\> date 24.07.2006 27.07.07 09:27  
Автор: kva Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Стремление защитить свои продукты от наивного продления
> лицензии путем откручивания системной даты привело к тому,
> что вся защита KAV легко и непринужденно отключается
> простым переводом даты на год назад (неплохой подарок для
> атакующих):

c:\> date 24.07.2006

> Производитель поставлен в известность более года назад.

Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
Не надо жути... 29.07.07 10:50  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
> c:\> date 24.07.2006
И что?

> > Производитель поставлен в известность более года назад.
Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.

> Про подобный "нюанс" касперского я был в курсе года 4
> минимум. И если в 4й версии (ЕМНИП) можно было легко
> обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это
> дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ
> БАТАРЕЙКИ на материнке приводит к отключению каспера и
> невозможность его последующей переустановки.
Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)


> Конечно, можно почистить реестр, но антивирус так глубоко прописывается"
> в системе, что вручную лучше и не пробовать. Правда, в
> последнее время появились разные анинсталлеры, фиксирующие
> состояние системы до и после установки, но достоин ли
> каспер таких извращений?
Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать... 25.07.07 10:22  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
необязательно 25.07.07 11:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
С такой квалификацией можно и попроще найти методы обойти Каспера -)) 25.07.07 12:16  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Поднимаем левый NTP, объясняем винде куда нтпиться - всё работает! 28.07.07 11:05  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 11:10  Количество правок: 1
<"чистая" ссылка>
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального... 28.07.07 11:37  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
> А обяснить можно записью в параметр ветки
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
> n\DateTime\Servers\, манипуляцией с файлом hosts (так как
> большинство нтплений идут c time.pindows.com, можно более
> централизовано, есл есть возможность влиять на
> DNS-запросы-ответы) или как-то ещё.
> Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 13:21  Количество правок: 2
<"чистая" ссылка>
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =) 25.07.07 10:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -)) 25.07.07 11:20  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А любые трояны не особо заботятся о благосостоянии атакуемого. 25.07.07 12:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach