После замены системных файлов с помощью программы "Архивация данных" в XP (System State), антивирусы перестали работать после перезагрузки компа. Это значит, что вредоносная программа,запущенная с админскими правами,которой нет в антивирусной базе, тоже может так сделать? Самозащита антивируса по-моему должна не давать выгрузить антивирус, то есть защищать системные файлы.
» Самозащита у антивирусов
Антивирусы, они ж обновляются сами по себе. Возможно что-то и поломалось при восстановлении системы.
что сделать:
1. переустановить антивирь
2. провериться антивирным LiveCD от греха (Kaspersky - лучше, DrWeb)
и почему антивирусЫ? их у тебя сразу много что-ли?
что сделать:
1. переустановить антивирь
2. провериться антивирным LiveCD от греха (Kaspersky - лучше, DrWeb)
и почему антивирусЫ? их у тебя сразу много что-ли?
Цитата:
Это значит, что вредоносная программа,запущенная с админскими правами,которой нет в антивирусной базе, тоже может так сделать?
Разумеется... и не только выгрузить антивирь, но и вовсе его прибить или... систему, например, если запустить следующий батник под админом и перегрузиться, то загрузиться не получится, потому как hal'a нет:
Код: @echo off
del %SystemRoot%\system32\hal.dll
Anmawe, самозащита у антивирусов только во время работы винды работает, вернее даже не винды, а соответствующей службы антивируса, а при перезагрузке до запуска служб антивируса, с любыми файлами можно, что угодно делать...
На форуме http://forum.kaspersky.com/index.php?showtopic=219912&st=0&start=0 мне сказали "Если самозащита будет защищаться от бэкапа системы, то система не сможет восстановиться." "Касперского делают умные люди и они научили отличать программу одну от другой. Если эта "одна" стала зараженной, она уже другая."
Они уверены, что данный опыт не доказывает, что антивирус можно выгрузить.
Есть такой троян, который выгружает антивирус? Если есть ссылка - буду благодарен.
http://forum.drweb.com/index.php?showtopic=307067&st=0 "Типа троян-камикадзе?
Т.е. "покончу жизнь самоубийством, но антивирус снесу!"
Если серьёзно, то откуда троян возьмёт файлы реестра без установленного антивируса?"
Они уверены, что данный опыт не доказывает, что антивирус можно выгрузить.
Есть такой троян, который выгружает антивирус? Если есть ссылка - буду благодарен.
http://forum.drweb.com/index.php?showtopic=307067&st=0 "Типа троян-камикадзе?
Т.е. "покончу жизнь самоубийством, но антивирус снесу!"
Если серьёзно, то откуда троян возьмёт файлы реестра без установленного антивируса?"
Можно узнать, какие файлы надо изменить, чтобы удалить из автозагрузок например антивирус? Каким образом?
(как "Архивация данных сделала").
(как "Архивация данных сделала").
tecdoc
Ага, тогда как же к примеру аваст делает проверку ОС до загрузки самой ОС и забирает найденные вирусы в карантин? Как тот же аваст проверяет загрузку ОС при каждом запуске или перезагрузке? Но он не сработает если загружаться через F8 т. е. в безопасном режиме. Вот до нового года и был такой троян, который попав на комп сам загружал систему в безопасном режиме и отключал антивирус. После этого ОС загружалась как обычно, но антивирус был нерабочим.
Ага, тогда как же к примеру аваст делает проверку ОС до загрузки самой ОС и забирает найденные вирусы в карантин? Как тот же аваст проверяет загрузку ОС при каждом запуске или перезагрузке? Но он не сработает если загружаться через F8 т. е. в безопасном режиме. Вот до нового года и был такой троян, который попав на комп сам загружал систему в безопасном режиме и отключал антивирус. После этого ОС загружалась как обычно, но антивирус был нерабочим.
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ? Если туда внести изменения, антивирус не загрузится?
Anmawe
Цитата:
Файлы оттуда очень за многое отвечают. Там системный реестр содержится.
Цитата:
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ?
Файлы оттуда очень за многое отвечают. Там системный реестр содержится.
При попытке внести туда изменения (в файл system), мне пишут "Объект используется другим пользователем или программой". А как Архивация данных его заменяет?
Anmawe
Архивация работает в контексте безопасности локальной системы. У неё наивысшие привилегии. Кроме того, возможно, что при архивации файл временно освобождается. А вообще-то, если б Вам удалось внести туда изменения напрямую, то Виндуза бы накрылась.
Архивация работает в контексте безопасности локальной системы. У неё наивысшие привилегии. Кроме того, возможно, что при архивации файл временно освобождается. А вообще-то, если б Вам удалось внести туда изменения напрямую, то Виндуза бы накрылась.
Что надо уметь и знать, чтоб написать троян (exe файл), который сделает тоже самое, что и Архивация данных?
программирование надо учить. язык какой нибудь
Цитата:
Что надо уметь и знать, чтоб написать троян (exe файл), который сделает тоже самое, что и Архивация данных?
Похоже, вы не совсем понимаете, как устроена система безопасности Windows.
Любая программа, запущенная ПОЛЬЗОВАТЕЛЕМ запускается с правами текущего ПОЛЬЗОВАТЕЛЯ.
Получить привелегии системного процесса она не может.
Для того, чтобы программа запустилась с правами системного процесса, её нужно установить как драйвер или системную службу.
Но любой работающий антивирус предупредит о попытке установки драйвера/службы, и не позволит установить его без явного разрешения пользователя.
Будучи установлена как драйвер или служба (напомню, что для этого требуется явное разрешение пользователя) - программа - да. может выгрузить антивирус. Но антивирус скорее всего вновь потребует на это подтверждение пользователя.
На критические системные процессы, ИЗВЕСТНЫЕ АНТИВИРУСУ, такие как архивация и восстановление данных, подтверждение не требуется, поскольку антивирус изначально обучен "узнавать" эти процессы, и "понимает", что вмешиваться в их работу нельзя. Но антивирус не позволит подменить системный процесс - в нем четко записано, какой именно программой он выполняется и контрольная сумма исполняемых файлов программы.
Смотря какой антвирус. В авасте экран поведения почти молчит, в автоматическом режиме HIPS не сообщит. А в интерактивном режиме мало наверно кто антивирусом пользуется, читать, что там программа пытается сделать.
Вы про какой системный процесс? Заменяются данные в реестре.
Вы про какой системный процесс? Заменяются данные в реестре.
"смотря какие" - согласен. Не защищайтесь всякой фигнёй!
В наши дни любой нормальный антивирус либо блокирует доступ пользователя к критическим ключам реестра, либо автоматически их восстанавливает при изменении.
"Архивация данных" - здесь неподходящий пример, потому что это критическая системная служба, в работу которой антиврусу приказали не вмешиваться разработчики. (во избежание последующих разборок с майкрософт).
В наши дни любой нормальный антивирус либо блокирует доступ пользователя к критическим ключам реестра, либо автоматически их восстанавливает при изменении.
"Архивация данных" - здесь неподходящий пример, потому что это критическая системная служба, в работу которой антиврусу приказали не вмешиваться разработчики. (во избежание последующих разборок с майкрософт).
Anmawe
Цитата:
А как Вы вообще их открыли? Они все бинарные и действительно заняты. Unlocker покажет чем. Если же имеются в виду файлы типа Antiviru.evt или Antivirus.Evt то их можно посмотреть, а можно вырезать в другую папку. Имхо они вообще не нужны. Через день, проверив работу антивиря, можно удалить в корзину.
Цитата:
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ? Если туда внести изменения, антивирус не загрузится?
А как Вы вообще их открыли? Они все бинарные и действительно заняты. Unlocker покажет чем. Если же имеются в виду файлы типа Antiviru.evt или Antivirus.Evt то их можно посмотреть, а можно вырезать в другую папку. Имхо они вообще не нужны. Через день, проверив работу антивиря, можно удалить в корзину.
Да не, изменить их можно при помощи программы Regedit.
Причем так, что никакой антивирус не спасёт, и потом не поможет.
Проблема-то немного в другом - Anmawe беспокоится, что какой-нибудь троян выгрузит из системы его антивирус.
Это-то как раз очень маловероятно, поскольку любой антивирус "бдит" над своими ключами реестра.
Причем так, что никакой антивирус не спасёт, и потом не поможет.
Проблема-то немного в другом - Anmawe беспокоится, что какой-нибудь троян выгрузит из системы его антивирус.
Это-то как раз очень маловероятно, поскольку любой антивирус "бдит" над своими ключами реестра.
Через regedit касперский не дает себя выгрузить.
Ну так выше об этом писали:
Цитата:
Цитата:
В наши дни любой нормальный антивирус либо блокирует доступ пользователя к критическим ключам реестра, либо автоматически их восстанавливает при изменении.
на любую хитрую "ж", есть "х" с винтом. поставь нормальный антивирус типа доктора веба или битдеферндер и не парься зря. если надо будет любой антивирус можно обойти, если знать какой
-----
Можно ли удалить ЭЦП из программы, сохранив при этом её работоспособность? Как?
Anmawe
Цитата:
Что за зверь такой?
Цитата:
ЭЦП
Что за зверь такой?
Касперский позволяет архивации данных с измененным хэшом (по KSN - менее 10 пользователей использовали, стал известен вчера, в контроле программ написано "Цифровая подпись: Отсутствует") менять реестр и отключать себя. Так должно быть ? Это же не настоящая архивация данных, почему он разрешает ?
Аваст при запуске ntbackup.exe написал "У файла низкая репутация, будьте крайне осторожны при запуске файла".
Аваст при запуске ntbackup.exe написал "У файла низкая репутация, будьте крайне осторожны при запуске файла".
Тут уже много сказали. Посмотрите тесты самозащиты антивирусов на AM. И тесты проактивной защиты от Matousec'а. Я бы остановился на Comodo т.к. на x86 великолепная проактивка и как следствие и самозащита, бесплатность, в платной версии из отличий если мне изменяет память только расширенная поддержка и шифрование WiFi. А вот если немного пофилософствовать, то любой АВ продукт можно обойти, поэтому их постоянно и совершенствуют. И добавлю имхо проблема с вирусами раздута и не без помощи АВ вендоров, для подкованного пользователя не так страшен чёрт, как его малюют(c) ну а если у вас коммерческий интерес и есть что защищать, то тут прямой путь к специалистам по ИБ, с помощью форумов защиту подобного уровня имхо не организовать.
Цитата:
Можно, например в HEX'е добавить несколько байт. Главное что бы прав хватило, если с правами пользователя, то системные файлы так просто загубить не выйдет. Антивирусы контролируют подобные изменения в критических местах и/или указанные пользователем, даже современные ОСи уже не так просты, но как мы видим, что и более изощрённые методы защиты не останавливают талантливых, но к сожалению далеко не законопослушных людей.
Цитата:
Можно ли удалить ЭЦП из программы, сохранив при этом её работоспособность? Как?
Можно, например в HEX'е добавить несколько байт. Главное что бы прав хватило, если с правами пользователя, то системные файлы так просто загубить не выйдет. Антивирусы контролируют подобные изменения в критических местах и/или указанные пользователем, даже современные ОСи уже не так просты, но как мы видим, что и более изощрённые методы защиты не останавливают талантливых, но к сожалению далеко не законопослушных людей.
Страницы: 1
Предыдущая тема: Мемлики при работе RDP
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.