Перейти к содержимому


Фото
- - - - -

DrWeb Katana блокирует низкоуровневое форматирование диска

katana low-level drive access

  • Please log in to reply
16 ответов в этой теме

#1 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 21 Сентябрь 2020 - 16:49

Имеется утилита для создания RAM-диска. До момента установки DrWeb Katana работала без нареканий (ранее была установлена Avira, но я решил перейти на другой антивирус, так как она сильно растолстела да и не нравятся мне её последние изменения, но она не конфликтовала с утилитой создания RAM-диска).

 

После установки DrWeb Katana, эта утилита перестала нормально работать. Исследование показало, что Katana блокирует низкоуровневый доступ утилиты к диску, причём блокируется попытка форматирования созданного виртуального диска даже из explorer-a самим пользователем.

 

Более того - даже если в настройках Катаны указать интерактивный режим для таких случаев (т.е. спрашивать пользователя) - доступ всё равно блокируется (так как утилита стартует на самых ранних этапах загрузки системы, что логично).

 

При этом, даже если утилиту (она бесплатная и с открытыми исходниками, ImDisk) и все её компоненты я подписываю валидной цифровой подписью компании - катана всё равно блокирует создание RAM-диска.

 

В логах самой катаны - блокировки низкоуровневых запросов от dllhost - ImDisk создаёт виртуальные диски через него (и работает как сервис тоже).

 

Возможна ли гибкая настройка исключений для программ, имеющих цифровую подпись? Или единственный способ решить данную проблему - это явно разрешить dllhost.exe делать что угодно? Но это не очень хороший вариант. Может ли Катана отслеживать цепочку вызовов и проверять непосредственно код, который использует dllhost?



#2 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 21 Сентябрь 2020 - 17:20

При этом, даже если утилиту (она бесплатная и с открытыми исходниками, ImDisk) и все её компоненты я подписываю валидной цифровой подписью компании - катана всё равно блокирует создание RAM-диска.

Этого недостаточно, надо чтобы подпись была у нас в базе доверенных.

Покажите события блокировки, а лучше полный лог сервиса.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 21 Сентябрь 2020 - 19:26

ImDisk давно подписан.

Прикрепленные файлы:



#4 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 21 Сентябрь 2020 - 23:29

давно подписан.

Как определили, что это нормальная подпись? (а не та, которой, например, раньше подписывали установщики adware от mail.ru?)



#5 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 09:43

 

При этом, даже если утилиту (она бесплатная и с открытыми исходниками, ImDisk) и все её компоненты я подписываю валидной цифровой подписью компании - катана всё равно блокирует создание RAM-диска.

Этого недостаточно, надо чтобы подпись была у нас в базе доверенных.

Покажите события блокировки, а лучше полный лог сервиса.

 

 

Лог в архиве.

 

Установил катану заново, перезагрузил машину - работа iMDisk заблокирована. При попытке "ручного форматирования" - всплыл запрос на разрешение действия, я разрешил.

И тут второй баг - при удалении катаны, я указал удалить все настройки - но при новой установке все мои настройки (запрашивать разрешение интерактивно) были подхвачены "из прошлой жизни", т.е. деинсталляция не совсем чистая, остаются следы. Логично, если остаются логи - но настройки (судя по запакованному LUA-файлу) у вас хранятся в реестре. Логично было бы их удалять при деинсталляции тоже.

 

По поводу цифровой подписи.

 

Я использовал снапшоты сборок ImDisk, они не были подписаны. Подписал валидной цифровой подписью (по крайней мере Windows её воспринимает нормально и прочие антивирусы перестают ворчать на стимовский DRM, если наши игры подписать). По моей логике, если ОС признаёт цифровую подпись валидной - то все прочие службы должны с этим согласиться. Я понимаю, что у создателя ПО может быть другое мнение, но в данном случае, получается, что обычные игроделы (и прочие разработчики) должны идти на поклон к производителям антивирусов - просто потому, что антивирусу не нравится, скажем, наличие криптографии или антиотладочные приёмы, которые используются вполне законно. Хотя это философский момент, поэтому на моё ворчание можно не обращать внимание в этом вопросе.

 

 

Однако, суть не в подписи - суть в возможности гибких настроек, что можно, а что нет. Я хочу этой утилите разрешить выполнять низкоуровневые операции. Она это делает через dllhost. Вопрос к знатокам - как мне это разрешить, но только конкретной утилите?



#6 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 09:45

 

давно подписан.

Как определили, что это нормальная подпись? (а не та, которой, например, раньше подписывали установщики adware от mail.ru?)

 

 

По логике - любая неотозванная подпись, признаваемая CA, который считается доверенным для ОС - считается валидной.

 

Иначе вся инфраструктура цифровых подписей не имеет смысла.



#7 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 09:48

ImDisk давно подписан.

 

Да, кстати, эту подпись не трогал. 



#8 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 22 Сентябрь 2020 - 10:43

 

 

давно подписан.

Как определили, что это нормальная подпись? (а не та, которой, например, раньше подписывали установщики adware от mail.ru?)

 

 

По логике - любая неотозванная подпись, признаваемая CA, который считается доверенным для ОС - считается валидной.

 

Иначе вся инфраструктура цифровых подписей не имеет смысла.

Валидной для кого? Для ОС?
У антивируса собственные критерии доверия.



#9 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Сентябрь 2020 - 10:50

При этом, даже если утилиту (она бесплатная и с открытыми исходниками, ImDisk) и все её компоненты я подписываю валидной цифровой подписью компании - катана всё равно блокирует создание RAM-диска.

Этого недостаточно, надо чтобы подпись была у нас в базе доверенных.

Покажите события блокировки, а лучше полный лог сервиса.

 

Лог в архиве.

Не прикрепилось.
 


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Сентябрь 2020 - 11:00


Я использовал снапшоты сборок ImDisk, они не были подписаны. Подписал валидной цифровой подписью (по крайней мере Windows её воспринимает нормально и прочие антивирусы перестают ворчать на стимовский DRM, если наши игры подписать). По моей логике, если ОС признаёт цифровую подпись валидной - то все прочие службы должны с этим согласиться. Я понимаю, что у создателя ПО может быть другое мнение, но в данном случае, получается, что обычные игроделы (и прочие разработчики) должны идти на поклон к производителям антивирусов - просто потому, что антивирусу не нравится, скажем, наличие криптографии или антиотладочные приёмы, которые используются вполне законно. Хотя это философский момент, поэтому на моё ворчание можно не обращать внимание в этом вопросе.

Увы, реалии таковы, что нельзя доверять системе в плане ЭЦП. Мы используем даже свою база корневых сертификатов, т.е. ничего не сломается если в винде она уже несколько лет протухла и не обновляется. Сюда же самоподписанные, revoked, подписанные в катрутах и т.п., не зависим от виндовой криптографии.

 

По поводу антиотладочных приемов - мы их стараемся детектить независимо от подписи, иногда это можно сделать. Всякие стимы, installshield-ы с их трюками не раз так чинили.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 11:16

Странно, не прикрепилось в первый раз, вот:

 

Прикрепленный файл  dwservice.zip   355,49К   3 Скачано раз

 

При этом, даже если утилиту (она бесплатная и с открытыми исходниками, ImDisk) и все её компоненты я подписываю валидной цифровой подписью компании - катана всё равно блокирует создание RAM-диска.

Этого недостаточно, надо чтобы подпись была у нас в базе доверенных.

Покажите события блокировки, а лучше полный лог сервиса.

 

Лог в архиве.

Не прикрепилось.
 

 

Странно. Попытка номер 2.



#12 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 11:20

 


Я использовал снапшоты сборок ImDisk, они не были подписаны. Подписал валидной цифровой подписью (по крайней мере Windows её воспринимает нормально и прочие антивирусы перестают ворчать на стимовский DRM, если наши игры подписать). По моей логике, если ОС признаёт цифровую подпись валидной - то все прочие службы должны с этим согласиться. Я понимаю, что у создателя ПО может быть другое мнение, но в данном случае, получается, что обычные игроделы (и прочие разработчики) должны идти на поклон к производителям антивирусов - просто потому, что антивирусу не нравится, скажем, наличие криптографии или антиотладочные приёмы, которые используются вполне законно. Хотя это философский момент, поэтому на моё ворчание можно не обращать внимание в этом вопросе.

Увы, реалии таковы, что нельзя доверять системе в плане ЭЦП. Мы используем даже свою база корневых сертификатов, т.е. ничего не сломается если в винде она уже несколько лет протухла и не обновляется. Сюда же самоподписанные, revoked, подписанные в катрутах и т.п., не зависим от виндовой криптографии.

 

По поводу антиотладочных приемов - мы их стараемся детектить независимо от подписи, иногда это можно сделать. Всякие стимы, installshield-ы с их трюками не раз так чинили.

 

 

А есть, кстати, какая-нибудь официальная формочка для связи в случаях, когда "честную прогу" ваш антивирус считает подозрительной? Или только форум? 
У меня есть проекты, где криптография на криптографии сидит и криптографией погоняет (эллиптические кривые, работа с блокчейнами разными) - некоторые антивирусы (та же Авира) слишком нервно реагируют на запуск таких программ. Правда, в большинстве случаев, цифровая подпись от Comodo их успокаивает. В вашем случае, похоже, это не сработает.



#13 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 22 Сентябрь 2020 - 11:31

У меня есть проекты, где криптография на криптографии сидит и криптографией погоняет (эллиптические кривые, работа с блокчейнами разными) - некоторые антивирусы (та же Авира) слишком нервно реагируют на запуск таких программ.

Сама по себе криптография – деятельность ничем не примечательная и не подозрительная. Это ж просто математика. Соответственно, подобный сабжу детект словить на этом невозможно.


Семь раз отрежь – один раз проверь

#14 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 22 Сентябрь 2020 - 12:22

признаваемая CA

CA -- центр аттестации, или что?



#15 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Сентябрь 2020 - 12:47

Знакомая тема, форматирование через dllhost.exe. Есть в планах на доработку.
 

2020-Sep-21 15:28:50.784579 [6840] [INF] [6504] [arkdll]

id: 3527, timestamp: 15:28:50.784, type: FileVolWrite (1), flags: 1 (wait: 1)
sid: S-1-5-21-1510910287-1935511299-3626915394-1001, cid: 10608/10972:\Device\HarddiskVolume6\Windows\System32\dllhost.exe
context: start addr: 0x7ff887d3ab40, image: 0x7ff887b20000:\Device\HarddiskVolume6\Windows\System32\shell32.dll
  hips: type: 2, action: deny [5]
  type: 0, new: 1, cmd: C:\WINDOWS\system32\DllHost.exe /Processid:{7AA7790D-75D7-484B-98A1-3913D022091D}
  fileinfo: size: 21520, easize: 264, attr: 0x20, buildtime: 0, ctime: 07.12.2019 12:08:46.206, atime: 21.09.2020 15:28:44.550, mtime: 07.12.2019 12:08:46.206, descr: COM Surrogate, ver: 10.0.19041.1 (WinBuild.160101.0800), company: Microsoft Corporation, oname: dllhost.exe
  status: signed_microsoft, system_file_host / signed_microsoft / unknown / dllhost
  type: unknown, object: \Device\ImDisk0
  area: VBR [4], offset: 0x0, size: 16384
new content:
00000000: 20 31 50 00 00 00 00 00 00 00 00 00 00 00 00 00  1P.............
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000a0: 00 00 00 00 00 00 00 00 00 00 65 00 6e 00 2d 00 ..........e.n.-.
000000b0: 55 00 53 00 00 00 00 00 00 00 00 00 00 00 00 00 U.S.............
000000c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000000f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000150: 00 00 00 00 00 00 6e 00 00 00 00 00 00 00 00 00 ......n.........
00000160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

\Device\HarddiskVolume6\Windows\System32\dllhost.exe-10608!\Device\ImDisk0/VBR ==> Ok [0]
send user blocked alert
id: 3527 ==> denied [5], time: 0.378200 ms

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#16 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 15:32

 

признаваемая CA

CA -- центр аттестации, или что?

 

 

Да, Certificate Authority в оригинале. Русский термин как-то не стал общепринятым, одни называют центром аттестации, другие - удостоверяющим центром.



#17 GreenDQ

GreenDQ

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 22 Сентябрь 2020 - 15:34

 

Знакомая тема, форматирование через dllhost.exe. Есть в планах на доработку.
 

 

Это будет где-нибудь в общедоступных changelogs?

 

Через неделю-другую я бы сделал вторую попытку :)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых