Перейти к содержимому


Фото
- - - - -

AMSI и все, все, все...


  • Please log in to reply
8 ответов в этой теме

#1 Zelyony

Zelyony

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 20 Февраль 2018 - 13:50

Давайте обсудим

 

http://standa-note.blogspot.com/2018/02/amsi-bypass-with-null-character.html

 

 

Это ж выключает любую защиту, фактически умножая ее на ноль.

 

PS Доктор надеюсь не полностью на amsi полагается.



#2 RomaNNN

RomaNNN

    VH, Betatester

  • Dr.Web Staff
  • 5 335 Сообщений:

Отправлено 20 Февраль 2018 - 13:55

Чего тут обсуждать?

 

This issue has been fixed as defense-in-depth with the February Update.

 

Кто не обновляется - сам дурак.


Сообщение было изменено RomaNNN: 20 Февраль 2018 - 13:55

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 844 Сообщений:

Отправлено 20 Февраль 2018 - 13:58

Amsi это один из слоев. Как на него можно полностью положиться то? это за гранью понимания.
Амси это пока зачаточная фича которая похоже изначально зародилась в отделе маркетинга.
Только в RS3 она стала похоже на что то полезное

Сообщение было изменено Konstantin Yudin: 20 Февраль 2018 - 13:57

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Zelyony

Zelyony

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 20 Февраль 2018 - 14:02

маркетинг это да, тестировали :)

но возможность PS  сканить и др. скрипты  звучит заманчиво.

Возможно и дозреет.

 

Тут вопрос, можно ли на Микрософт хоть в чем-то полагаться, у них же могут быть не только такие косяки.


Сообщение было изменено Zelyony: 20 Февраль 2018 - 14:04


#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 844 Сообщений:

Отправлено 20 Февраль 2018 - 15:08

>но возможность PS сканить и др. скрипты звучит заманчиво.

согласен. только до RS3 туда не приходило ничего полезного. они похоже на реальной малваре даже не тестировали до RS3.

по опыту скажу, что все защитные технологии майкрософт обычно выглядят как палка о двух концах и всегда есть какой то параметр который все это выключает на корню.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Dragokas

Dragokas

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 02 Март 2018 - 15:33

Zelyony, судя по прочитанному в статье, AMSI больше похожа на маркетинговую штуковину,

т.к. по моему мнению, сканить скрипты это медвежий труд.

 

Получается, он якобы анализирует содержимое (тупо статический анализ?), что он там может найти и заблокировать?

Ну, из популярного - допустим, шелкод. Ок, как он справляется с несколькими уровнями наложенной на скрипт обфускации?

Если даже, он её "раскручивает", его движок так и повесить недолго. Реально их, способов, есть столько, что предусмотреть все нереально,

только популярное. А поскольку этот AMSI у всех на виду, то вирмейкеры тоже не дураки, и будут тестировать на нём заранее.

 

 

 

Windows Script Host is not affected as its interpreter stops reading script contents at the first null character, unlike PowerShell.

 

 

Это тоже наивное предположение, т.к. не берётся в расчёт возможность скрипта прочитать самого себя.

 


HiJackThis dev. team


#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 844 Сообщений:

Отправлено 02 Март 2018 - 16:08

до Windows RS3 это была реально маркетинговая фигня. в RS3 появился режим трассировки и более плотная интеграция с самим скриптовым движком. есть видео от авторов того что они сделали в RS3 и что еще появится в RS4/RS5

Сообщение было изменено Konstantin Yudin: 02 Март 2018 - 16:08

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 SergSG

SergSG

    The Master

  • Posters
  • 10 327 Сообщений:

Отправлено 02 Март 2018 - 19:50

У винды сейчас такая стратегия - кусок кода вбросили и "Ура! Пользуйтесь". А продолжение в следующем номере. Но это при условии, что в следующем номере не забьют, или не решат переделать на совсем подругому.


Сообщение было изменено SergSG: 02 Март 2018 - 19:51


#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 844 Сообщений:

Отправлено 02 Март 2018 - 21:49

Это точно. Партия скажет в эти бирюльки больше не играем и все. Уже индустрия это проходила с МС ни один раз. Не надежно доверяться :)
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых