Перейти к содержимому


k.nikolenko

Дата рег: 10 Ноя 2011
Оффлайн Был(а) онлайн: Вчера, 16:43
*****

Сообщения пользователя

В теме:Домен в базе Dr.Web

27 Март 2019 - 16:42

Домен исключен из вирусных баз.


В теме:False positive: Remote Utilities

02 Ноябрь 2018 - 16:35

Мы закрыли способ внедрения с помощью dll-hijacking

Это ведь тоже полу-хак для противодействия механизму ОС, который подвержен dll hijacking'у?

Поскольку я вижу Вашу обеспокоенность вопросом безопасности комплекса программ RU и прорабатываете механизмы его защиты от ВПО, возможно имеет смысл добавить в указанную dll уже имеющийся у вас код самостоятельной проверки подписи для вызывающей программы?


В теме:False positive: Remote Utilities

02 Ноябрь 2018 - 16:00

Какой официальной позиции придерживается вендор касательно функций детектируемого "ripcserver.dll"?


В теме:False positive: Remote Utilities

02 Ноябрь 2018 - 15:17

Весь текст ниже выражает мое личное мнение

Во-первых компоненты RU очень часто используются в ВПО для скрытного управления.

Никакая цифровая подпись (даже EV) не решит проблему атаки подмены одноименной системной dll (dll hijacking) или того же vp8decoder.dll, потому что внедрение идет в уже имеющийся процесс, а не изменяется на диске.

 

Во-вторых детект есть не на всех компонентах, а на определенной DLL, функции которой направлены на внедрение сторонней dll в адресное пространство чужого процесса. При этом, сама детектируемая dll не проверяет наличие Вашей валидной цифровой подписи у вызывающей программы. Т.е. данный компонент может использоваться в вредоносных целях


В теме:Проверка упакованных файлов SpIDer Guard

26 Октябрь 2018 - 16:53

К сожалению, в релизной версии движка распаковка upx x64 последних версий не реализована. В процессе.