114 ответов в этой теме

[HHH]

Во-первых, далеко не все MS файлы подписаны.

Но таких становится всё больше. Разве нет?

Во-вторых, подпись может быть в любой момент скомпромитирована, поэтому мы не можем полагаться на нее, как на источник истинной информации о файле.

Это легко решается специальной записью в базе. Если вам стало известно, что подпись на каком-то файле скопрометирована, то вы через спец. запись отключаете её проверку.
Алгоритм такой:
- нашли вирус
- если файл подписан MS, то проверили подпись
- если подпись корректная, то не лечим/удаляем
- если в базе для этого файла и/или сертификата прописано исключение, то всё-таки лечим/удаляем

И всё. Вы защищены от ложняков на explorer.exe. При этом скорость проверки не пострадала, а скорость лечения пострадала незначительно.

Возможно я упускаю какой-то момент и такой механизм не будет работать?

З.Ы. Вопрос для подкаста - расскажите, почему не хотите так делать

Сообщение было изменено HHH: 03 Июнь 2011 - 18:57

[basid]

Возможно я упускаю какой-то момент и такой механизм не будет работать?

Основная проблема - коллизии хешей.
Т.е. если два хэша не совпадают, то файлы точно отличаются. А вот если совпадают, то может быть всяко.
С учётом того, что при значимом распространении механизма проверки по хэшам, коллизии начнут генерировать злоумышленники - может быть очень всяко.

[#user]

при значимом распространении механизма проверки по хэшам, коллизии начнут генерировать злоумышленники

Механизм проверки по хэшам используется в антивирусных продуктах Symantec, McAfee, Kaspersky, Microsoft, и т.д. как минимум последние 2-3 года.
Суммарное количество пользователей - сотни миллионов. Вряд ли можно сказать, что распространение этого механизма уже не значимо.

[at.]

И всё. Вы защищены от ложняков на explorer.exe.

От ложняков на заведомо чистых файлах можно защититься более надежными способами - достаточно держать их актуальную коллекцию и проверять обновление на них.

[mrbelyash]

И всё. Вы защищены от ложняков на explorer.exe.

От ложняков на заведомо чистых файлах можно защититься более надежными способами - достаточно держать их актуальную коллекцию и проверять обновление на них.

Да ну?


А почему же время от времени различные компании (в том числе и Dr.Web) усиленно начинают лечить системные файлы до полной не работоспособности системы?

И примеров таких очень много.

А значит этот способ не такой уж и действенный.

[basid]

А значит этот способ не такой уж и действенный.

И вы перемножьте число версий, редакций и фиксов.

[basid]

Суммарное количество пользователей - сотни миллионов. Вряд ли можно сказать, что распространение этого механизма уже не значимо.

"Значимо" - не для антивирусного бизнеса

[mrbelyash]

А значит этот способ не такой уж и действенный.

И вы перемножьте число версий, редакций и фиксов.

И что? К чему это было?

[basid]

И что? К чему это было?

К тому, что ни база хэшей ни база доверенных файлов не гарантируют отсутствия ложных срабатываний.

[#user]

ни база хэшей ни база доверенных файлов не гарантируют отсутствия ложных срабатываний.

Вам известны примеры ложных срабатываний (закончившихся удалением/перемещением системных файлов) в продуктах тех же Symantec или Kaspersky?
(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов).

[basid]

Вам известны примеры ложных срабатываний (закончившихся удалением/перемещением системных файлов) в продуктах тех же Symantec или Kaspersky?

Я не обсуждаю работу тех или иных продуктов. Ровно по тем самым причинам, по которым я не собираюсь анализировать конструктивные ошибки вечного двигателя первого рода.

[mrbelyash]

ни база хэшей ни база доверенных файлов не гарантируют отсутствия ложных срабатываний.

Вам известны примеры ложных срабатываний (закончившихся удалением/перемещением системных файлов) в продуктах тех же Symantec или Kaspersky?
(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов).

Каспер -Explorer.exe,wininet.dll(заражен вирусом Trojan-Downloader.Win32.Agent.arh)


McAfee -Svchost.exe

[#user]

Я не обсуждаю работу тех или иных продуктов. Ровно по тем самым причинам, по которым я не собираюсь анализировать конструктивные ошибки вечного двигателя первого рода.

Понятно.
Тогда отвечу сам. Случаи ошибочного удаления/перемещения системных файлов упомянутыми антивирусными продуктами мне не известны.
Причина очевидна - встроенные механизмы, призванные исключить подобные плачевные последствия ложных срабатываний в принципе.

Поэтому довольно логично было бы, как мне кажется, реализовать подобные механизмы и в Dr.Web.
Если смущает реализация других компаний,то ничего не мешает изобрести собственный велосипед - дело-то не в деталях реализации, а в востребованности подобных механизмов в принципе.

[#user]

Каспер -Explorer.exe,wininet.dll(заражен вирусом Trojan-Downloader.Win32.Agent.arh)


McAfee -Svchost.exe

>>> "(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов)".

[at.]

Да ну?

Ну да

А почему же время от времени различные компании (в том числе и Dr.Web) усиленно начинают лечить системные файлы до полной не работоспособности системы?

А почему падают самолеты, взрываются электростанции и люди ходят на красный свет? Не отрицаю, прецеденты были. Мы анализируем ошибки и работаем над нами.
Конечно, физически невозможно проверить каждое дополнение на "всём интернете", но сейчас защита от срабатывания на исполняемых файлах наиболее популярных версий ОС усилена.

А значит этот способ не такой уж и действенный.

Безусловно не 100%, но это лучше, чем гадание на контрольных суммах

[Silver_klop]

AVZ проверка на валидность файлов ОС более интересна поиском новых (не известных) вирусов. Прогнал системный диск, а дальше уже начинаешь сам анализировать "выжимку".
Меня больше удивляет другой: в бесплатный продукт автор смог собрать базу (хоть какую не какую) файлов и позволяет пользователям ловить новые вирусы (сам не однократно ловил и отсылал на анализ другим вендорам.), а разработчики платных решений, не рассматривают даже возможность добавления такова функционала в свои продукты
PS. пусть такой продукт был внедрен бы как бонус, но он бы очень помог в определенных ситуациях.

Сообщение было изменено Silver_klop: 04 Июнь 2011 - 13:32

[Roman Rashevskiy]

Возможно я упускаю какой-то момент и такой механизм не будет работать?

Основная проблема - коллизии хешей.
Т.е. если два хэша не совпадают, то файлы точно отличаются. А вот если совпадают, то может быть всяко.
С учётом того, что при значимом распространении механизма проверки по хэшам, коллизии начнут генерировать злоумышленники - может быть очень всяко.

Это конечно все так звучит... Но увы и ах - коллизии для стойких алгоритмов хеширования не найдены до сих пор, не говоря уж е о таком практическом аспекте, как применение коллизии для компрометации системы.

[Roman Rashevskiy]

Да ну?

Ну да

Да как обычно - впереди планеты всей, кажется, это мы уже проходили.

[basid]

Это конечно все так звучит... Но увы и ах - коллизии для стойких алгоритмов хеширования не найдены до сих пор

DES-56 (некоторое время назад) был стойким.
Но дело даже не в этом.
Примем отсутствие коллизий разных файлов как аксиому. И что? Для расчёта хэша необходимо проверить валидность самой ЭЦП и рассчитать сам хэш. Расчёт хэша требует вычитки всего файла и выполнение вычислений. Итог: чтение с диска - на прежнем уровне или больше. Вычислительные затраты - строго пропорциональны размеру файла. В чём профит?
А вот (принципиальный) недостаток - есть. Требуется доверять сторонней инфраструктуре. А почему, собственно? На каком основании внешняя организация должна быть святее папы римского?
Прежде чем ответить на этот вопрос - заглянить в список отозванных корневых сертификатов и вспомните историю про не вовремя проплаченный домен microsoft.com.
В общем, как говорят киношные злодеи: "Если хочешь, чтобы ЭТО было сделано хорошо - сделай это сам".
А сколько в system32 может "валяться" неподписанных рантаймов и прочего ...

Прикрепленные файлы:

•  ca.png   4,78К   13 Скачано раз
•  sign.png   6,65К   13 Скачано раз

[Borka]

А вот (принципиальный) недостаток - есть. Требуется доверять сторонней инфраструктуре. А почему, собственно? На каком основании внешняя организация должна быть святее папы римского?

"Так исторически сложилось" (с)