8 ответов в этой теме

[Zelyony]

Давайте обсудим

 

http://standa-note.blogspot.com/2018/02/amsi-bypass-with-null-character.html

 

 

Это ж выключает любую защиту, фактически умножая ее на ноль.

 

PS Доктор надеюсь не полностью на amsi полагается.

[RomaNNN]

Чего тут обсуждать?

 

This issue has been fixed as defense-in-depth with the February Update.

 

Кто не обновляется - сам дурак.

Сообщение было изменено RomaNNN: 20 Февраль 2018 - 13:55

[Konstantin Yudin]

Amsi это один из слоев. Как на него можно полностью положиться то? это за гранью понимания.
Амси это пока зачаточная фича которая похоже изначально зародилась в отделе маркетинга.
Только в RS3 она стала похоже на что то полезное

Сообщение было изменено Konstantin Yudin: 20 Февраль 2018 - 13:57

[Zelyony]

маркетинг это да, тестировали

но возможность PS  сканить и др. скрипты  звучит заманчиво.

Возможно и дозреет.

 

Тут вопрос, можно ли на Микрософт хоть в чем-то полагаться, у них же могут быть не только такие косяки.

Сообщение было изменено Zelyony: 20 Февраль 2018 - 14:04

[Konstantin Yudin]

>но возможность PS сканить и др. скрипты звучит заманчиво.

согласен. только до RS3 туда не приходило ничего полезного. они похоже на реальной малваре даже не тестировали до RS3.

по опыту скажу, что все защитные технологии майкрософт обычно выглядят как палка о двух концах и всегда есть какой то параметр который все это выключает на корню.

[Dragokas]

Zelyony, судя по прочитанному в статье, AMSI больше похожа на маркетинговую штуковину,

т.к. по моему мнению, сканить скрипты это медвежий труд.

 

Получается, он якобы анализирует содержимое (тупо статический анализ?), что он там может найти и заблокировать?

Ну, из популярного - допустим, шелкод. Ок, как он справляется с несколькими уровнями наложенной на скрипт обфускации?

Если даже, он её "раскручивает", его движок так и повесить недолго. Реально их, способов, есть столько, что предусмотреть все нереально,

только популярное. А поскольку этот AMSI у всех на виду, то вирмейкеры тоже не дураки, и будут тестировать на нём заранее.

 

 

 

Windows Script Host is not affected as its interpreter stops reading script contents at the first null character, unlike PowerShell.

 

 

Это тоже наивное предположение, т.к. не берётся в расчёт возможность скрипта прочитать самого себя.

 

[Konstantin Yudin]

до Windows RS3 это была реально маркетинговая фигня. в RS3 появился режим трассировки и более плотная интеграция с самим скриптовым движком. есть видео от авторов того что они сделали в RS3 и что еще появится в RS4/RS5

Сообщение было изменено Konstantin Yudin: 02 Март 2018 - 16:08

[SergSG]

У винды сейчас такая стратегия - кусок кода вбросили и "Ура! Пользуйтесь". А продолжение в следующем номере. Но это при условии, что в следующем номере не забьют, или не решат переделать на совсем подругому.

Сообщение было изменено SergSG: 02 Март 2018 - 19:51

[Konstantin Yudin]

Это точно. Партия скажет в эти бирюльки больше не играем и все. Уже индустрия это проходила с МС ни один раз. Не надежно доверяться