14 ответов в этой теме

[iDiniska]

Господа, добрый день!

 

Вопрос "в воздух": это нормально, что настройки антивируса лежат в реестре в открытом виде?

 

Скажем, будь я автором вредоносного программного обеспечения и имея целью обойти антивирусную защиту, то я-бы своим дроппером сперва заглянул вот сюда: HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths , а потом, имея список исключенных папок, именно туда и постарался-бы загрузить основное тело вредоносного программного обеспечения.

 

Это - просто один из грубых примеров для привлечения внимания. Понятно, что компонентов защиты несколько больше, но и их настройки точно так-же лежат в открытом виде. Может-быть, все-таки, стоит шифровать текстовую информацию?

 

 

edit: исправление автозамены форумным движком слова "з_л_о_в_р_е+д" на политкорректную версию. Грамматически не спрягаемую, да еще и с ошибкой

Сообщение было изменено iDiniska: 30 Декабрь 2014 - 22:39

[RomaNNN]

В реестре невозможно ничего скрыть. Эти ключи защищены от изменения, беспокоиться не о чем

[iDiniska]

При чем тут изменение? Речь идет о ЧТЕНИИ и последующем использовании этих ОТКРЫТЫХ данных

[RomaNNN]

При чем тут изменение? Речь идет о ЧТЕНИИ и последующем использовании этих ОТКРЫТЫХ данных

 

А там ничего суперсекретного нет. Ну прочитаете Вы данные, и что?

[VVS]

Вопрос "в воздух": это нормально, что настройки антивируса лежат в реестре в открытом виде?

 

Скажем, будь я автором вредоносного программного обеспечения и имея целью обойти антивирусную защиту, то я-бы своим дроппером сперва заглянул вот сюда: HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths , а потом, имея список исключенных папок, именно туда и постарался-бы загрузить основное тело вредоносного программного обеспечения.

1. Суслик должен прописаться в автозагрузку - как он это сделает?
2. Лично я НИКОГДА не исключаю каталоги целиком и никому так делать не советую - исключать IMHO можно только файлы.

[Victor_koly]

Суслик должен прописаться в автозагрузку - как он это сделает?

 

Пуск->Программы->Автозагрузка->Dropper2.57345.exe. Но это будет выявлено сканом с ключем startup. А исключать каталоги - это разве что на время небольшое.

[Бобан]

Лично я НИКОГДА не исключаю каталоги целиком и никому так делать не советую - исключать IMHO можно только файлы.

 

И об этом пользователи должны узнавать на форуме ?! КОШМАР !!!

 

Разрабы срочно должны исправить ситуацию - хранить такие данные надо в зашифрованном виде, не в реестре !

 

А пока побежал удалять папки из исключений.

Сообщение было изменено Бобан: 31 Декабрь 2014 - 07:53

[Denis Nikolayev]

 

Лично я НИКОГДА не исключаю каталоги целиком и никому так делать не советую - исключать IMHO можно только файлы.

 

И об этом пользователи должны узнавать на форуме ?! КОШМАР !!!

 

Разрабы срочно должны исправить ситуацию - хранить такие данные надо в зашифрованном виде, не в реестре !

 

А пока побежал удалять папки из исключений.

 

ИМХО, раз эту "уязвимость" еще не эксплуатируют в массовом порядке, то не такая это и уязвимость Вряд ли ТС настолько гениальный человек, что смог один догадаться об использовании данных об исключаемых путях антивируса из реестра. А шифрование настроек и последующее дешифрование их при чтении антивирусом на мой взгляд лишь добавит тормозов и головной боли разработчикам.

[Бобан]

"...раз эту "уязвимость" еще не эксплуатируют в массовом порядке, то не такая это и уязвимость..."

 

Это не аргумент. Раз есть такая возможность, ей обязательно воспользуются.

 

"...А шифрование настроек и последующее дешифрование их при чтении антивирусом на мой взгляд лишь добавит тормозов и головной боли разработчикам..."

 

Во-первых, на то они и "заработчики" , чтобы дорабатывать и зарабатывать.

А во-вторых - никакого геморроя здесь нет. Хранение данных вне реестра - просто альтернативный способ для программиста, не более того. Утверждаю, как программист с XX-летним стажем (страшно цифру озвучивать )

[SergSG]

"...раз эту "уязвимость" еще не эксплуатируют в массовом порядке, то не такая это и уязвимость..."

 

Это не аргумент. Раз есть такая возможность, ей обязательно воспользуются.

Думаю, Ваши опасения несколько преувеличены.

[VVS]

"...раз эту "уязвимость" еще не эксплуатируют в массовом порядке, то не такая это и уязвимость..."

 

Это не аргумент. Раз есть такая возможность, ей обязательно воспользуются.

Я уже писал:

Суслик должен прописаться в автозагрузку - как он это сделает?

[Victor_koly]

VVS, на самом деле, меняем указанный мною файл на start.bat с таким содержимым:

start E:\кряки\if3js9l9.exe

 

Какие шансы на детект такого файла с произвольным названием exe и bat.

[Pavel Plotnikov]

Зачем его детектировать если детект произойдёт по поведению?

[АВаТар]

Дык, у Victor_koly Dr.Web не установлен... гы-гы... 

Сообщение было изменено АВаТар: 31 Декабрь 2014 - 17:24

[Konstantin Yudin]

Господа, добрый день!
 
Вопрос "в воздух": это нормально, что настройки антивируса лежат в реестре в открытом виде?
 
Скажем, будь я автором вредоносного программного обеспечения и имея целью обойти антивирусную защиту, то я-бы своим дроппером сперва заглянул вот сюда: HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths , а потом, имея список исключенных папок, именно туда и постарался-бы загрузить основное тело вредоносного программного обеспечения.
 
Это - просто один из грубых примеров для привлечения внимания. Понятно, что компонентов защиты несколько больше, но и их настройки точно так-же лежат в открытом виде. Может-быть, все-таки, стоит шифровать текстовую информацию?

этому примеру уже 10 лет в обед, еще во времена ни файлов такое ждали... любые исключения это потенциальная дыра в безопасности.