カスペルスキー製品削除ユーティリティのセキュリティ分析
システム保護の全体的な信頼性は、最も耐性の低いコンポーネントによって決まります。 保護の構築者がこの規則を忘れた場合、遅かれ早かれ崩壊します...
先日問題があった-詰まったカスペルスキーを削除する。 古いものはまったく去りたくなく、新しいものは設定されたくありませんでした。 優れた強力なGoogleがこの問題の解決策を発表しました-「Kaspersky Lab Product Removal Utility」、実際にはLab自体の作成者です。 プログラムは非常に興味深いことが判明したため、すぐにそれを掘りたいという要望がありました...
判明したように、この素晴らしいユーティリティは、カスペルスキーの世界的に有名なすべての製品(もちろんWindowsの下)を一気に破壊し、さらに不必要な会話をせずに、パスワードで保護されたものを含む最も偏執的な構成を削除します! このユーティリティは、ラボによってデジタル署名され、自動的に「信頼済み」グループに分類されます。「デジタル署名付きの信頼できる「プログラムを入力」チェックボックスをオフにしても、明らかに、ウイルス対策はネイティブの血を感じ、温かく耳をたたきますRemuver。 このすべての幸福のために、彼らは私たちにある種のぎくしゃくしたキャプチャを導入するように要求します、あなたは涙なしでは見ません...
キャプチャ画像のフィールドの座標を取得するには、Remuverウィンドウを見つけ、ウィンドウ要素のリストを見て、「STATIC」クラスの要素と空のテキストを探します。 座標を取得したら、画面のスクリーンショットからこの領域を切り取り、認識アルゴリズムに渡します。 Rumuverのアクティブウィンドウのクライアント領域のコピーを取ることはできませんでした、彼の手は曲がっていました(すべてが他のアプリケーションで機能していました)、または実験室の人はそれでも保護のためにそこに何かを作りました、私は画面全体のスクリーンショットからキャプチャ領域を切り取りました。 完成した行をクリップボードに挿入し、ユーティリティウィンドウのコード入力フィールドに貼り付けます。その後、「削除」ボタンと「終了」ボタンを押してエミュレートできます。 ウィンドウ自体を非表示にしたり、画面から押し出したり、ウィンドウの上に置いたりすることができます。 ウイルス対策の観点からRemuverを使用するプログラムは、違法なものをコミットせず、「弱い制限」グループに分類されます。 このプログラムによって起動されたRemuver自体は、Trustedになります。
キャプチャは16文字しか使用しないことが実験的に確立されました(ジェンヤおじさんはそのような欲望をどこで得ますか?)。 これらは、1桁(0〜9)とラテンアルファベットの最初の6文字(A、B、C、D、E、F)です。 フォントは変更されず、傾きと歪みは使用されません。 「保護」として、各シンボルの位置のわずかな変化とランダムポイントノイズが適用されます。
塗りつぶされたピクセルの単一およびいくつかの他のグループが削除されます。 判明したように、認識アルゴリズムは画像をクリーニングしなくても正常に機能するため、文字自体に損傷を与えないようにノイズを減らすことはしませんでした。
塗りつぶされたピクセルの分布の統計が使用されます。大まかに言えば、濃度がより強い場合は、明らかにシンボルです。 最も集中度の高い8つのエリアを選択しました。
なぜなら キャプチャ上の文字は幾何学的な変形を受けないため、シンボルを含むと思われる領域と比較して、ピクセルごとに認識するときに16個の参照画像のコレクションを単純に収集することにしました。 最も多くの一致がある標準は、正しい決定と見なされます。
私のデモでは、1文字の認識効率は99%で、8文字のキャプチャ全体でそれぞれ92%です。 何も削除されず、単にキャプチャを認識し、入力フィールドにコードを挿入するだけだとすぐに警告します。
攻撃者がKaspersky Labの製品削除ユーティリティを密かに使用する(たとえば、トロイの木馬に埋め込む)ことは難しくありません。 実装されている保護メカニズムは原始的です。
1.実験室の人は、ビール、または彼らがどのように脳を刺激するかを購入し、キャプチャの複雑さを許容できるレベルにし、一般にユーティリティを保護することを考えます。 Removerの新しい安定バージョンをリリースします。
2.古いバージョンをブラックリストに登録するか、少なくとも信頼できるバージョンに自動的に分類されないようにします。 通常のユーザーが苦しむことはありません 常に新しいバージョンをダウンロードできるため、攻撃者は古いバージョンを静かに起動することはできません。
3.さて、またはこのビジネスに参入して、ウイルス作成者が認識機能をトロイの木馬に埋め込むことができることを期待できますが、チャットボットは既にそれを使用しています...
一般に、私はカスペルスキーに非常に敬意を払っています。私自身は、自分の意識的な生涯を通じて実際に製品のみを使用しているため、保護の品質をさらに高めたいと思っています。 ローションは、怠inessや近視の急性発作にのみ使用することをお勧めします。破壊的な目的には使用しないでください。)ところで、Dr.Webにも同様のユーティリティがありますが、より深刻なキャプチャがあります。 このトピックが誰かにとって興味深いものである場合、私は次回それについて話そうとします。
先日問題があった-詰まったカスペルスキーを削除する。 古いものはまったく去りたくなく、新しいものは設定されたくありませんでした。 優れた強力なGoogleがこの問題の解決策を発表しました-「Kaspersky Lab Product Removal Utility」、実際にはLab自体の作成者です。 プログラムは非常に興味深いことが判明したため、すぐにそれを掘りたいという要望がありました...
判明したように、この素晴らしいユーティリティは、カスペルスキーの世界的に有名なすべての製品(もちろんWindowsの下)を一気に破壊し、さらに不必要な会話をせずに、パスワードで保護されたものを含む最も偏執的な構成を削除します! このユーティリティは、ラボによってデジタル署名され、自動的に「信頼済み」グループに分類されます。「デジタル署名付きの信頼できる「プログラムを入力」チェックボックスをオフにしても、明らかに、ウイルス対策はネイティブの血を感じ、温かく耳をたたきますRemuver。 このすべての幸福のために、彼らは私たちにある種のぎくしゃくしたキャプチャを導入するように要求します、あなたは涙なしでは見ません...
それでは始めましょう
キャプチャ画像のフィールドの座標を取得するには、Remuverウィンドウを見つけ、ウィンドウ要素のリストを見て、「STATIC」クラスの要素と空のテキストを探します。 座標を取得したら、画面のスクリーンショットからこの領域を切り取り、認識アルゴリズムに渡します。 Rumuverのアクティブウィンドウのクライアント領域のコピーを取ることはできませんでした、彼の手は曲がっていました(すべてが他のアプリケーションで機能していました)、または実験室の人はそれでも保護のためにそこに何かを作りました、私は画面全体のスクリーンショットからキャプチャ領域を切り取りました。 完成した行をクリップボードに挿入し、ユーティリティウィンドウのコード入力フィールドに貼り付けます。その後、「削除」ボタンと「終了」ボタンを押してエミュレートできます。 ウィンドウ自体を非表示にしたり、画面から押し出したり、ウィンドウの上に置いたりすることができます。 ウイルス対策の観点からRemuverを使用するプログラムは、違法なものをコミットせず、「弱い制限」グループに分類されます。 このプログラムによって起動されたRemuver自体は、Trustedになります。
キャプチャ認識
キャプチャは16文字しか使用しないことが実験的に確立されました(ジェンヤおじさんはそのような欲望をどこで得ますか?)。 これらは、1桁(0〜9)とラテンアルファベットの最初の6文字(A、B、C、D、E、F)です。 フォントは変更されず、傾きと歪みは使用されません。 「保護」として、各シンボルの位置のわずかな変化とランダムポイントノイズが適用されます。
1.ノイズクリーニング
塗りつぶされたピクセルの単一およびいくつかの他のグループが削除されます。 判明したように、認識アルゴリズムは画像をクリーニングしなくても正常に機能するため、文字自体に損傷を与えないようにノイズを減らすことはしませんでした。
2.文字を含む領域を強調表示する
塗りつぶされたピクセルの分布の統計が使用されます。大まかに言えば、濃度がより強い場合は、明らかにシンボルです。 最も集中度の高い8つのエリアを選択しました。
3.基準との比較による各文字の認識
なぜなら キャプチャ上の文字は幾何学的な変形を受けないため、シンボルを含むと思われる領域と比較して、ピクセルごとに認識するときに16個の参照画像のコレクションを単純に収集することにしました。 最も多くの一致がある標準は、正しい決定と見なされます。
私のデモでは、1文字の認識効率は99%で、8文字のキャプチャ全体でそれぞれ92%です。 何も削除されず、単にキャプチャを認識し、入力フィールドにコードを挿入するだけだとすぐに警告します。
おわりに
攻撃者がKaspersky Labの製品削除ユーティリティを密かに使用する(たとえば、トロイの木馬に埋め込む)ことは難しくありません。 実装されている保護メカニズムは原始的です。
どうする
1.実験室の人は、ビール、または彼らがどのように脳を刺激するかを購入し、キャプチャの複雑さを許容できるレベルにし、一般にユーティリティを保護することを考えます。 Removerの新しい安定バージョンをリリースします。
2.古いバージョンをブラックリストに登録するか、少なくとも信頼できるバージョンに自動的に分類されないようにします。 通常のユーザーが苦しむことはありません 常に新しいバージョンをダウンロードできるため、攻撃者は古いバージョンを静かに起動することはできません。
3.さて、またはこのビジネスに参入して、ウイルス作成者が認識機能をトロイの木馬に埋め込むことができることを期待できますが、チャットボットは既にそれを使用しています...
PS
一般に、私はカスペルスキーに非常に敬意を払っています。私自身は、自分の意識的な生涯を通じて実際に製品のみを使用しているため、保護の品質をさらに高めたいと思っています。 ローションは、怠inessや近視の急性発作にのみ使用することをお勧めします。破壊的な目的には使用しないでください。)ところで、Dr.Webにも同様のユーティリティがありますが、より深刻なキャプチャがあります。 このトピックが誰かにとって興味深いものである場合、私は次回それについて話そうとします。
All Articles