9月にDr.Webからリムーバーについて書いていましたが、 アンインストールユーティリティ自体だけでなく、ウイルス対策製品全体の自己防衛モジュールでかなり深刻な脆弱性が発見されたため、Dr.Webプログラマーに修正する時間を与えなければなりませんでした。
だから、Dr.Web Anti-Virus Removerを愛し、支持してください:
みんなが魂で何をしたかすぐにわかります! フロアウィンドウのロゴ、ステータスバーも...レポタ! 製品の魅力的な写真とWin98スタイルのインターフェイス要素をどのように組み合わせるかは、常に楽しいものです。製品のアンインストールを実行するには、再びキャプチャを入力する必要があります。確認は表示されず、削除の成功メッセージのみが表示されます。 内部がすべて美しいかどうかを確認し、いくつかの方法で試してみてください...
1.キャプチャの認識
もちろん、Dr.Webのキャプチャユーティリティは、Kaspersky Labのリムーバーよりもはるかに安定しています。多くの点で、キャラクターの幾何学的な歪みが原因ですが、ここでもいくつかの弱点がありました。
まず、キャプチャは6つの数字で構成されており、驚くことに、それらは繰り返されません! 私がまったく理解できないこの「機能」のポイントは何ですか...このアプローチは、可能なオプションの数をほぼ7倍減らします! これにより、例外メソッドのようなものを認識に使用できるようになり、成功の可能性が大幅に高まります。
第二に、キャプチャの各数字はグレーのハローに囲まれていますが、ノイズは純粋な黒です。 これにより、個々のキャラクターを正確に切り取り、ノイズを除去することができます。
第三に、数字の位置は実際には変化せず、フォントサイズとスタイル(セリフ付きまたはセリフなし)だけが変更され、歪みの程度も変わります。
文字の強い歪みにより、キャプチャ全体で認識精度を20%しか達成できませんでしたが、これは原則として許容されます(たとえば、Webキャプチャの場合)が、この場合、画面の周りでちらつき、幸運になるまで画像を更新する、これはナンセンスです。 認識アルゴリズムをさらに複雑にするのは面倒だったので、反対側から行こうとすることにしました。
2.パッチexeファイルリムーバー
コード検証を切り取り、ユーティリティを再コンパイルするだけです。 ただし、この場合、デジタル署名は無効になります。 リムーバーは動作し、自己防衛モジュール以外のすべてを削除します(有効なデジタル署名がないことは明らかです)。 それでも、すべてがすでに削除されていることが完全に明確でない場合、アンチウイルスはこの自己防衛を必要とする機能を完全に失います。
Dr.Web Security Spaceの最新バージョン(6.0.2.07290)を削除しようとしても、SpIDer Guardは存続していました。
3.リムーバーのメモリから正しいコードを読み取る
値がメモリ内で公開されていて、固定アドレスであってもキャプチャを認識するのはなぜですか? 単に読んで、入力フィールドに貼り付けることができます。 このアプローチでは、デジタル署名が保存されます。これは、リムーバーが期待どおりに動作することが保証され、アンチウイルスが完全に実行されることを意味します。 メモリの一部を読み取るためのプログラムは、約20分で作成されます。Dr.Webの製品にプロアクティブな保護またはHIPSがないため、信頼できるユーティリティのメモリの読み取りを妨げるものは何もありません。
一般に、ユーティリティexeファイル自体には、重要なファイルへのパスやDr.Web製品のレジストリキーなど、多くの興味深い情報が含まれています。 カスペルスキーの同じリムーバーでは、すべてがそれほど単純ではなく、そのようなデータはオープン形式で保存されません。
後に、Dr.Web製品自体の賞賛されている自己防衛モジュール自体にも同様の問題があることが突然判明しました! 同様にcaptchaの値は、ためらうことなく、メモリに保存されます。 強力な(一見)自己防衛を行ったプログラマーが、このような幼稚な間違いを犯す可能性があるとは信じられませんが、そうです...
自己防衛モジュールをアンロードするには、SpIDerAgent_Set.exeを-uninstallパラメーターで呼び出します:##########。ここで、##########は何らかの方法でシステム時間に依存する数値です。 間違ったコードを受け取った場合、自己防衛のアンロードは開始されません。 繰り返しますが、すべての不必要な(Dr.Webの観点から)行動ブロッカーがないため、特定の値でシステム日付を巻き戻し、既知のコードでSpIDerAgent_Set.exeを実行する費用はかかりません;)
リムーバーだけでなく、Dr.Web製品自体についても話していたので、自己防衛に対する別の攻撃ベクトルを無視するのは間違っています。
4.キャプチャ音声認識
captchaの値を発声する場合、Microsoft Speech APIが使用され、ノイズはありません。したがって、認識はまったく問題ではなく、Habr で既に行われていました。 この機能は一般に「ショー」のためにねじ込まれたようです。 コードを穴に分類する方が良いでしょう...
PS
実験は、9月バージョンのDr.Web Anti-Virus Remover v.1.00.5.08230およびDr.Web Security Space 6.0.2.07290で実施されました。 脆弱性を報告した後、彼らはDr.Web Anti-Virus Remover v.1.00.6.09200の更新バージョンをリリースしました。 修正を犠牲にして、ウイルス対策製品のライン自体は誇らしげに沈黙していますが、3か月で何かを考え出す必要がありました。
リムーバーおよびウイルス対策の自己防衛モジュールの脆弱性を示すプログラム 。 WinXPでのテストに加えて、アンチウイルス製品ラインの自己防衛モジュールはすでに更新されているはずですが、以前のバージョンでも動作するはずです。
PPS
ちょうど9月に、アンチウイルスの自己防衛の比較テストがanti-malware.ruポータルで公開されましたが、これは注目に値するもので、Kaspersky Lab(Kaspersky Internet Security 2011)とDoctor Web(DrWeb Security Space 6.0)が100%と99%の結果で勝者であることが判明しました。それに応じて。
そして最近、マルウェアのTrojan-PSW.Win32.VKont.albが発表されました(LCの分類による)。一般に、anti-malware.ruテスト(今日のDr.Webのプラチナ賞を受賞したものを含む)すでに1日修正済み)...
このすべては、この保護の理想的なテストがないのと同様に、理想的な保護がないことを再び証明し、最高のウイルス対策が頭であることを思い出してください!