На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
Страницы: (3) 1 [2] 3  все  ( Перейти к последнему сообщению )  
> Обсуждение методов защиты ПО
    Цитата Pacific @
    1) Process Monitor все равно покажет чтение/запись MBR, и программу сломают
    Юзер, умеющий пользоваться редактором дисков и знающий формат винтов, сломает и куда более сложную защиту.
    Цитата shm @
    Будет. Как только ты откроешь диск на физический доступ, да еще и на запись...
    А вот я не уверен. Это стандартная АПИ-функция, используемая наверное в 9 из 10 программ. У меня нет антивиря, но если есть желание, то на пробу могу дать свой плагин к Total Commander, который при подключении обходит все физ. диски, в поиске нужной файловой системы, используя как раз прямой доступ на уровне секторов. Правда только чтение. Чтобы испытать запись, нужен носитель со специально отформатированными лог. дисками. Вот и выяснили бы реакцию антивирей на "прямой доступ к диску".
    Да и не логично со стороны антивиря пищать на прямой доступ к диску, так как вири уже сто лет не используют его.
    Цитата simsergey @
    И вообще, нельзя трогать такие системные области.

    Цитата shm @
    Если честно, я бы сразу же удалил программу, которая без моего ведома лезет на диск на низком уровне, даже не взирая на все ее преимущества не дожидаясь "сюрпризов". В случае крайней необходимости поставил бы на виртуалку.
    Это все предрассудки, запись в сектор ничем не отличается от записи в файл, просто обходится без посредника в виде ОС.
      Цитата Eretic @
      Да и не логично со стороны антивиря пищать на прямой доступ к диску, так как вири уже сто лет не используют его.
      Антивирус не должен пищать только если он жесточайше уверен, что ОС никак не допустит таковую запись, а мысли про "сто лет" ему должны быть фиолетовы, ибо он же не человек, а машина, а потому может помнить о такой опасности a'la "вечно".
        Цитата Славян @
        Антивирус не должен пищать только если он жесточайше уверен, что ОС никак не допустит таковую запись
        На это нет объективных причин. Любая ОС содержит в себе такие функции прямого доступа к диску, специально для облегчения написания различных дисковых утилит и для легкого подключения носителей с нестандартной файловой системой.

        Цитата Славян @
        а мысли про "сто лет" ему должны быть фиолетовы, ибо он же не человек, а машина, а потому может помнить о такой опасности a'la "вечно".
        Антивири пишут люди, а не машины. И они ориентируются в первую очередь на реальные угрозы, а не на отголоски эпохи DOS. Реальность же такова, что сегодня прямой доступ к диску не дает вирусу никаких плюшек и заражать/портить данные пользователя гораздо проще и эффективнее простыми файловыми АПИ. Соответственно и кричать о угрозе без веских оснований нет смысла. Излишняя параноидальность - это верный способ для передачи части своих клиентов своим конкурентам.

        Ладно, наверное пора завязывать, тема скатилась в простой оффтоп.
          Eretic, не совсем так.
          На жестком диске находятся не только файловая система, но и код загрузчика, который загружает загрузчик (как бы странно это не звучало).
          Он находится в каждом секторе, где находится MBR. Ну, Вы наверняка это знаете.
          Даже если Вы используете прямой доступ к диску через апи, у Вас появляется возможность изменять этот код. Ни одна нормальная система система безопасности не станет позволять писать, а в некоторых случая и читать диск напрямую именно из этих соображений. Она не будет разбираться в загрузочную часть сектора софтина лезет или нет, код она там правит или нет.
          Учитывая тот факт, что MBR уже латана и перелатана со времен доса, не стоит туда совать свой код.
          Есть такое понятие как "Совместимость" и "Обратная совместимость". Эти латки накладыавются с расчетом не нее., не стоит под эти латки пихать свои флаги в связи с тем, что рано или поздно то, что разработчик (в данном случае майкрософт оставил для себя пустым) может задействовать, и не обязательно с документированной для пользователя информацией.

          А вдруг юзер использует GPT ?) Что, сразу сообщение "Программа не поддерживает конфигурацию вашего компьютера"?
          Ну Вы же это и так знаете. В чем смысл?)
          Сообщение отредактировано: simsergey -
            МБР жив? :blink:

            Вы софсем про асм забыли и про то, как антивирь определяет вредоносный код. Пикнуть должна сама система "Куда полез!" и долбануть по башке. Никакой антивирь на такое не способен.

            Добавлено
            Цитата Vladimir_ @
            Простенькая программа, без инсталяшки, должна после определенной даты, хранящейся в программе, перестать запускаться.
            Но вот есть проблема: как можно отследить, что пользователь перевел время/дату назад?

            На кой тебе такое? Зачем запускать таймер относительный, когда можно запустить абсолютный?
              Цитата Идеал @
              Зачем запускать таймер относительный, когда можно запустить абсолютный?
              ;) Но, учитывая, что в определённом смысле всякое абсолютное суть относительное в некоей более широкой системе, мы возвращаемся к исходному вопросу автора. :oops:
                Цитата simsergey @
                Учитывая тот факт, что MBR уже латана и перелатана со времен доса, не стоит туда совать свой код.
                Есть такое понятие как "Совместимость" и "Обратная совместимость". Эти латки накладыавются с расчетом не нее., не стоит под эти латки пихать свои флаги в связи с тем, что рано или поздно то, что разработчик (в данном случае майкрософт оставил для себя пустым) может задействовать, и не обязательно с документированной для пользователя информацией.

                Тебя кто-то ввел в заблуждение ;) МБР с момента своего появления не менялось и сейчас является индустриальным стандартом. Нарваться на несовместимость здесь гораздо труднее, чем на "люли" в городском парке. Никакого пустого места там нет, все занято. Занято, но далеко не всегда используется.
                Цитата simsergey @
                Даже если Вы используете прямой доступ к диску через апи, у Вас появляется возможность изменять этот код. Ни одна нормальная система система безопасности не станет позволять писать, а в некоторых случая и читать диск напрямую именно из этих соображений. Она не будет разбираться в загрузочную часть сектора софтина лезет или нет, код она там правит или нет.
                Я не совсем понимаю о каких таких "системах безопасности" идет речь, мне на моем компе никто ничего не запрещает. Все последние посты - это чистая сфероконина в ваккууме, оторванная от реальности. Поэтому, предлагаю спуститься на грешную землю. Возьмем для примера такую замечательную софтину, как Acronis True Image. Она создает отдельный диск(раздел), с файловой системой FAT32. В нем хранятся сохраненные образы дисков/разделов, для последующего быстрого восстановления диска/раздела. В целях безопасности этот спец. раздел невидим системе, то есть помечен как не дос-раздел и система его просто игнорирует. Так вот, без прямого доступа к диску сделать все это просто нереально. Во первых, нужно как-то изменить таблицу партиций и добавить в нее новый раздел. Во вторых, для доступа к невидимому системой разделу системные файловые АПИ просто не годятся, нужно чтение/запись непосредственно секторов. В третьих, она подменяет загрузчик МБР на свой, чтобы пользователь имел возможность восстановить диск/раздел еще до загрузки системы. И лишиться этой красоты ради какой-то мифической безопасности?
                Это самый простой пример необходимости АПИ для доступа к диску на уровне секторов. Как видим, достаточно полезный. Будем и дальше утверждать о вреде алкоголизма прямого доступа к дискам?

                Цитата simsergey @
                А вдруг юзер использует GPT ?
                В большинстве случаев первый сектор будет содержать ... МБР, для совместимости ;) Если его нет, значит первый сектор вообще полностью в нашем распоряжении. Логика проста: раз работаем - значит система загружена; раз система загружена - значит диск нормальный; раз диск нормальный, а МБР не найден - значит имеем дело с GPT; раз на диске GPT - значит первый сектор неиспользуемый. Как-то так.
                  Цитата Eretic @
                  Будем и дальше утверждать о вреде алкоголизма прямого доступа к дискам?
                  Вред определяется по фактическим результатам, а потенциальная опасность – по намерениям. Антивирусы ориентируются на последнее, потому что предотвратить вред всегда лучше, чем исправлять его результаты.
                  Авторы потенциально опасных приложений извещают о них авторов антивирусов, чтобы те знали, что несмотря на их потенциальную опасность, они не являются вредоносными. И если те не против, они просто вносят эти приложения в свои белые списки. Этого будет достаточно, чтобы антивирус смолчал при их запуске и последующей работе. Внезапно, наверное, но при этом потенциально опасное приложение не перестаёт быть таковым, и запросто может использоваться для нанесения вреда. Фактические результаты могут настолько разочаровать пользователя, что техсаппорт не сможет его убедить в том, что причинённый вред является следствием действий его собственных кривых рук и отсутствующих интеллектуальных мыслительных процессов в его голове.
                  Сообщение отредактировано: Qraizer -
                    Вы так спорите усердно, будто вирус - это нечто интеллектуальное, недоступное, ахеренно гениальное и блаблабла. Да любой дрыщь нынче напишет вам программу на том же C#, которая удалит с вашего диска все, что сможет удалится, и никакой антивирус и система не пикнет на эти действия, и никакие загрузочные сектора и всякие MBR никому нахрен не нужны. :lol:
                      Цитата KILLER @
                      напишет вам программу на том же C#, которая удалит с вашего диска все

                      ExpandedWrap disabled
                        find / -delete


                      :yes:
                      :whistle:
                      Сообщение отредактировано: Идеал -
                        Цитата KILLER @
                        программу ..., которая удалит с вашего диска все, что сможет удалится, и никакой антивирус и система не пикнет на эти действия, и никакие загрузочные сектора и всякие MBR никому нахрен не нужны.
                        Комп.вирусы, как и обычные, существуют ещё и потому, что их задача - кушать организм постепенно, а не приводить всю систему к краху мгновенно, ибо в последнем случае они будут быстро найдены и уничтожены, т.е. не получат столь широкого распространения как сейчас. :whistle:
                          Цитата Qraizer @
                          Вред определяется по фактическим результатам, а потенциальная опасность – по намерениям. Антивирусы ориентируются на последнее, потому что предотвратить вред всегда лучше, чем исправлять его результаты.
                          Так весь вопрос в том, что является потенциальной угрозой.
                          Цитата Qraizer @
                          Авторы потенциально опасных приложений извещают о них авторов антивирусов, чтобы те знали, что несмотря на их потенциальную опасность, они не являются вредоносными. И если те не против, они просто вносят эти приложения в свои белые списки. Этого будет достаточно, чтобы антивирус смолчал при их запуске и последующей работе.
                          Хм, будь я вирмейкером, я бы с толком использовал эту фичу антивирусов :P Правда есть у меня сомнения в ее существовании, ведь это же огромная дыра в антивирусе. Да и есть у меня сомнения, что антивири настолько тупы, что вопят на любой чтение/запись секторов диска.
                          Цитата Qraizer @
                          Внезапно, наверное, но при этом потенциально опасное приложение не перестаёт быть таковым, и запросто может использоваться для нанесения вреда.
                          Даже стандартная виндозная утилита diskpart.exe может уничтожить данные о разделах. Простой батник может удалить все файлы. У меня из-за подвисания драйверов видеокарты несколько раз портились файлы. Комп вообще опасная штука :) И слава богу, иначе это будет безделушка для домохозяек, а не рабочий инструмент.

                          Цитата KILLER @
                          Вы так спорите усердно, будто вирус - это нечто интеллектуальное, недоступное, ахеренно гениальное и блаблабла.
                          Эта репутация у них осталась со времен DOS, когда между вирмейкерами и Лодзинским шла настоящая интелектуальная битва за выживание/детектирование :) Те же полиморфные вирусы были гениальным решением защиты от обнаружения по сигнатуре. Винда убила этот творческий процесс на корню и все вирусы, что довелось посмотреть, были на удивление однообразны и неинтересны.
                            Цитата Славян @
                            мы возвращаемся к исходному вопросу автора. :oops:


                            Не печалься! Компьютеру вообще нет дела до того летосчисления, по которому мы живем. Наше летосчисление с его точки зрения нерациональное. Он что-то там свое отсчитывает, преобразует в человеко-читаемый вид и выдает человеку. Так же и программу следует запускать - со своим летосчислением, относительно начала ее жизни.
                            Это только придурки паниковали по поводу надуманной проблемы 2000 года. А псевдо-умники сертификаты выдавали, что компьютер продолжит работать.

                            :thanks:
                            Сообщение отредактировано: Идеал -
                              Цитата Eretic @
                              Так весь вопрос в том, что является потенциальной угрозой.
                              Всё, что потенциально может навредить работоспособности системы и данным пользователя в обход охранных средств ОС. Если работоспособность системы не нарушена, и данные повреждены не в обход, то юзер сам это сделал, он и виноват. Антивирусы, да и не только они, не предназначены для охраны идиотов от них самих. Но предупредить их о потенциально опасном ПО он должен, на то у него и сигнатурные базы, и эвристика.
                              Цитата Eretic @
                              Хм, будь я вирмейкером, я бы с толком использовал эту фичу антивирусов
                              Ну попробуй. Потом расскажешь, что вышло, ок?.
                              Цитата Eretic @
                              Даже стандартная виндозная утилита diskpart.exe может уничтожить данные о разделах. Простой батник может удалить все файлы. У меня из-за подвисания драйверов видеокарты несколько раз портились файлы.
                              Может. Если юзер это сделает.
                              Не все, но может многие, включая жизненно важные. Если юзер его запустит.
                              Не верю. А впрочем верю. Это же юзер с правами админа поставил нечто неподписанное, взятое с не пойми какого урла, да ещё и работающее на уровне ядра.
                              Сообщение отредактировано: Qraizer -
                                Цитата Qraizer @
                                Всё, что потенциально может навредить работоспособности системы и данным пользователя в обход охранных средств ОС.
                                В таком случае в первую очередь нужно запретить операции чтения и записи файлов, поскольку именно они в 99.9% случаев используются для вредоносных действий, а вовсе не прямой доступ к диску ;)
                                Цитата Qraizer @
                                Если работоспособность системы не нарушена, и данные повреждены не в обход, то юзер сам это сделал, он и виноват.
                                Извини, а почему в обход, если эти операции предоставляются самой системой?
                                Цитата Qraizer @
                                Антивирусы, да и не только они, не предназначены для охраны идиотов от них самих. Но предупредить их о потенциально опасном ПО он должен, на то у него и сигнатурные базы, и эвристика.
                                С этим никто не спорит. Вопрос то в другом, на каком основании вы все считаете прямой доступ к диску априори потенциально опасным? Прямой доступ - это всего лишь инструмент, который может быть как полезным, так и не очень. Записывать его сразу в опасные ИМХО неправильно. Как и любой другой инструмент. Никто ведь не отказывается от кухонных ножей, хотя ими порой режут не только хлеб?
                                Цитата Qraizer @
                                Ну попробуй. Потом расскажешь, что вышло, ок?.
                                Статья 33 УК РФ :huh:
                                Цитата Qraizer @
                                Не верю. А впрочем верю. Это же юзер с правами админа поставил нечто неподписанное, взятое с не пойми какого урла, да ещё и работающее на уровне ядра.
                                Драйвера ATI с их оф. сайта, точнее с сайта AMD. Несколько версий имели баг с аппаратным ускорением GUI. Во время работы ворда, экселя, pdf-ридера, djvu-вьюнера, dip trace, proteus и много чего другого комп в лучшем случае уходил в синий экран. Изредка комп без лишних слов перезагружался, а совсем редко намертво вис, без признаков жизни. В последних случаях и произошла порча файлов. NTFS конечно очень устойчивая система, но и она не дает 100% гарантии от таких вот сюрпризов. Отключаешь аппаратное ускорение в свойствах экрана - все работает в лучшем виде. Лишь в версии 14.4 исправили этот баг.
                                0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                0 пользователей:
                                Страницы: (3) 1 [2] 3  все


                                Рейтинг@Mail.ru
                                [ Script execution time: 0,0488 ]   [ 15 queries used ]   [ Generated: 28.03.24, 08:43 GMT ]