Kaspersky Internet Security - KIS (часть 4) - [63] :: Программы

Несмотря на то что именно HIPS можно считать одним из важнейших компонентов современного security-продукта, постановлением M$ нету под их x64 ОС реального HIPS(читайте мониторинга активности приложений, куда входит и например ковыряние в файле hosts) ни в одном продукте, не только у KL.
http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx
http://en.wikipedia.org/wiki/Kernel_Patch_Protection
Все гораздо хуже чем досадная ошибка/упущение/халтура со стороны KL. M$ расчищают видно поле от конкурентов перед выкатыванием собственного продукта какого-нить.

В 2-х словах проблема в следующем - в x64 ОСях от МС текущих версий(со всеми обновлениями) какие-либо модификации ядра ОС запрещены и в случае их обнаружение проводящейся с периодичностью несколько минут проверкой ОС заботливо вас защитит уйдя в BSOD.

Техника перехвата функций на уровне ядра используеться в равной степени создателями руткитов для сокрытия своего присутсвия и антивирей/hips для более гарантированного контроля активности.

МС делает гениальный шаг и выбивает у 2-х эту основу из под ног.
И строго грозит пальчиком(Symantecy, Authentiumу в частности) - кто посмеет нашу цацку ломать, знайте, будем выпускать оперативно обновления чтоб ваших пользователей с BSODом познакомить.

Ну положим даже разрабы зловредов очень озаботяться стабильностью систем жертв, не будут обходить эту гениальную разработку(детальный анализ и методы обхода вплоть до готовых реализаций в принципе есть, правда не совсем актуальные видимо) и просто перестанут маскироваться так усиленно - прятаться на виду можно с ничуть не меньшей эффективностью.

Эта фича естественно никак не влияет на возможности активности зловредов на уровне ядра, только запрещают само ядро трогать и ограничивает возможности по сокрытию (без непосредственной конфорнтации с данной фичей).
А заковыка вся в том что активность эту уже никто контролировать не сможет и сообщать о ней пользователю ибо M$ не велит. Если HIPS в x64 на сегодня у других вендоров есть, то касаеться он только usermode.
(KL учитывая высшеприведенные посты похоже с этим какраз схалтурили, полностью положив на HIPS под x64)

Если упростить то запись в hosts из usermode в x64 будет перехвачена и пользователя спросят да/нет, из kernel-mode для пользователя все пройдет прозрачно.

Изначально секьюрити-вендоры подняли крик(году в 2006) но осознали непоколебимость МС.
Впрочем возможно это остановило планы МС по включению в 32-битную Висту например, если такие были, т.как реально такую наглую попытку уничтожить сторонних разработчиков security продуктов не съели бы в отличии от x64 и нещадно отключали бы все кому не лень - никакие регулярные обновления от них бы не поспевали/свернули бы за нерентабельностью такой борьбы.

На данный же момент все молчат в тряпку и предлагают пользователям скомпрометированную изначально по определению защиту под x64.

x32 версии продуктов радостно тестят разными leak-testами и показывают их отличные результаты(matousec etc.), но покажите сравнение x32 и x64 версий тех же продуктов.

Нормально ни один вендор не освещает этот факт, про такое надо писать большими красными буквами при установке/скачивании x64 версии в духе "Множество функций доступных в 32-битной версии продукта будут недоступны или декоративны в x64"

К МС основная претензия в лишении пользователя выбора и непредоставлении какого-либо механизма отключения бяки. Ведь для неподписанных дров все же предоставили возможность, хотя под x64 в отличии от x32 нужно чуть ли не кровью расписаться что да таки хотите воспользоваться неподписанными дровами, но таки можно. А вот patchguard отключить ни-ни.

Сейчас возможен новый виток развития ситуации, повисшей во многом в воздухе с того самого 2006 в виду незначительного количества x64 пользователей... Естественно это самое незначительное количество играет еще и спасательную роль - интерес руткитописателей незначителен.

Но с переходом на Win 7 многие уже могут сделать выбор в пользу x64 из-за количества оперативки. Естествественно какие-либо подвижки в этом вопросе возможны только в случае информированности. И лучше если это будет информированность пользователей, а не писателей зловредов, которые осознают что пользы от новой фичи МС им то в принципе больше чем вреда и что увеличивающееся количество пользователей x64 отличные кандидаты на членство в ботнетах.

Модерирует : gyra, Maz
Widok (21-09-2009 11:51): Лимит страниц. Продолжаем здесь.	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102