emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf 00:20 22-02-2015 Цитата: я работаю под админом без УАКа (о ужас!) | Ok, одни отключают UAC из-за отсутствия мозгов, другие, наоборот, слишком круты для него : ) Не хотел никого обидеть. Все же рядовой пользователь, озабоченный безопасностью, отключать UAC не станет. Особенно, если настраивает систему кому-нибудь из менее опытных. Если в организации — то в любом случае не даст подопечному прав администратора, с UAC'ом или без него. Кстати, напомню, откуда вообще всплыла тема UAC'а: gjf 21:49 19-02-2015 Цитата: Беру любой антируткит от антивирусных вендоров с валидной цифровой подписью. Запускаю и прибиваю процессы Комода. Ну и драйвер для общего дела. Получаю полный беспредел и отмену всех ограничений. Дырища? | Так вот — дырища, если этот метод можно использовать. Но используется ли он реальными зловредами? Я не знаю. Полагаю, что нет, и именно из-за UAC'а. Если бы не UAC, то, по идее, можно укомплектовать зловред антируткитом и подсунуть хоть на той самой флешке с ярлыком. Мой же ярлык гадит на уровне пользователя. И что он способен сделать, я перечислял: обойти все компоненты защиты CIS'а, короче говоря. Вас ярлыком не обманешь — Ok. А ваших «подопечных»? Да, Accessisdenied защищается от внешних носителей с помощью SRP. Ну так и я в числе прочего об этом же говорю. Не будем зацикливаться на ярлыках и флешках — это простейший путь, но не единственный. Можно письма рассылать, можно еще как-нибудь... Лучше меня знаете. От всех этих путей заражения CIS неплохо защищает, если они не используют обсуждаемые дыры. Цитата: Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит. | Пожалуйста — файл из моего баг-репорта: http://rghost.ru/68drpVCDC Говорите, запускаете сомнительные программы в Sandboxie и контролируете их сетевую активность? Этот образец просто скачивает страницу и открывает ее в блокноте. Заменить его стилером можете самостоятельно. Если хотите, можно усовершенствовать прием, чтобы при этом стилер добавился в доверенные и не блокировался антивирусом. P.S. Конкретно тот образец распаковывает файл и выдает его за «%windir%\system32\msiexec.exe». У кого этой программе заблокирован интернет — можно заменить аргумент на «%windir%\system32\svchost.exe» или любую другую программу. | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 01:17 22-02-2015 | Исправлено: emhanik, 01:24 22-02-2015 |
|