Dr web server добавление исключений
Обновлено: 03.07.2024
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Рассмотрим расширение перечня исключений в более новой десятой версии антивируса "Доктор Вэб".
Для начала раскроем меню антивируса нажав на его значок на панели справа.
Далее нажимаем на шестерёнку.
Затем, в левой части переходим в раздел "Исключения". Далее определяемся с объектом добавления в левой части, выбирая соответственно его, а с правой нажимаем на "+".
Осталось только указать на нужный объект и нажать "ОК".
Добавить исключение в антивирус Доктор Веб совершенно несложно на самом деле.У меня стоит платная версия антивируса Доктор Веб и поэтому я могу вам рассказать,каким образом это можно сделать.
В исключения вы сможете добавить любой сайт,который блокирует данный антивирус, и для этого следует провести вот такие действия:
5.Жмете потом на опцию-разрешить.
6.После этого кликаем на OK.
Бывает, что антивирус "доктор веб" блокирует совершенно нормальные сайты, приложения или службы. Это абсолютно нормально, ведь лучше перестраховаться, чем ошибиться. Так они заботятся о безопасности наших компьютеров.
Если вдруг такая ситуация произошла, объект блокировки можно легко добавить с список исключений. Для этого открываем панель управления Доктор веб (удобнее через значок в правом нижнем углу экрана), после в открывшемся всплывающем окне находим пиктограмму с изображением замочка, и нажимаем на неё. Далее нажимаем пиктограмму с шестеренкой (это настройки), и далее выбираем "Исключения".
Добавлять в исключение требуется в том случае, если антивирусник по каким-либо причинам блокирует тот или иной сайт.
Сделать нужно следующее:
открываем антивирусную программу, находим значок "замок" и нажимаем на него. Должен появиться другой значок - шестеренка. Нажимаем опять и заходим в настройки антивирусника.
Ищем там раздел под названием "Исключения".
Далее нужно открыть новое окно. В нем вы будите добавлять все, что на ваш взгляд нужно добавить в исключения. Это могут быть целые сайты, а могут быть папки или отдельные файлы.
Добавляем с помощью значка "+". Теперь осталось только нажать на значок "Ок".
Заходите в Доктор Веб, затем нужно нажать на замочек, далее - на шестеренку. Так вы попадете в настройки антивирусника. Переходим в закладку "Исключения" и далее добавляем новые:
- сайты (тогда идем в вкладку "Веб-сайты");
- какие-либо папки или конкретные файлы (вкладка "Файлы и папки");
- или же программы и процессы (одноименная вкладка).
Значок добавления - кружок с плюсом.
Все, останется только корректно указать путь для сайта, файла и т.д.
Для тех, кто предпочитает один раз увидеть видео, чем десять раз прочесть текста, предлагаю к просмотру следующее видео:
Это актуально для десятой версии. Если у вас более старый антивирусник, тогда путь другой: запуск Доктора Веба - Инструменты - Настройки - SpIDer Guard - Исключаемые файлы - Обзор - далее указываете путь - Добавить и Окей.
Доброго времени суток.
Иногда для корректной работы некоторых программ/приложений на компьютере или же для открытия каких - то не самых безопасных сайтов, приходится прибегать к добавлению их в исключения антивируса (в данном соучае, в исключения антивирусника Доктор Веб).
Открываем сам антивирус и надимаем на кнопку "закрытого замка" и тем самым открываем себе доступ к настройкам (появляется значок настроек - шестерёнка). После этого надимаем на этот значок и открываем настройки. Далее переходим в раздел "Исключения".
Открывается новое окно, где можно выбирать что добавлять в исключения (сайты, файлы или папки и тд). Выбираем объект, который нужно добавить в исключение антивирусника и нажимаем на "+", а затем на кнопку "Ок".
Чтобы исключить из проверки SpIDer Guard программу или файл, нажмите правой кнопкой мыши на значок Dr.Web в области уведомлений и выберите SpIDer Guard–>Настройки. В открывшемся окне перейдите на вкладку Исключения, с помощью кнопки Обзор выберите папку, в которой установлена программа, исключаемая из проверки, и нажмите Добавить.
Если возникает необходимость исключить из проверки папку или файл во время сканирования с помощью Сканера Dr.Web для Windows — в меню сканера выберите Настройки–>Изменить настройки. На вкладке Проверка–>Список исключаемых путей можно добавить каталог, на вкладке Список исключаемых файлов — конкретный файл, после чего необходимо нажать Добавить.
Левой кнопкой мыши по значку закрытый замочек и появится доступ к настройкам Dr.Web. Как на фото. Ну а дальше как было написано! У меня у самого последняя версия Dr.Web ругался и перемещал на карантин программу Auslogics BoostSpeed 8. Добавил в исключения теперь все нормально! Если что то не понятно пишите! На что смогу отвечу!
Многие не знают как добавить исключение в антивирусе Доктор Вэб из-за того, что этот пункт скрыт в подменю.
Перейдите в настройки (иконка шестеренки), а оттуда в раздел "Исключения". Далее перед вами появится понятное меню управления исключениями и нажав на "+" вы сможете создать новое правило исключений:
На самом-то деле сделать это совершенно несложно, просто вам нужно перейти первым делом в настройки антивирусника. После уже в настройках от вас потребуется выбрать тот самый пункт "исключения". Здесь в окошке у вас есть возможность добавлять исключения.
Для того что-бы внести изменения в программу доктор веб необходимо зайти в настройки данной программы и настроить ее так как вам того хочется, советую так же скачать этот антивирус с официального сайта производителя тогда все будет работать.
В очередном окне необходимо будет ввести ключ лицензии, состоящий из 16 символов вида ХХХХ-ХХХХ-ХХХХ-ХХХХ. Если у вас коробочная версия, то ищите отдельную бумажку с этим кодом в коробке. Если вы покупали лицензию на их оф. сайте, то этот код придёт вам на электронную почту, указанную при регистрации на сайте. Некоторые прибегают ещё и к третьему варианту - ищут ключи на просторах интернета, благо сайтов, выкладывающих ключи предостаточно. Но, как правило, долго эти ключи не живут и в один прекрасный день его (ключ) просто заблокируют, а вы можете остаться с антивирусом, который не сможет обновляться через интернет.
там и техническая поддержка есть-на случай-если понадобится и разные советы по правильной установке антивируса.
Меню Пуск и в строке поиска вводим DrWeb. Среди несокльких вариантов выбираем нужный, правой лапой мыши по значку ==> Свойства ==> Смотрим полный путь и идем туда и сносим.
Открываем Диспетчер задач (Ctrl+Shift+Esc) , ищем антивирусный запущенный процесс на вкладке Процессы (он, кстати, может немного отличаться названием), далее как выше: правая лапа==> Свойства ==> Смотрим размещение файла. Идем туда и удаляем.
Заходим в Program Files и ищем его там глазками.
Перед тем как удалить DrWeb, его нужно отключить. Это можно сделать через тот же Диспетчер задач (Завершить процесс), либо в настройках антивируса, если такой пункт там есть. Либо убрать его из Автозагрузки, перезагрузить комп и после удалять DrWeb.
Чтобы его полностью удалить антивирус, нужно запустить файл Uninstall в папке антивируса. Если такого нет, то удалите его в путях, где обнаружите, а дальше в папке Пользователи ==> Ваше Имя ==> Там , скорей всего, будет тоже папка.
Во временных папках он тоже будет, так что в папке Appliaction Data тоже ищите хвосты.
Основная задача раздела «Исключения» — дать пользователю возможность разрешить запуск заведомо безопасных приложений, которые могут по каким-либо причинам конфликтовать с антивирусом, а также открытия сайтов, которые представляют для вас интерес, но могут являться нерекомендуемыми.
Какие приложения, папки и сайты ни в коем случае нельзя добавлять в исключения?
Нельзя добавлять в исключения проверки Dr.Web системные папки Windows, папки временных файлов, торрент-сайты, различные «файловые помойки», ресурсы с пиратским софтом и видео.
Какие параметры проверки и ограничения, установленные Dr.Web, не могут быть изменены?
Можно изменить любые параметры антивируса и отменить любые ограничения.
Внимание! Чем больше исключений вы добавляете в настройки антивируса и чем меньше устанавливаете ограничений для приложений и сайтов - тем менее надёжной становится ваша защита!
Адреса электронной почты подделывают, мессенджеры взламывают, сайт может быть инфицирован, а флешка заражена. Многие источники только кажутся надежными, потому что о них вам сообщили знакомые. Если Dr.Web сигнализирует об опасности, нужно удалить файл и ни в коем случае не переходить по ссылке.
В каких случаях нужно отключать компонент антивируса, например SpIDer Gate, а не настраивать раздел «Исключения» настроек Dr.Web?
Таких ситуаций в штатном режиме быть не должно. Отключать компоненты Dr.Web очень опасно: пока SpIDer Gate выключен, антивирусная проверка трафика тоже не работает.
Как посетить сайт, доступ к которому не рекомендован Dr.Web?
Добавить сайт в «Исключения» в разделе «Центр безопасности → Исключения → Сайты».
В каких случаях для настройки исключений могут применяться маски (например, C:\folder\*)?
Для настройки исключений можно применять маски, чтобы более точно настроить файлы и папки для исключений либо добавить в исключение сразу несколько взаимосвязанных объектов.
Что делать, если антивирус постоянно проверяет нормально работающую «чистую» программу, сильно нагружая систему?
Нужно убедиться, что загрузка ПК вызвана проверкой именно этой программы, и добавить ее исполняемый файл в исключения SpIDer Guard. Если это не поможет, обратитесь в службу технической поддержки «Доктор Веб».
Что делать, если антивирус конфликтует с какой-либо программой или блокирует ее запуск?
Щелкните правой кнопкой мыши по значку Dr.Web в трее и выберите Центр безопасности. Перейдите на вкладку Статистика → Подробный отчет . В открывшемся окне щелкните по интересующей вас строке отчета. В списке найдите информацию о блокировке интересующего вас сайта или приложения. Добавьте необходимый ресурс или файл/приложение в исключения именно того компонента, который его блокировал.
Ознакомьтесь с информацией о найденной угрозе на сайте «Доктор Веб», посмотрите документацию к программе и убедитесь, что в разделе о возможных неполадках отсутствует информация по взаимодействию с антивирусом, после чего разрешите или запретите запуск. Рекомендуем обратиться в службу технической поддержки, если вы не можете принять решение самостоятельно.
Если сайт добавлен одновременно и в черный список Родительского контроля, и в список исключений в настройках антивируса — что будет с доступом к нему?
Доступ к ресурсу будет запрещен, при попытке зайти на него отобразится страница блокировки.
Как узнать, какой компонент обнаружил угрозу, если окно уведомления было закрыто, а запомнить не удалось?
Посмотреть информацию о действиях антивируса можно, щелкнув по знаку Dr.Web в трее и выбрав Центр безопасности. Перейдите на вкладку Статистика и нажмите Подробный отчет .
Где находятся настройки, отвечающие за исключения файлов и сайтов из проверки?
Исключения задаются для каждого компонента отдельно, в разделе Центр безопасности → Исключения . Также часть настроек задается напрямую в параметрах компонентов (Устройства и личные данные, Родительский контроль, Превентивная защита).
Привет, Ребята! На связи Чуешов Роман. Сегодня расскажу вам немного про DrWeb и некоторые его особенности, в частности как добавить исключения в Dr Web. Кто не знает, что это такое, читайте статью будет интересно, уверяю.)
Антивирус «Доктор Веб» является на сегодняшний день, одной из лучших программ для защиты данных с продвинутыми возможностями для пользователя.
Менять или переустанавливать ничего не нужно, ведь научившись добавлять исключения в один антивирус, можно легко и просто делать это и в других подобных случаях.
Так, если безопасность не вызывает у вас сомнений, его можно добавить в список запрещенных файлов этой программы. При этом, «Доктор Web Security Space» не будет блокировать данные, а «Doctor» не будет проводить проверку их на том или другом порте компьютера.
Для того чтобы файл не был проверен Dr Web, его необходимо отключить в 2 местах – это Spider Guard и Spider Mail. После этого, следующим шагом стоит кликнуть на первом пункте, а затем зайти в «Настройки».
Далее, будет открыто окно. Перейдя в список исключаемых файлов, необходимо щелкнуть на кнопке «Обзор». Затем нужно выбрать новую «прогу» и щелкнуть на «ОК». Такие же манипуляции произведите и во втором пункте. Если желаете воспользоваться Доктор Вебом, можете скачать здесь или купить лицензию.
Также можно еще отключить Доктор Веб на время, чтобы установить свою любимую игру или программу на ПК.
На этом я завершаю свою статью, она получилась довольно короткой, но ни беда, главное получить очередную порцию новой полезной информации. ))
Если вас интересуют любые вопросы, связанные с интернет — бизнесом и разработкой сайтов, то подписывайтесь на мой интернет ресурс и приглашайте своих друзей делать это. Я в свою очередь постараюсь и дальше публиковать свои новые интересные материалы и разрешить все ваши вопросы. Удачи и всего самого доброго!
Читайте также: