Как обойти антивирус касперского

Обновлено: 04.07.2024

Вот, помню, как-то раз мы купили Касперского, и мне поставили род. контроль - ограничение по времени и т. п. Вот я и решил помочь другим людям инструкцией - как обмануть родительский контроль Каспера за несколько минут.

Вариант 1. Если ваша учетная запись - админская, но с контролем.

1.1 Нажимаем на дату и время в правом нижнем углу.

1.2 Изменяем на то время, когда Каспера не было - или на то время, когда у него закончится лицензия.

1.4 Вуаля! У вас как минимум продлилось ограниченное время, а как максимум - исчезла лицензия, а, значит - его можно нагло игнорировать!

Вариант 2. Если вы ограниченный профиль.

2.1 Заходим в пункт "выполнить" - в Виндоус 7 вызывется клавишами "Windows"(флажок) + "R".

2.2 Набираем "regedit".

2.3 Заходим в HKEY_LOCAL_MACHINE/SOFTWARE/"Папка_с_Касперским"(ну забыл как называется).

2.4 Изменяете все нужное, ну интуитивно понятно, полная инструкция очень долгая.

2.5 Опять же наслаждаетесь.

.
D/AN Всегда принесет тебе немного позитиffчика.

Ахахахахах )) Нормальный админ запретит редактировать реестр, а касперский и подавно.

А если касперский на телефоне.

Юзерская учетка не имеет прав на редактирование реестра. Легче тупо скачать програмку logmein hamachi, и нажать завершение работы, а хамачи не позволит вырубить комп и касперский тупо закрывается.

Подумалось тут.

Подумалось тут.


Японская практичность в действии


Добрый КиШ

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Ответ на пост «Не прокатило»

у всех есть такие родственники.

есть у меня замечательный дядя, которого я видел последний раз лет в 10. Спустя 20 лет он приехал в гости. По дороге его уставший от жизни жигуль тройка немного рыгнул трамблером. Приехал к нему с подкатом, жигуля погрузили и поехали на место семейной сходки.

по приезду дядя очень нахваливал мою машину, а потом, уже за столом, выдал что дарит мне свой жигуль: мол хоть и ломается, но это уже почти ретро и скоро я её смогу продать за все деньги мира. Ну пьяные базары, обычное дело.

после чего уже все тёти\дяди начали хором вещать что я должен в ответ отдать ему свою машину. На резонный вопрос "а схуяле я должен отдавать машину стоимостью на два ноля больше чем его отрыга" был получен ответ "он старый, хорошей машины уже не купит, а ты молодой и ещё на такую-же заработаешь. Да и ваще он твой дядя, семейные узы нужно чтить". Предложил им обменять их трёшку на мою дачу в 75км от города, почему-то отказались. Когда начал аппелировать к семейным узам - был послан нахуй. Послал всех в ответ, свалил. Бонусом получил пожизненный отпуск от всех обязательных семейных мероприятий, ведь мало того что отказался помогать родственнику, так ещё и после посыла нахуй не остался ночевать в летней кухне чтобы по утру за свои бабки чинить отрыгу и потом развозить всю эту пиздобратию по домам (как оказалось они на это расчитывали, ведь я хорошо зарабатываю, значит могу весь день быть бесплатным таксистом)

потому радуйтесь что проебали отношения с таким замечательнейшим родственником :)

Мотивации пост

Мотивации пост Twitter, Мотивация, Скриншот

. а в пустыне она вообще бесценна.

Толерантность и терпимость

Толерантность и терпимость Юмор, Мемы, Картинка с текстом, Девушки, Измена, Толерантность, Расизм

Рамзан Кадыров замечен в сепаратизме?

Как все уже знают, Кадыров пригрозил силой отнять у ингушей их земли.

Как это: часть страны решила отобрать территорию у другой части этой же страны?

Интересно, почему на него не заводят дело за призывы к силовому захвату или отчуждение территории?

А ведь это сепаратизм. Развал СССР тоже начался с взаимных претензий его республик. Если какой-то регион России, собирается силой захватить другой регион, то это уже не субьект Российской Федерации. Это самостоятельная государственная единица.

Как вы считаете, можно ли расценивать действия Рамзана Кадырова как прямой отказ подчиняться действущему законодательству России и проявлением сепаратизма?


ХедХантер и кладмены

На днях листал ХХ.
Штук 5 вакансий курьера. От найка и адидас до ксиаоми и секс-шопа . Вакансии в самом верху в топе, смотрело со мной около 150 человек. Оклад 15к в неделю и 350 за точку. Нормально так для курьера?
В итоге все эти вакансии - кладмена. Работодатель зовёт в телегу.
Мне просто интересно , ХХ настолько похуй, что у него там творится? Очевидно вакансия левая, ибо заработок нереальный для курьера. Где пожаловаться не нашёл, выливаю свой гнев сюда. Вообще подозреваю, что все все знают.

В свете последних событий.

В свете последних событий.

Галя! У нас отмена!

Галя! У нас отмена! Из сети, Юмор, Twitter, Скриншот, Приворот, Отворот, Мат


Форсаж в России

Форсаж в России Мемы, Юмор, Авто, Форсаж, Ваз-2115

Самосуд - напоминание из прошлого, особенно власти

Эта история, почему-то, Пикабу обошла стороной. Восполняю пробел. Если есть на Пикабу Харагунцы, очень хотелось бы услышать их мнение, и может какие еще подробности, и есть ли неточности. События датированы 2006 годом - но, являются ярким примером и напоминанием нашим органам власти, закона, исполнения - что нужно справедливо, непредвзято работать, а не делать вид. И в наше неспокойное время, особенно. Тогда и люди до крайностей доходить не будут. Текста много.

События, происшедшие недавно в Харагуне, были фактически проигнорированы абсолютным большинством СМИ. Не считая нескольких ссылок на интернет-страницах, разгром азербайджанцев Харагуне, в котором участвовала почти вся деревня, и последовавшие репрессии против русского населения остаются неизвестными даже патриотической общественности.

Между тем, именно сегодня все русские патриоты должны знать о случившемся, ибо от нашего участия и поддержки сейчас зависит судьба двух десятков деревенских парней, защитивших от азербайджанских бандитов своих родных и близких и за это брошенных властью в застенки читинского СИЗО.

Что же привлекло кавказцев в читинской глубинке? Лес! Русский лес — это деньги, это очень большие деньги. Азербайджанцы занялись массовой незаконной вырубкой местного леса.

Наемные рабочие, которых кавказцы привозили из соседних сел, оказывались на положении рабов: у них отбирали документы (чтобы не могли убежать), работать заставляли силой, а единственным вознаграждением была водка. Неудивительно, что в такой атмосфере столкновения между русскими и азербайджанцами случались очень часто.

Последняя капля

В итоге один азербайджанец от побоев все-таки скончался. Однако, можно с уверенностью сказать, что если бы русские мужики не сдерживались, в Харагуне кавказцев убили бы не меньше, чем в свое время евреев в Кишиневе. Примечательно и то, что били не всех подряд. Тех азербайджанцев, кто был известен своей порядочностью, вовсе не трогали. Например, азербайджанец — владелец местного магазина и сам не пострадал, и магазин его никто не тронул.

В итоге были сожжены несколько грузовиков, принадлежавших азербайджанцам, и подожжены несколько их домов. После этого все кавказцы, за исключением одного (женатого на русской) поселок покинули.

Однако местных жителей запугать было уже не легко. 20 мая 2006 года очередной сход принял резолюцию с такими требованиями к властям:

2) все судебные заседания проводить в селе (выездные) в присутствии жителей села Харагун с обязательным информированием о них;

3) найти и вывести из леса азербайджанцев;

4) пока не будут выселены все азербайджанцы — ОМОН не выводить из села;

5) закрыть спиртные точки и игровые автоматы;

6) усилить охрану школ, детсада и больницы;

Сегодня все Русские патриоты должны дать отпор кавказцам и продажным антинародным властям на этом маленьком и далеком, но значительном участке фронта Русского Национального Сопротивления.

Мы должны показать наше единство, свою готовность бороться везде и всегда за каждого Русского человека, должны сделать все, чтобы отстоять харагунских парней, которым грозит длительное тюремное заключение. Харагун далеко, но это — Русский поселок, на Русской земле и населенный Русскими людьми. И эти Русские люди нуждаются в помощи.

А закончилось всё это вот чем:

30 мая 2008 года в помещении Центрального районного суда г. Читы состоялось объявление приговора по делу о массовых беспорядках в с. Харагун Хилокского района Читинской области.

Подсудимыми были 33 жителя Харагуна, которые 17 мая 2006 года, когда кончилось терпение коренных харагунцев хамства, уничтожения леса, продажи спирта и наркотиков приезжими гражданами Азербайджана, просто взяли и выгнали их из села. Конечно, не обошлось без рукоприкладства, но азербайджанская сторона фактически спровоцировала стихийное выступление местных жителей, начав драку с вступившимися за женщину молодыми русскими парнями.

В результате драки, зачинщиков и многих участников которой следствие так и не выявило, незваные гости поселка, уже почувствовавшие было себя хозяевами, понесли некоторый имущественный ущерб и были вынуждены покинуть поселок.

Впрочем, ненадолго. Пока русские парни были под следствием и судом, многие из южан вернулись и снова продолжают заниматься варварской вырубкой леса. По-прежнему без гражданства, прописки и медицинских полисов, по-прежнему плюя на местные законы и местное население.

Текст приговора зачитывался целый день с перерывом на 30 минут. С каждой минутой нарастало ощущение, что это какой-то спектакль, настолько нелогичным, натянутым и предвзятым оказалось услышанное.

В ходе многомесячного судебного заседания все подсудимые отказались от прежних показаний, данных во время предварительного расследования, т. к. давали их под давлением следствия. Никто не признал свою вину. Но суд счел все обвинения доказанными на основании показаний, данных на предварительном следствии. Без затруднений проигнорированы доказательства алиби многих подсудимых. Возникают естественные вопросы: а зачем тогда вообще нужны судебные заседания, если показания, данные в суде, судьей проигнорированы?

По показаниям азербайджанцев, их всех избивали русские, каждого группой по 10-30 человек, нанося десятки ударов руками и ногами, штакетинами, деревянными и металлическими палками, железными прутьями, металлическими трубами, ружейными прикладами, били ногами лежачих, топтались и прыгали на спине.

А по рассмотренным в суде медицинским справкам и результатам медэкспертиз только один получил тяжелые травмы в виде переломов ребер и сотрясения мозга, еще несколько имели только синяки и ссадины. Какие крепкие джигиты, просто деревянные какие-то! Как в кино. Его лупили прикладами и железными прутьями, а на нем только ссадины. О чем это говорит?

Это уж ни в какие ворота! В деревне люди таких лозунгов не употребляют и не знают, у них вообще другие проблемы и заботы, а азербайджанцев явно кто-то подучил.

Но подучил плоховато, или отрепетировать не успели. Сложилось впечатление, что азербайджанцы приписывали харагунцам действия, которые, на взгляд азербайджанцев, погромщики в таких случаях обычно совершают:

— нападение толпой на одного;

— входя в дома, сразу требование денег;

— мародерство, рытье в сумках и домашних вещах;

— безсмысленное уничтожение домашнего имущества;

— убийство домашних животных;

— срывание с женщин украшений и драгоценностей; — наведение огнестрельного оружия на женщин и детей.

При чтении приговора постоянно упоминались автомашины, грузовые и легковые, принадлежавшие и принадлежащие азербайджанцам. Часть из них была сожжена, часть перевернута, у некоторых разбиты стекла. Но примечательно, что из длинного списка перечисленных машин только у четырех легковушек указан государственный регистрационный номер. Т. е. непрошенные гости с юга, приехавшие рубить забайкальский лес, не удосужились даже зарегистрировать свою технику. А может, она просто ворованная?

С машинами вообще все забавно выглядит. Все машины во дворах азербайджанцев стояли прямо в огороде, где часть из них и была сожжена. Хозяйством, получается, формально нигде не работавшие азербайджанцы не занимались. А чем же они тогда занимались? Понятно: либо лесозаготовкой (незаконной), либо торговлей (спиртом и наркотиками). Для следователя Хавкина и суда надежнее свидетелей и быть не могло.

Все свидетельские показания об имеющихся алиби подсудимых были судом отвергнуты только на основании показаний азербайджанцев. Непонятно вообще, какие свидетельские показания могли бы перевесить показания воров, насильников и спекулянтов? Более того, алиби некоторых подсудимых могли подтвердить и азербайджанцы, но, несмотря на просьбу подсудимого и его адвоката допросить их, этого сделано не было.

При объявлении приговора судья мотивировал суровость наказания и необходимость изоляции особой опасностью подсудимых, представляющих большую угрозу обществу. Для какого общества они представляют опасность, судья не уточнил, но очевидно, что не для населения Харагуна, которое в подавляющем своем большинстве было и остается на стороне осужденных. Тогда для кого? Для тех, кто продает наркотики и рубит лес? Для тех, кто пришел на русскую землю, чтобы украсть все, что удастся, а остальное загадить? Для тех, кто оскорбляет русских стариков и насилует русских девчонок? Или для тех, кто наживается на уничтожении русской среды обитания, поджигая и вырубая лес для продажи в Китай?

Приговор поверг в шок не только родственников осужденных, но и присутствовавших читинских журналистов:

Малютин — 6 лет строгого режима.

Кривоносенко, Бородкин, Роот, Тимофеев, Белов, Непомнящих, Коптев, Гаевский — по 5 лет и 6 месяцев строгого режима.

Шальгин — 3 года 6 месяцев строгого режима.

Филипушко и Трофимов — 3 года 6 месяцев и 3 года 3 месяца общего режима.

Шубин, Афанасьев, Болотнев, Фадеев, Машков, Мишин, Дубинин, Чугуевский, два брата Дудниковы, Горянов, Жамсаранов, Самойлов, Гайков, Носков, Щербаков, Шишкин, Кучин, Макаренко и Екатерина Писаренко осуждены условно.

Прошу юридической помощи, напали чеченцы в метро

Здравствуйте, я очень сомневался писать пост или нет, но сил уже нет бороться в одиночку с нашей правоохранительной системой. 30 августа я ехал на работу к 14:00, на выходе из метро Юго-Восточная на меня напали 2 чеченца ( https://www.m24.ru/shows1/14/308198 сюжет на Москва 24, правда они вырезали специально тот кусок, когда я отмахивался, разрывая дистанцию, уже после нескольких минут избиения в голову и назвали это "дракой", хотя ни одного удара я не нанес), я подбежал к службе безопасности метрополитена, одна из сотрудниц сразу убежала, вторая стояла и смотрела как меня избивают, ничего не делая. В итоге мне сломали нос и нанесли множественные повреждения в области головы. Когда они меня били они орали, что они из Чечни и всех русских вы**ут и ничего им не сделают, явный состав 282 статьи УК РФ, однако в итоге им инкриминировали лишь 115. После их задержания, когда я ждал скорую, полицейская сказала, что у них был нож и они орали, что воевали против русских в чеченскую войну, а также что они находятся под действием наркотиков (в таганском отделении опер потом также сказал). После меня отвезли в ГКБ им. Пирогова, в приемное отделение к нейрохирургу, где я пробыл более 6 часов, как в последствии выяснилось, принял со скорой меня санитар, а заключение выдал медбрат. В итоге в заключении прописаны препараты, которые мне якобы ввели, но их не вводили + заключение противоречит в некоторых моментах самому себе. Госпитализировать меня отказались, хотя по словам врачей скорой должны были госпитализировать на 10-14 дней. На следующий день я пошел в травмпункт рядом с домом, чтобы снять всё-таки побои, но травматолог сказал, что поставил бы ушиб мягких тканей только в случае наличия разрыва кожи (хотя это уже должно быть рваной раной, в моём понимании).

На данном этапе мне не дали ознакомиться с материалами уголовного дела, нож по словам дознавательницы в деле не фигурирует, я просил ознакомить меня с записями с камер видеонаблюдения, мне было отказано, а также с дозоров полицейских, тоже было отказано. Дознавательница не присылает никаких повесток по следственным действиям, я посмотрел, её действия нарушают 164, 188 и 192 статьи УПК РФ, когда на очередной встрече я хотел написать заявление на отвод дознавателя. Я думаю, что дознавательница ангажирована к этим чеченцам и/или диаспоре. При первой встрече, назначенной на 10:00, она отказалась меня принять к оговоренному по телефону (повестки не было) времени, а когда из кабинета выходил другой сотрудник, я слышал, как она говорит кому-то из своих "мариную **анного терпилу".

Прошу оказать юридическую помощь, что делать с этой дознавательницей? Что делать с врачами, которые отказались меня принимать и госпитализировать? Мне назначена очная ставка на 20 ноября, но я боюсь туда идти, потому что возможен вариант, что эти чеченцы придут туда с оружием.

Подбегая к сотрудникам безопасности метро, я включил камеру, думал это их вразумит, я стал кричать, что они хотят меня убить, но люди даже не обернулись. У меня сохранился кусочек видео, до того момента, как один из нападавших выхватил телефон (когда он выхватил телефон, то прервал запись) у меня из рук и начал меня избивать.

Я не буду комментировать предложенную концепцию — с этой задачей успешно справятся производители антивирусов. Суть в другом: обход антивирусной защиты — не наука о ракетах, требующая концептуального подхода, а вполне обыденное явление. Для иллюстрации этого факта я приведу несколько технических примеров из жизни.

Антивирусы-лузеры

Примеры будут извлечены из нашей любимой зверюшки — бота-руткита TDSS, о котором в последнее время много говорят. Что и не удивительно: это один из наиболее распространенных, технически продвинутых и активно развивающихся ботов.

На диаграмме слева отображена статистика по антивирусным защитам, установленным на компьютерах пользователей одновременно с заражением TDSS.

  1. Исходные данные — статистика от пользователей утилиты TDSS Remover за первый квартал 2010 г.
  2. Всего было обработано порядка тысячи зараженных машин
  3. Из них 12% были оснащены известными нам антивирусами
  4. На диаграмме не отображена статистика по антивирусам, которые провалили лечение, но при этом не блокируют и не скрывают свои файлы. Факт блокировки или скрытия файлов попадает в статистику, как значимая для антируткита аномалия.

Несколько слов о зверюшке

Появившись около двух лет назад, бот-руткит TDSS (также известный как Alureon, Tidserv, TDL/TDL2/TDL3+) тихо и незаметно размножился до тревожных цифр.

  • Семейство TDSS (здесь — Alureon) занимает третье место по числу зараженных машин в апреле 2010 г.
  • Ботнет TDSS (здесь — Tidserv) входит в TOP10 крупнейших ботнетов в мире, представляя собой популяцию численностью в 1,5 млн. зомби-машин только в US
  • По данным наших собственных изысканий, цифра «1,5 млн.» зараженных машин сильно преуменьшена.

Фактически, на протяжении всего времени существования TDSS, он был непрерывно недостижим для всех существующих средств защиты, включая наиболее популярные антивирусы и профессиональные антируткиты. Более того, до недавнего времени бот незаметно развивался под прикрытием собственной эффективности, так как производителям антивирусов было невыгодно предавать огласке угрозу, с которой они не справляются.

За последние полгода ситуация немного улучшилась. Противостояние продолжается, «большие» антивирусы по-прежнему не справляются, зато начали выпускать специализированные утилиты-лечилки (Norman TDSS Cleaner, Kaspersky TDSSKiller).

Обход антивирусов: техническая справка

  1. На этапе инсталляции — обход поведенческой защиты (HIPS, проактивная защита, песочница).
    Методы: использование легитимных системных механизмов, не предусмотренных разработчиками защиты, и «белых списков» защиты; реже — эксплуатация уязвимостей в коде антивируса или операционной системы.
  2. На этапе активного заражения — защита собственного кода от обнаружения и удаления.
    Методы: от запрета антивирусных обновлений и блокировки доступа к файлам, до сокрытия файлов (rootkit-технологии) и их полного отсутствия (об этом — ниже).

Примеры техник обхода защиты

Техники приведены в том порядке, в каком мы находили их в эволюционирующем TDSS. Все описанные приемы уже не столь эффективны, как были на момент их появления.

Пример №1. Системный кеш динамических библиотек

Суть техники: вредоносный код размещается в системном кеше часто используемых библиотек \KnownDLLS, откуда вызывается легитимным системным приложением при использовании им одной из этих библиотек.

Профит: одним выстрелом убиты два зайца: обход поведенческой защиты и обход персонального фаервола. Последнее возможно благодаря тому, что вредоносный код выполняется в контексте системного процесса, «доверенного» по умолчанию.

// 1. размещаем вредоносный код в кеше часто используемых библиотек
NtCreateSection(”\knowndlls\dll.dll”)
// 2. обеспечиваем переход на этот код из легитимной библиотеки,
// пока что - в ее копии на диске
CopyFile(”msi.dll”, "patched_msi.dll")
WriteFile("patched_msi.dll", <прыжок в dll.dll>)
// 3. подменяем эту библиотеку в кеше
NtOpenSection(”\knowndlls\msi.dll”)
NtMakeTemporaryObject(. ) // секция стала временной, и теперь может быть.
CloseHandle(. ) // удалена
NtCreateSection(”patched_msi.dll”)
// 4. вызов системного сервиса, который исполнит код msi.dll => dll.dll
StartService (”Windows Installer (msiexec.exe)”)

Пример №2. Диспетчер печати

Суть техники та же, что и в предыдущем примере — пассивное внедрение в системный процесс. Механизм несколько иной: вредоносный код подсовывается сервису диспетчера печати под видом его служебной библиотеки.

//1. копируем вредоносный код в служебную директорию диспетчера печати
GetPrintProcessorDirectory(. )
GetTempFileName(. )
CopyFile(<self>,<tempname>)
// 2. сервис диспетчера печати должен быть запущен
StartService("spooler")
// 3. передаем ему вредоносный код
AddPrintProcessor(<tempname>)

Пример №3. Заражение легитимного драйвера

Предыдущие примеры иллюстрировали обход поведенческой защиты. Теперь рассмотрим, как TDSS избегает обнаружения и лечения.

Суть подхода: сведение к минимуму изменений, вносимых в систему, + мощная низкоуровневая маскировка оставшихся «хвостов».

Начиная с конца прошлого года, у TDSS фактически нет ни собственных файлов, ни ссылок на него в списках автозапуска. Мощность маскировки «хвостов» обеспечивается тем, что фильтры руткита расположены уровнем ниже всех существующих технологий антируткитов.

  1. Осуществляется микрозаражение драйвера минипорта диска (atapi.sys для IDE-дисков, iastor.sys для всех остальных). Размер драйвера не меняется, а код инфекции минимален и обеспечивает только подгрузку основного тела руткита.
    Профит: автозагрузка вместе с драйвером минипорта.
  2. Код и файл конфигурации руткита хранятся в последних секторах диска, в собственной файловой системе.
    Профит: файлы руткита «не существуют» для операционной системы, но остаются доступными для приложений, знающих секретный путь к ним.
  3. Маскировка инфекции системного драйвера и последних секторов диска осуществляется посредством фильтрации данных на уровне минипорта.
    Профит: невидимость для всех существующих механизмов защиты (смотри схему).
Пример №4. «Одношаговка»

В конце апреля бот в очередной раз обновился.

version= 3.273
builddate= 20.4.2010 16:17:53

  1. Файлы atapi.sys/iastor.sys под бдительным наблюдением защиты? — В новой версии заражается случайный драйвер.
  2. Поведенческие защиты научились замечать вызов функции AddPrintProcessor — он был заменен на вызов схожей функции AddPrintProvidor. (!)
  3. Некоторые утилиты-лечилки добирались до защищенных областей руткита на диске через интерфейс SCSI Pass Through — в новой версии руткита соответствующие этому механизму IRP фильтруются.

Техники же сложные (как в Примере №3) или хитрые (Примеры №1 и 2) больше характерны для хорошо финансируемых целевых руткитов. Открытым остается вопрос, потеряла ли команда TDSS своего лучшего разработчика, или все же изрядную долю финансирования.



Бумажная безопасность порядком надоела, поэтому я решил немного отвлечься на практику. Не так давно мне представился случай лично убедиться, с какой легкостью злоумышленник, обладающий самой минимальной квалификацией, способен обойти популярные "топовые" антивирусы. Сегодняшний пост посвящен короткой истории поединка скрипт-кидди с одним популярным антивирусом.


Но, сперва, disclaimer:
1) Многое из написанного ниже, для экспертов, несомненно - боян. Но автор и не претендует на "срыв покровов". Статья призвана предостеречь тех пользователей, которые полагаются на антивирус как на панацею, при этом забывая о необходимости комплексного подхода к безопасности.
2) Статья написана исключительно в образовательных целях. Не нужно использовать эту информацию для совершения противоправных действий.
3) Статья не пытается бросить тень на производителей антивирусов. Уверен, что они делают все возможное, чтобы совершенствовать свои продукты.

Как-то раз нелегкая судьба безопасника (от которого часто требуют уметь все) занесла меня в пентесты. Была поставлена задача проверить уязвимость организации к вирусной атаке.

В компании использовалось антивирусное ПО от одного из топ-вендоров. Антивирусы были развернуты и на серверах (включая почтовые и прокси-серверы) и на компьютерах пользователей. Централизованное управление и обновление тоже было.
Неплохая защищенность и небольшой опыт в проведении пентестов не сулили затее особого успеха.
Однако, практическая реализация показала другое: злоумышленник может организовать атаку и обойти средства антивирусной защиты даже при помощи стандартных общеизвестных средств, доступных практически любому специалисту. Каким образом - описано ниже.

Стандартные инструменты
Как уже говорилось, злоумышленнику не нужно обладать высокой квалификацией. Достаточно навыков скрипт-кидди - найти подходящий инструмент.
Причем искать долго не придется - все необходимое есть в Metasploit Framework.



Хотя многие специалисты по ИБ наверняка о нем слышали, на всякий случай напомню: Metasploit представляет собой средство автоматизации пентестов от компании Rapid7 и содержащее большое количество готовых эксплойтов.
Помимо эксплойтов, Metasploit содержит набор готовых «полезных» нагрузок (payloads), проще говоря - вредоносного ПО.
А среди готовых «начинок» выделяется одна из самых популярных – Meterpreter. Meterpreter обладает широким функционалом: кейлоггер, запись фото и видео с веб-камеры, копирование куки и истории браузера, сбор учетных данных множества сервисов, включение RDP, заведение и удаление пользователей… Короче говоря, Meterpreter позволяет сделать с зараженной машиной практически все, что угодно. Meterpreter поддерживает различные варианты взаимодействие с сервером управления (включая TCP, HTTPS, соединение с шифрованием RC4). На роль инструмента для пентеста Meterpreter подходит прекрасно.
Таким образом, злоумышленнику не нужно ничего разрабатывать, достаточно "выгрузить" Meterpreter в подходящем формате (кстати, делается это одной командой).

Но для пользователей есть хорошая новость: Meterpreter обнаруживается практически всеми антивирусами. Если выгрузить его в exe-файл и «скормить» VirusTotal, то получим такой результат:


Как видим, антивирусы, в подавляющем большинстве, детектировали Meterpreterкак вредоносное ПО. Это и не удивительно: ему уже много лет.
Означает ли это победу антивируса над скрипт-кидди? Не совсем.

Антивирусы выходят из игры
После 5 минут поиска в Google находится сразу несколько готовых решений для обхода антивирусов. Познакомимся поближе с инструментом под названием Shellter ( сайт ).


Shellter используется для сокрытия вредоносного кода в исполняемых файлах Windows. Проще говоря, Shellter «вставляет» в нативное 32-разряднное приложение код вредоносной программы, который автоматически начинает выполняться при его запуске. Среди особенностей Shellter можно отметить минимальные изменения, вносимые в структуру исполняемого файла, использование «мусорного» кода и возможность кодирования «нагрузки». Все это затрудняет детектирование итогового файла антивирусами.
В автоматическом режиме работы Shellter требует минимального участия пользователя: Next, Next, Next и готово. Сначала выбирается PE-файл приложения, затем – нужный payload (причем Meterpreter в Shellter уже предусмотрительно встроен).
На выходе получается исполняемый файл, в котором скрыта «полезная» нагрузка в виде Meterpreter (или любого другого кода).

Если создать зараженный файл при помощи Shellter и попытаться проверить его через VirusTotal, то увидим следующее:



Показатель детектирования просто катастрофически упал. Это означает, что большинство антивирусов, установленных на рабочих местах и серверах не определят данный файл как опасный! На все про все, включая установку Shellter, ушло от силы 5 минут.
Таким образом, хотя сигнатура трояна известна уже много лет (Metasploit и Meterpreter входят в стандартную сборку Kali Linux), благодаря Shellter популярные антивирусы ничего не могут с ним поделать.


А как на практике?
Но тест на VirusTotal без испытаний "в поле" не показатель. Может быть при работе троян будет обнаружен по поведенческим признакам? Чтобы проверить это, протестируем файл на двух популярных антивирусах: Eset (5.0.21.26) и Kaspersky Internet Securiy (17.0.0.611).

Беглое тестирование показывает следующее:

1) Копирование и запуск файла не детектируется.
2) При запуске инфециорованного файла сессия до сервера управления (Metasploit) успешно открывается.
3) При выполнении некоторых действий (например, при попытке "миграции" Meterpreter в другие процессы), процесс Meterpreter’а детектируется как угроза.
4) При попытке использования веб-камеры, KIS запрашивает разрешение пользователя.
5) Большое количество функций Meterpreter’а все равно работает без обнаружения. В частности, прекрасно работает кейлоггер, скрипты сбора учетных данных, выгрузка информации из браузеров, скриншоты рабочего стола, копирование файлов. В принципе, этого достаточно для решения злоумышленником своих задач.

Таким образом, антивирусы конечно ограничивают функционал Meterpreter, но все равно оставляют широкий простор для злоумышленника.



Выводы и рекомендации
Тест еще раз показывает, что антивирус не является сам по себе панацеей. Средства обхода антивирусного ПО весьма популярны и находятся в свободном доступе. Разумеется, после загрузки части зараженных файлов на Virustotal, антивирусные базы будут пополняться, и возможности таких средств будут сокращаться. Но для защиты от таргетированных атак это не поможет.
Это не означает, что антивирусное ПО бесполезно. Просто без должной работы с персоналом его эффективность может быть сведена на нет.

История закончилась для пользователей легким "троллингом": на рабочем столе появилось приглашение на корпоративный тренинг по ИБ. На тренинге им было рекомендовано:

  • не открывать подозрительные и рекламные почтовые вложения;
  • не включать без особой надобности макросы в документах;
  • подключать к компьютеру только проверенные носители информации;
  • устанавливать программы только с официальных сайтов;
  • не посещать подозрительные сайты;
  • проверять, куда ведет та или иная ссылка;
  • регулярно обновлять ПО (включая офисные программы и браузеры).

На этом, пожалуй, все.

Если эта статья будет полезной - напишите в комментариях. Возможно, стоит сместить акцент блога с нормативки на практическую ИБ.

антивирус касперского перестали открываться сайты https

Да, много горя приносит этот защитник неопытному пользователю)) а вместе с ним и владельцу сайта, на который не могут попасть посетители из-за его трогательной защиты.

Напрашивается логичный вопрос: закаким чёртом тогда предупреждать о мнимой опасности (попросту пугать пользователя) раз не было проверки и опасностей не выявлено?

Ну, ладно! чёрт с этой лабораторией!

отключить проверку защищённого соединения

Вот эту проверку нам и нужно отключить.

проверка защищенного соединения

Но как же эту проверку защищённого соединения отключить? Просто!

отключим проверку защищенного соединения

как отключить проверку защищенного соединения

Я не буду много сорить скриншотами, ибо и так понятно.

Прошу простить за лирику.

После изменения настроек, снова можете посещать любимые сайты.

Я не пользуюсь Касперским из этических соображений (нервам спокойнее), поэтому буду признателен, если кто-то из читателей поделится информацией относительно того, как обстоят дела в оплаченном варианте антивируса. ??


. и конечно же, читайте статьи сайта и подписывайтесь:
Делюсь горьким опытом - кое-какими знаниями, для вашего сладкого благополучия))

Михаил ATs - владелец блога запросто с Вордпресс - в сети нтернет давным-давно.

. веб разработчик студии ATs media: помогу в создании, раскрутке, развитии и целенаправленном сопровождении твоего ресурса в сети. - заказы, вопросы. разработка.

Нажатия на кнопочки определяют Ваше высокое гражданское сознание

Поделитесь соображениями: Ваши мысли очень важны! Отменить ответ

Гы гы, я им вообще никогда не пользовался, потому как платный.

Не, мне и бесплатных АVG и аваста хватает

Меня на данном этапе больше интересует вопрос другого характера. Нужны ли на блоге, СЕО плагины, глючат пипец. Не один нормально не работает, вернее пока не вырубишь писать ничего не дает.
Короче надоели хуже горькой редьки

Какой плаг ещё глючит у тебя??

Хм. На удивление все остальные работают как часы, а вот СЕО Пак выделывается. При чем проблема думаю даже не в БД, он глюк поймал после обновления вордпресса и теперь никак не придет в чувство.
Вернее работает как надо, но для публикации статьи его нужно отключать, потом включать, прописывать теги описание и оставлять работать дальше.
Даже в админке не показывает все что нужно, конечно это не проблема, но и не есть хорошо.
Вот така фигня.Наверно нужно видео забацать и спросить народ про это чкдо )))

но для публикации статьи его нужно отключать, потом включать

Да,есть пара тройка плагинов, которые типа дублируют друг друга. Теперь на счет снести на хрен, вроде как сносил и ставил по новой даже другой СЕО, но результат тот же. Короче жди видосик, как напишу ссылку кину, а там посмотришь и вынесешь вердикт.
Даже могу и доступ в админку дать, не вопрос, главное помощь.

Даже могу и доступ в админку дать, не вопрос, главное помощь.

ок. пиши в скайп, дам доступ

Отправил по новой. Жду

Да вроде всё нормально открывается: (ссылка)

после установки антивируса Касперского (к примеру, пробной версии) перестают открываться мною любимые сайты ? — выдаёт ошибку-предупреждение

Да вроде всё нормально открывается

P.S. Настройки каспера по умолчанию. Никаких предупреждений не выдаёт. Или я что-то не правильно понял из статьи?

Вы когда Каспера устанавливали?

Пользуюсь касперским уже более 7 лет.

Последнее время настройки по умолчанию именно такие, которые описаны в статье

У меня тоже настройки по умолчанию. Только дополнительно включена блокировка показа баннеров на веб-страницах.

на лицензионной версии тоже блокирует по умолчанию, появилось это только в последнем году
Мне, из всего, что я пробовала, он нравится больше всего. И по надежности, и по удобству.

установила платную версию КИС 2017, столкнулась с проблемой комментариев на востребованном сайте. После прочтения Ваших рекомендаций задачу решила, уффф. Спасибо Вам.

Спасибо огромное за совет в начале форума про корректировку настроек Касперского.Ура, помогло. Теперь куда хочу, туда и хожу. Восемь лет платной версией пользуюсь, результат- компьютер очень, ну очень долго думает. Я с ним так долго от безысходности, на что его заменить не знаю.

Добрый день! 21 сентября переустановила Windows7 и пришлось повторно активировать Касперского, т.к. установочного файла не сохранила, а оплаченная лицензия действительна до 1 января 2019 года, благо ключ активации сохранила, так вот после установки новейшей программы Касперского, я не могу войти на нужные мне сайты, на которые я со старой версией Касперского спокойно заходила. Я пыталась и отключать Касперского,и меняла настройки по всякому, в том числе и как вы описали выше, но он даже выключенный и с измененными настройками все равно все блокирует! Теперь я уже не хочу больше пользоваться этим антивирусником, но я не знаю хорошей альтернативы ему, может вы подскажете достойный антивирусник, но без таких заморочек, с удовольствием воспользуюсь вашими советами, а на сегодняшний день я даже уже не знаю, как мне войти на нужный сайт, перепробовала все, а выключить его совсем я опасаюсь, вдруг что то подхвачу. Да кстати, если я на время выйду из Касперского, как мне потом опять зайти в него?

Читайте также: