21:28 10.05.2010 И антивирус не поможет | |
Те, кто имеет хоть какое то отношение к обеспечению защиты персональных компьютеров и хранящейся на ней информации знают, что как бы разработчики средств защиты не старались, 100 % гарантии и защиты вам ни кто не сможет гарантировать. Множество статей и обзоров написано на эти темы и все они схожи в одном: вирусописатели, хакеры и прочие злодеи, всегда, как минимум на один шаг впереди. Лишним подтверждением сказанному может служить и то, что по словам Якуба Бржечки и Давида Матоушека из команды веб-ресурса Matousek.com, исследователям удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Благодаря данному способу, уязвимыми оказались даже такие продукты как: Антивирус Касперского, Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и другие. Разработанная методика заключается в следующем: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой антивирус., работающий на платформах Windows. Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями. Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере. Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, и даже полностью удалив из системы мешающий антивирус.
| |
|
Всего комментариев: 0 | |