13.03.2009, 16:20
Jeden z forumowiczow zadał mi ostatnio pytanie dotyczace DefenseWall''a oraz kwestii jego "samoobrony" czyli wykorzystania wbudowanych mechanizmow ktore posiada program w celu ochrony wlasnych procesow/uslug przed zamknieciem przez inne czesto szkodliwe programy.
Otóż, sprawa w tej kwestii wyglada tak.
Zaden program bedacy w trybie niezaufanymnie moze tzn nie ma wystarczajacych uprawnien, aby zakonczyc/przerwac/celowo-zawiesic dany program/proces/uslugę.
Jednakze, jesli uruchomimy szkodliwy program (ktory ma takie zdolnosc do tzw. Kill - zabijania uruchomionych procesow) w trybie zaufanym (wczesniej program ten byl niezaufany poniewaz byl sciagniety przez przegladarke ktora dzialala w trybie niezaufanym) - bedzie on w stanie zakonczyc wybrane procesy/uslugi w tym oba procesy DW tzn. defensewall.exe oraz usluge: defensewall_serv.exe.
Jest w tym pewien haczyk, poniewaz DW posiada widoczne dwa wyzej wymienione dzialajace procesy - ich zamkniecie jednak nie skutkuje przerwaniem ochronyoferowanej przez DW, poniewaz DW zapewnia ochrone na poziomie drivera/sterownika!
Jest to bardzo sprytne i dobrze przemyslane rozwiazanie, bo mimo iz np z paska przegladarki zniknie * oraz napis (DefenseWall Status: Niezaufany) - DefenseWall dalej bedzie oferowal taka sama ochrone (każdemu niezaufanemu procesowi/aplikacji/folderowi) jak na samym poczatku gdy oba procesy widoczne w Menedzeze Zadan Windows byly widoczne i dzialaly.
Mam nadzieje ze teraz wszystko bedzie jasne
Otóż, sprawa w tej kwestii wyglada tak.
Zaden program bedacy w trybie niezaufanymnie moze tzn nie ma wystarczajacych uprawnien, aby zakonczyc/przerwac/celowo-zawiesic dany program/proces/uslugę.
Jednakze, jesli uruchomimy szkodliwy program (ktory ma takie zdolnosc do tzw. Kill - zabijania uruchomionych procesow) w trybie zaufanym (wczesniej program ten byl niezaufany poniewaz byl sciagniety przez przegladarke ktora dzialala w trybie niezaufanym) - bedzie on w stanie zakonczyc wybrane procesy/uslugi w tym oba procesy DW tzn. defensewall.exe oraz usluge: defensewall_serv.exe.
Jest w tym pewien haczyk, poniewaz DW posiada widoczne dwa wyzej wymienione dzialajace procesy - ich zamkniecie jednak nie skutkuje przerwaniem ochronyoferowanej przez DW, poniewaz DW zapewnia ochrone na poziomie drivera/sterownika!
Jest to bardzo sprytne i dobrze przemyslane rozwiazanie, bo mimo iz np z paska przegladarki zniknie * oraz napis (DefenseWall Status: Niezaufany) - DefenseWall dalej bedzie oferowal taka sama ochrone (każdemu niezaufanemu procesowi/aplikacji/folderowi) jak na samym poczatku gdy oba procesy widoczne w Menedzeze Zadan Windows byly widoczne i dzialaly.
Mam nadzieje ze teraz wszystko bedzie jasne
Creer,
Member of the Alliance of Security Analysis Professionals
Member of the Alliance of Security Analysis Professionals