Уязвимость Windows в win32k.sys

Mazzy · 09-12-10 21:41:23

Svart Testare, ну ё-моё, хватить петь песни МСЕ. Вот вам:

Lord_Evil · 09-12-10 21:42:42

Svart Testare пишет:

Вот MSE как-то на другие программы не реагирует, а на эксплойт сразу заорал и дал ссылку на техническое описание на сайте MS.

Т.е. ты сейчас проверил? Так может все-таки по сигнатуре он его подцепил? Попробуй собрать код эксплоита другим компилятором, как выше советуют) И вообще, эта новость уже не новость. Майор надыбал х3 когда на wasm.ru, показал Бродяге, тот мне, и я уже две недели медитирую на ее описание big_smile

Добавлено спустя 02 мин 20 с:

Mazzy пишет:

Svart Testare, ну ё-моё, хватить петь песни МСЕ. Вот вам:

Ну, реакция на сигнатуру или ссылку..

savuor · 09-12-10 22:18:28

Svart Testare пишет:

В MSE уязвимость стала блокировать со дня её обнаружения — с 26 ноября.

Да не уязвимость блокируется, а эксплоит. Который, к слову, можно и пересобрать в другом компиляторе или модифицировать, чтобы не палить сигнатуры.

Linfan · 09-12-10 23:24:08

Svart Testare пишет:

petrun пишет:
И что, с обновлением базы происходит обновление эвристики?
Наверное. Ведь как у эксплойта может быть сигнатура? Это же нелепо. А вот попытка использовать какую-то функцию или ещё что-то неподобающим образом — это как раз повод для срабатывания эвристики.

Сварт, эвристика касается прежде всего сигнатур, которые не на 100% совпадают с исходной. Ослеживать все вызовы WinAPI... мсье, вы слабо представляете что такое WinAPI. Если через MSE анализатор прогонять работу всей системы, то Core i7 будет так тупить, что Каспер на Целероне покажется крайне шустро работающей прогой lol

И еще - у каждого бинаря есть своя сигнатура, т.к. это всего лишь уникальный набор байтов из файла бинарника (обычно в начале бинаря).

usr_share · 09-12-10 23:28:51

Linfan пишет:

Ослеживать все вызовы WinAPI

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно. Это может делать любой антивирус, не обязательно MSE. Весь винапи не надо отслеживать.

savuor · 09-12-10 23:37:55

d1337r пишет:

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно.

А как насчет определить, вызвала эти функция "правильная" программа или зловредная?

Mazzy · 09-12-10 23:38:43

d1337r пишет:

Сделать перехват нескольких важных функций, которые использует эксплоит, не так уж и сложно.

Ага, ну да, а от будущих эксплоитов кто защищать будет? Тогда уже анализировать все потенциально опасные функции, что равнозначно падению производительности.
Но, в принципе, попробуйте когда-нибудь проактивную защиту на максимальном уровне от comodo, к примеру big_smile Будете получать запрос на подтверждение любого действия типа "Приложение...пытается...это похоже на...Разрешить...?."

bALMER · 10-12-10 01:19:23

Svart Testare пишет:

Не думайте, что в MS такие дураки, что не предусмотрели и этот вариант.

да, и пересобрали код всем возможными компиляторами... не проще заплатку придумать?)

bALMER · 10-12-10 01:28:39

Svart Testare пишет:

Microsoft Security Essentials includes a number of new and improved technologies

этим кормить можно кого угодно! А примеры будут?

bALMER · 10-12-10 01:31:29

Svart Testare пишет:

До следующего предложения дочитать не судьба?

Вы зря думаете, что я не прочитал все. Но это сказки бабушки Маруси МС, если нет примеров работы. Подобное у нас в стране печатают на красивых листовках и раздают возле входа супермаркеты.

Добавлено спустя 03 мин 47 с:

Svart Testare пишет:

Всему своё время. Патчи выходят по графику.

а можно на этот график выхода патчей глянуть?

Редактировался bALMER (10-12-10 01:35:34)

bALMER · 10-12-10 01:39:25

Svart Testare пишет:

Какие вам нужны примеры работы?

да написано, что винда самая безопасная ос в мире. Написать можно что угодно. Примеры работы нужны.

Svart Testare пишет:

И потом, не забывайте, что есть вещи, которые авторы раскрывать не будут, чтобы злоумышленникам труднее было обходить защиту.

я понимаю сей факт, но поймите, написать можно что угодно. Еще раз говорю, примеры из жизни, опыта.

Добавлено спустя 05 мин:

Svart Testare пишет:

http://en.wikipedia.org/wiki/Patch_Tuesday

так бы сразу и сказали - раз в месяц. И где гарантия, что запилят все известные на данный момент дыры?

И к стати, а с какой частотой обновляется MSE?

Редактировался bALMER (10-12-10 01:45:29)

Форум StopLinux

Объявление

#26 09-12-10 21:41:23

Re: Уязвимость Windows в win32k.sys

#27 09-12-10 21:42:42

Re: Уязвимость Windows в win32k.sys

#28 09-12-10 22:18:28

Re: Уязвимость Windows в win32k.sys

#29 09-12-10 23:24:08

Re: Уязвимость Windows в win32k.sys

#30 09-12-10 23:28:51

Re: Уязвимость Windows в win32k.sys

#31 09-12-10 23:37:55

Re: Уязвимость Windows в win32k.sys

#32 09-12-10 23:38:43

Re: Уязвимость Windows в win32k.sys

#33 10-12-10 01:19:23

Re: Уязвимость Windows в win32k.sys

#34 10-12-10 01:28:39

Re: Уязвимость Windows в win32k.sys

#35 10-12-10 01:31:29

Re: Уязвимость Windows в win32k.sys

#36 10-12-10 01:39:25

Re: Уязвимость Windows в win32k.sys

Подвал форума