** Michal Kawecki wrote:
>>> Poproszę o przykład exploita, który uruchamia się z pliku
>>> nieobjętego listą domyślnie skanowanych rozszerzeń np. rezydenta
>>> AMON w programie NOD32. Dla ułatwienia wylistuję tu tą listę:
>>> ASP, BAT, CGI, CHM, CLA, CLASS, CMD, COM, CPL, CSC, CSS, DLL,
>>> DOC, DOT, ELF, EML, EXE, HLP, HTA, HTM, HTML, HTT, INF, INI, JS,
>>> JSE, LNK, MD?, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PHP, PIF, POT,
>>> PP?, PRC, REG, RTF, SCR, SCT, SH, SHB, SHS, SRC, SWF, SYS, THE,
>>> THEME, VBE, VBS, VSD, VXD, WSC, WSF, WSH, XL?, {*.
>> wmf
> Dobry przykład, choć właściwie jest on oparty na wykorzystaniu dziury
> w kodzie samego systemu. Ponadto dziura ta umożliwa uruchomienie
> obcego kodu po otwarciu także innych typów plików graficznych, nie
> tylko wmf. Ochrona przed tym exploitem nie polega więc na skanowaniu
> tych plików, co byłoby IMHO niezmiernie czasochłonne i mało
> efektywne, tylko na nadzorowaniu, co się po ich otwarciu dzieje. Tak
> zostało to w każdym razie zaimplementowane w NOD32.
Popełniasz fundamentalnie złe założenie - zakładasz, że AV będzie w
stanie zapobiec każdemu wirusowi - AV jest z założenia opiera się
jedynie na sygnaturach *znanych* ataków.
--
+ ' .-. .
. http://kosmosik.net/ * ) )
* . . '-' . kK
Received on Mon May 1 15:25:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 15:42:00 MET DST