Użytkownik "Konrad Kosmowski" <konrad@kosmosik.net> napisał w
wiadomości news:e3522n$49o$2@atlantis.news.tpi.pl...
> ** Michal Kawecki wrote:
>
>
>>>> Poproszę o przykład exploita, który uruchamia się z pliku
>>>> nieobjętego listą domyślnie skanowanych rozszerzeń np. rezydenta
>>>> AMON w programie NOD32. Dla ułatwienia wylistuję tu tą listę:
>>>> ASP, BAT, CGI, CHM, CLA, CLASS, CMD, COM, CPL, CSC, CSS, DLL,
>>>> DOC, DOT, ELF, EML, EXE, HLP, HTA, HTM, HTML, HTT, INF, INI, JS,
>>>> JSE, LNK, MD?, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PHP, PIF, POT,
>>>> PP?, PRC, REG, RTF, SCR, SCT, SH, SHB, SHS, SRC, SWF, SYS, THE,
>>>> THEME, VBE, VBS, VSD, VXD, WSC, WSF, WSH, XL?, {*.
>
>>> wmf
>
>> Dobry przykład, choć właściwie jest on oparty na wykorzystaniu
>> dziury w kodzie samego systemu. Ponadto dziura ta umożliwa
>> uruchomienie obcego kodu po otwarciu także innych typów plików
>> graficznych, nie tylko wmf. Ochrona przed tym exploitem nie
>> polega więc na skanowaniu tych plików, co byłoby IMHO
>> niezmiernie czasochłonne i mało efektywne, tylko na
>> nadzorowaniu, co się po ich otwarciu dzieje. Tak zostało to w
>> każdym razie zaimplementowane w NOD32.
>
> Popełniasz fundamentalnie złe założenie - zakładasz, że AV będzie w
> stanie zapobiec każdemu wirusowi - AV jest z założenia opiera się
> jedynie na sygnaturach *znanych* ataków.
Niektóre AV opierają się także na tzw. heurystyce. A heurystyka to nie
tylko czysta analiza kodu, ale także badanie wywoływanych przez dany
plik funkcji systemowych. Jeżeli uruchamiane są odwołania do poleceń
kasujących pliki, formatujących partycję, listujących zawartość
partycji, albo do jakichkolwiek innych funkcji do których zwykły obrazek
nie powinien nigdy sięgać, to jest to podejrzane i AV powinien
zareagować. Tak sobie to wyobrażam przynajmniej, ale może jest to
zupełnie inaczej rozwiązane, nie jestem programistą.
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Mon May 1 18:45:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 19:42:00 MET DST