Здравствуйте, Shmj, Вы писали:
S>Практически каждый малварь мечтает не просто один раз запуститься и помереть, а как-то зацепиться в системе хозяина. Иначе не интересно, заражения по сути не произошло.
S>И вопрос у меня такой. Autoruns отображает все возможные места, где малварь может "зацепиться" или же что-то забыли?
Вряд ли все. Банально — в гугль хроме есть extensions, которые могут запускать произвольные файлы, в описании к Autoruns не написано, что оно умеет отслеживать такое, а это самый популярный браузер. Подозреваю, что кроме хрома хватает и других популярных программок, куда можно зацепиться. К примеру в Notepad++ есть плагины, это тоже обычные DLL-ки. В foobar2000 есть плагины. Да и во многих других программах похожее есть. Как тут перечислишь всё. Не говоря уже о том, что можно встраиваться, подменяя или патча файлы и библиотеки. К примеру какой-нибудь драйвер на питоне написан, а вирус подменит python.exe на свой патченный.
Практически каждый малварь мечтает не просто один раз запуститься и помереть, а как-то зацепиться в системе хозяина. Иначе не интересно, заражения по сути не произошло.
И вопрос у меня такой. Autoruns отображает все возможные места, где малварь может "зацепиться" или же что-то забыли?
Да, почти правда. Не расширения запускают произвольные файлы, а браузер стартует зарегистрированные в хроме программы, когда расширение попросит, чтобы общаться с ними по stdin/stdout. По сути, СОМ как он есть.
А так как у расширений нет доступа к файловой системе вне песочницы, то пока это безопасно. С другой стороны, хватит одной дырявой программы или скрипта, чтобы скрафтить регистрацию произвольного файла.
Здравствуйте, flаt, Вы писали:
vsb>>>>Вряд ли все. Банально — в гугль хроме есть extensions, которые могут запускать произвольные файлы,
F>>>Пруф?
vsb>>https://developer.chrome.com/docs/apps/nativeMessaging/
F>Да, почти правда. Не расширения запускают произвольные файлы, а браузер стартует зарегистрированные в хроме программы, когда расширение попросит, чтобы общаться с ними по stdin/stdout. По сути, СОМ как он есть.
Ну что значит зарегистрированные. Если у тебя есть доступ к компьютеру и ты хочешь сделать незаметный автостарт, вся "регистрация" это запись в реестр нужного значения. Как там расширение в хром засунуть, я точно не знаю, но вряд ли что-то намного сложней чем копирование файлов в какую-нибудь папку.
F>А так как у расширений нет доступа к файловой системе вне песочницы, то пока это безопасно. С другой стороны, хватит одной дырявой программы или скрипта, чтобы скрафтить регистрацию произвольного файла.
Ну да, модель угрозы — раз мы рассматриваем автозапуск — малварь уже потенциально инфицировала компьютер и мы хотим понять, где она грузится.
Здравствуйте, Shmj, Вы писали:
S>Autoruns отображает все возможные места, где малварь может "зацепиться" или же что-то забыли?
Конечно нет. Разработчики Autoruns такой цели себе не ставили.
Autoruns показывает известные, легальные, документированные методы автозапуска, предоставляемые OC. А малварь ими не ограничивается. Наоборот, они используются в последнюю очередь, или как дублирующие.
Здравствуйте, vsb, Вы писали:
vsb>Welcome to 2022, как говорится. Для моего ноутбука инсталлятор драйвера звуковой карты под гигабайт весит. Хз, чего они там напихали.
Я тоже всегда радовался драйверам BT которые 300Мб весили, при чем 290 из них это .NET framework который шел в нагрузку
Просто .NET стали больше да и вместе с этим надо заплатки от KB без которых не заведётся, там где они не установлены.
