А вы готовы к запрету динамического нативного кода ? - Shareware и бизнес

Здравствуйте, IID, Вы писали:

IID>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>Вы готовы ?
IID>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.
Win8 когда все говорили что "Десктоп приложения умрут".
Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

Здравствуйте, C0x, Вы писали:

C0x>Здравствуйте, IID, Вы писали:

IID>>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>>Вы готовы ?
IID>>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

C0x>Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.

Паранормальной ?

Она никуда не делась, ваще-т. И да — Vista сильно закрутила гайки, и подняла безопасность ОС. Одна только ASLR/KASLR чего стоит. Мейнстрим линукс в те годы KASLR не умел, например. А ешё PatchGuard, убивший стада руткитов, и аналога которому в линуксе ваще нет! (Бугага, но в современном линуксе исполняемая память ядра writable! Это вообще нонсенс! В WinNT 3.1 такого не было. Уточню: речь про ARM, про x86 не в курсе, но разницы, по-идее, не должно быть).

C0x>Win8 когда все говорили что "Десктоп приложения умрут".
C0x>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

Вообще-то нет.
Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.
Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.

Процесс идёт, даже если ты этого не видишь.

Здравствуйте, C0x, Вы писали:

C0x>...
C0x>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

+1
Кстати, я вдруг вспомнил, что такие игроки рынка, как Citrix, VMware и Symantec (да и сама MS,
например в Office или App-V), в некоторых своих продуктах активно используют внедрение в процессы с
перехватом функций. Без поддержки динамического кода это просто не будет работать. Если MS пойдет
на такие шаги, половина энтерпрайза так и будет сидеть на XP-Win7 еще лет 20...

Здравствуйте, okman, Вы писали:

O>Кстати, я вдруг вспомнил, что такие игроки рынка, как Citrix, VMware и Symantec (да и сама MS,
O>например в Office или App-V), в некоторых своих продуктах активно используют внедрение в процессы с
O>перехватом функций. Без поддержки динамического кода это просто не будет работать. Если MS пойдет
O>на такие шаги, половина энтерпрайза так и будет сидеть на XP-Win7 еще лет 20...

Ну антивирусам лавочку прикрыли 10 лет назад. И вышеозвученный симантек никуда не делся, сглотнул. Антивирусники пожужжали-пожжужали, да и заткнулись.
Кроме того, что позволено юпитеру — не позволено быку

Себе-то они найдут способ разрешить, если захотят (решений таких масса, очевидно).

Здравствуйте, IID, Вы писали:

IID>Ну антивирусам лавочку прикрыли 10 лет назад.

Ты о чем конкретно?
Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

Разве нет?

Здравствуйте, okman, Вы писали:

O>Здравствуйте, IID, Вы писали:

IID>>Ну антивирусам лавочку прикрыли 10 лет назад.

O>Ты о чем конкретно?
O>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>Разве нет?

Больше скажу, и вирусов не меньше стало, а даже больше!
Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

Здравствуйте, okman, Вы писали:

O>Ты о чем конкретно?
O>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>Разве нет?

Только недавно Евгений Касперский вроде как жаловался, что их с каждым годом обкладывают все сильнее и что скоро все на WinDefender перейдут

Здравствуйте, C0x, Вы писали:

C0x>Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

O>Разве нет?

Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, C0x, Вы писали:

C0x>>Здравствуйте, IID, Вы писали:

IID>>>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>>>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>>>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>>>Вы готовы ?
IID>>>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

C0x>>Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.

IID>Паранормальной ?

Параноидальный, вообщето.

IID> Она никуда не делась, ваще-т. И да — Vista сильно закрутила гайки, и подняла безопасность ОС.

Сравнение 7-ки с Vista по выскакиванию предупреждения: http://www.digitalcitizen.life/windows-7-vs-windows-vista-uac-benchmark

C0x>>Win8 когда все говорили что "Десктоп приложения умрут".
C0x>>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

IID>Вообще-то нет.
IID>Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.

Это уже так работает или планы?

IID>Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.

В каком смысле библиотек? Мой софт спокойно качает из интернета DLL и загружает в память.

IID>Процесс идёт, даже если ты этого не видишь.

Идет, но перегибать палку никто не будет. Посмотри на MacOS, там до сих пор можно устанавливать софт из левых источников. И это пример самой параноидальной конторы!

Здравствуйте, rumit7, Вы писали:

R>Здравствуйте, C0x, Вы писали:

C0x>>Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

R>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

Здравствуйте, C0x, Вы писали:

R>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

C0x>На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
C0x>так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, okman, Вы писали:

O>>Здравствуйте, IID, Вы писали:

IID>>>Ну антивирусам лавочку прикрыли 10 лет назад.

O>>Ты о чем конкретно?
O>>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>>Разве нет?

IID>Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
IID>В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

Мое мнение, хорошую защиту можно обеспечить только если ты разработчик ОС и имеешь доступ к её коду.
Иначе, как это было раньше, Антивирус по большей части сам и являлся вирусом (использовал хитрые трюки и дыры в системе) и подавал Вирусописателям идеи, как зацепиться в системе по крепче.
При этом никто не гарантировал отсутствия дыр в самих антивирусах.
Я к тому, что если Майкрософт прицепился к Антивирусам, не означает, что он прицепился ко всему рынку ПО.

Здравствуйте, rumit7, Вы писали:

R>Здравствуйте, C0x, Вы писали:

R>>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

C0x>>На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
C0x>>так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

R>ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?

Нет не пробовали.

Здравствуйте, IID, Вы писали:

IID>Нет. Возможность хучить ядро закрыли полностью.

Касперский все равно хучит ядро (используя VT).
Так что не полностью. То же самое делает драйвер Cheat Engine и куча другого софта.
KPP aka Patch Guard для такого софта — лишь формальность.

Здравствуйте, C0x, Вы писали:

R>>ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?
C0x>Нет не пробовали.

ну так почитайте, а лучше попробуйте.. со времен XP все сильно осложнилось, мир никогда не станет прежним

Здравствуйте, rumit7, Вы писали:

R>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

Из ядра можно открыть защищенный процесс (ZwOpenProcess), а затем делать с ним все, что угодно.
Включая внедрение своего кода. Защита 'DisableDynamicCode' элементарно отключается через
патч нужного битика в EPROCESS. Так что серьезным препятствием это считать нельзя.
Тем более, что даже в последних версиях Windows таких процессов всего несколько штук.

Здравствуйте, C0x, Вы писали:

C0x>Сравнение 7-ки с Vista по выскакиванию предупреждения: http://www.digitalcitizen.life/windows-7-vs-windows-vista-uac-benchmark

Виста всё это умеет из коробки, в 7ке просто по-дефолту передвинули ползунок на одно деление.

IID>>Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.

C0x>Это уже так работает или планы?
Работает. Сделано послабление — проверяется дата подписи. Драйвера подписанные старым способом (до закручивания гаек) продолжат грузиться. Подписанные после — нет.

IID>>Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.
C0x>В каком смысле библиотек? Мой софт спокойно качает из интернета DLL и загружает в память.

Речь о системных процессах. Не всех. Пока.

IID>>Процесс идёт, даже если ты этого не видишь.

C0x>Идет, но перегибать палку никто не будет. Посмотри на MacOS, там до сих пор можно устанавливать софт из левых источников. И это пример самой параноидальной конторы!

Ого! Вот это достижение! Даже цак можно не одевать!

	От:	sin_cos
	Дата:	14.02.17 04:49
	Оценка:

	От:	Kerk
	Дата:	14.02.17 07:45
	Оценка:

	От:	C0x
	Дата:	14.02.17 13:41
	Оценка:	+1

	От:	IID
	Дата:	14.02.17 14:21
	Оценка:	5 (1) +1

От:	okman	https://searchinform.ru/
Дата:	14.02.17 14:24
Оценка: