А вы готовы к запрету динамического нативного кода ? - Shareware и бизнес

Здравствуйте, temnik, Вы писали:

T>Точнее так —
R>>>

Если бы, я вот почитываю данный форум и вижу, что люди покупают сертификаты чтобы публиковать своё ПО под винду. И если кто скажет, что это что-то там гарантирует, какую-то безопасность или ещё что, то я могу сказать, что это гарантирует лишь заработок дельцам из майкрософт и прочим прихлебателям.

А пользователи как хватали вирусы, так и будут хватать, так как у винды до сих пор нет ничего такого же объёмного как репозитории GNU/Linux, то есть нет культуры использования ПО из безопасных источников. Пользователь GNU/Linux хотя бы секунду подумает прежде чем пользоваться левым пакетом, а для винды такого вопроса даже не стоит, святой антивирус типа защитит.

Майкрософт хочет денег, но не хочет работать и желание вполне понятное и объяснимое. Именно поэтому так забавно наблюдать с чем сталкивается их магазин приложений. А проблемы стандартные, нужно наполнение, но если начать позволять это делать всем, то можно нарваться и самолично загрузить пользователям вредоносное ПО.

Если же не наполнять и при этом закрыть возможность запускать любые приложения, тогда пользователи с радостью снесут такую ось и оставят что-то постарее, так как она им будет просто не нужна. Что касается высокой производительности, то общепризнанные лидеры среди языков это C/C++. Можно сказать, что это попса быстродействия, которую в массовом порядке заменить просто нечем.

Наблюдая за майкрософт так же заметил, что они понимают ценность независимых разработчиков, то есть тех кто создаёт ПО, но при этом не майкрософт. Пусть даже они и держат их за быдло, но всё равно пытаются создать как можно больше сторонников своих систем, чтобы уже потом аккуратно поставить их раком и использовать во все щели.

А вот если смотреть на сторону GNU/Linux, то проблем по закручиванию гаек как бы и нет. Что же касается Android Linux, то данный кастрат исповедует иную идеологию нежели GNU. Опасности он не представляет, так как приложения созданные на его основе созданы в основном для потребления, а не генерации контента.

Обращаясь к истокам стоит отметить, что любое ПО решает какую-либо задачу. Если оно перестанет решать задачи пользователей или не будет соответствовать их ожиданиям, то на него попросту забьют болт. Нужно понимать, что пользователи маков и яблофонов принципиально отличаются от пользователей винды, и оба отличаются от пользователей GNU/Linux.

Ведь почему одни любят эпл, а другие его ненавидят. Дело не просто в качестве ПО, но и в идеологии, то есть в том, как это всё преподносится. У майкрософт тоже есть своя идеология. Создавая закрытые магазины ПО и операционку пытающуюся что-то запретить майкрософт идёт против своей же идеологии.

Пользователи уже привыкли, что в винде можно запустить любое говно которое они хотят запустить. И давайте уж скажем откровенно, если убрать тех у кого стоит не лицензионная винда с не лицензионным ПО, то ряды пользователей винды сильно поредеют. Билли в своё время это знал и открыто об этом говорил, что как-нибудь потом мы найдём как это использовать, потому воспрепятствовать взлому винды не особо и пытаются до сих пор.

По большому счёту никакой опасности и нет. Взять последние игровые новинки, например, тот же Overwatch. Пользователей маков просто киданули. А это я к тому, что уже сейчас существует огромное количество ОС и платформ, где-то работает одно, где-то другое. Не столь важно, что что-то и где-то не работает, любая программа может быть эксклюзивом и это в порядке вещей.

Боюсь ли я, что появится какая-то суперэксклюзивная винда? Нет, не боюсь. А что касается производителя ПО, то если приложение стоящее, то многие пользователи даже не поленятся поставить не устраивающую их ось. Если же оно не представляет для пользователя ценности, то здесь и популярный магазин ПО не поможет.

В наше время количество приложений преобладает над качеством большинства из них, потому продажи по настоящему качественных программ нисколько не страдает вне зависимости от обстоятельств.

Здравствуйте, C0x, Вы писали:

C0x>Здравствуйте, IID, Вы писали:

IID>>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>>Вы готовы ?
IID>>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

C0x>Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.

Паранормальной ?

Она никуда не делась, ваще-т. И да — Vista сильно закрутила гайки, и подняла безопасность ОС. Одна только ASLR/KASLR чего стоит. Мейнстрим линукс в те годы KASLR не умел, например. А ешё PatchGuard, убивший стада руткитов, и аналога которому в линуксе ваще нет! (Бугага, но в современном линуксе исполняемая память ядра writable! Это вообще нонсенс! В WinNT 3.1 такого не было. Уточню: речь про ARM, про x86 не в курсе, но разницы, по-идее, не должно быть).

C0x>Win8 когда все говорили что "Десктоп приложения умрут".
C0x>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

Вообще-то нет.
Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.
Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.

Процесс идёт, даже если ты этого не видишь.

Здравствуйте, C0x, Вы писали:

IID>>Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
IID>>В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

C0x>Мое мнение, хорошую защиту можно обеспечить только если ты разработчик ОС и имеешь доступ к её коду.
C0x>Иначе, как это было раньше, Антивирус по большей части сам и являлся вирусом (использовал хитрые трюки и дыры в системе) и подавал Вирусописателям идеи, как зацепиться в системе по крепче.

Ты пишешь чепуху, не разбираясь в обсуждаемом вопросе.

C0x>При этом никто не гарантировал отсутствия дыр в самих антивирусах.
C0x>Я к тому, что если Майкрософт прицепился к Антивирусам, не означает, что он прицепился ко всему рынку ПО.

Он не к антивирусам прицепился, а систему постепенно закрывает. Просто антивирусы были самыми пострадавшими из первых эшелонов, ибо глубоко внедрялись в систему.
Посмотри на андроид. Его закрыли на порядки похлеще винды. Итог — эффективного антивируса под андроид не существует и существовать не может. Даже самый простой троян способен поставить любой андроид антивирус раком.

Здравствуйте, C0x, Вы писали:

C0x>Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
C0x>научится закрепляться в системе на таком же уровне.

Ничего секретного в "антивирусном закреплении" нет. Не надо ничего дебажить. Это драйвер. И бороться драйверу с драйвером бесполезно — силы/возможности равны. На каждое действие находится противодействие.
Вирусу надо уметь прорвать первую линию обороны (даже без антивируса она есть у самой ОС), а дальше закрепиться и стать незаметным. Ни одну из этих задач антивирус не решает, и подсматривать в нём нечего. Задача антивируса — задетектить малварь: блокируем опасное действие в момент совершения, анализируем его (а также предшествующие и связанные с ним, кто кого и когда запускал, откуда появился файл и т.д.), а дальше или разрешаем продолжить или обламываем.

C0x>При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.
C0x>А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.

Да нет никаких "дыр которые использут антивирусы"!
Есть два режима привилегий. Обычные процессы (т.н. "юзермод") и ядро. Вот и всё. Попадая на уровень ядра вирус способен бороться с антивирусом. На пользовательском режиме он ничего антивирусу противопоставить не может, т.к. борьба не на равных.

Раньше каждый второй троян таскал с собой драйвер для подобных целей. Убивать антивирусные файлы, скрывать собственные файлы, процессы и сетевые соединения и т.д. Появление подписей и PatchGuard по ядерным "вирусам" тоже ударило и не слабо. Но все их не вымыло. Подобная техника просто стала малопопулярной. Вместо того чтобы задавить антивирус и делать что душе вздумается стали меньше подозрительных действий совершать, вплоть до бестелесной заразы (без файлов на диске). А также отказываться от исполняемого (нативного) кода.

Т.е. малварь из агрессивно-нативной стала мимикрировать и становиться незаметной.

Здравствуйте, IID, Вы писали:

IID>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>Вы готовы ?
IID>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.
Win8 когда все говорили что "Десктоп приложения умрут".
Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

Здравствуйте, okman, Вы писали:

O>Кстати, я вдруг вспомнил, что такие игроки рынка, как Citrix, VMware и Symantec (да и сама MS,
O>например в Office или App-V), в некоторых своих продуктах активно используют внедрение в процессы с
O>перехватом функций. Без поддержки динамического кода это просто не будет работать. Если MS пойдет
O>на такие шаги, половина энтерпрайза так и будет сидеть на XP-Win7 еще лет 20...

Ну антивирусам лавочку прикрыли 10 лет назад. И вышеозвученный симантек никуда не делся, сглотнул. Антивирусники пожужжали-пожжужали, да и заткнулись.
Кроме того, что позволено юпитеру — не позволено быку

Себе-то они найдут способ разрешить, если захотят (решений таких масса, очевидно).

Здравствуйте, C0x, Вы писали:

C0x>Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

Здравствуйте, okman, Вы писали:

O>Здравствуйте, IID, Вы писали:

IID>>Ну антивирусам лавочку прикрыли 10 лет назад.

O>Ты о чем конкретно?
O>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>Разве нет?

Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

Здравствуйте, C0x, Вы писали:

R>>ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?
C0x>Нет не пробовали.

ну так почитайте, а лучше попробуйте.. со времен XP все сильно осложнилось, мир никогда не станет прежним

Здравствуйте, rumit7, Вы писали:

R>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

Из ядра можно открыть защищенный процесс (ZwOpenProcess), а затем делать с ним все, что угодно.
Включая внедрение своего кода. Защита 'DisableDynamicCode' элементарно отключается через
патч нужного битика в EPROCESS. Так что серьезным препятствием это считать нельзя.
Тем более, что даже в последних версиях Windows таких процессов всего несколько штук.

Здравствуйте, IID, Вы писали:

O>>Касперский все равно хучит ядро (используя VT).

IID>Впервые про это слышу. Слышал что исследования по этому направлению велись, но в релиз их так и не добавили. Есть пруфы ?

У Kaspersky Internet Security где-то года 2-3 назад, если не ошибаюсь, появился модуль под
названием "защита от снятия скриншотов", построенный на идеях 'Blue Pill' Рутковской.
Суть: ОС запускается в режиме гостя под контролем гипервизора, драйвер Касперского обманывает
PatchGuard, подсовывая ему ложное значение MSR-регистра, который хранит адрес обработчика сисколов.
В итоге все системные вызовы контролируются драйвером klif.sys, а система ничего не подозревает.

Точной ссылки не дам, но вот, например, описание самой настройки (обращаю внимание на слово "гипервизор"):

Не работает защита от снятия скриншотов с помощью гипервизора в Kaspersky Small Office Security 4 для Персонального Компьютера
https://support.kaspersky.ru/11760#block2

Сейчас у них, насколько я знаю, есть и другие компоненты, использующие виртуализацию.
Касперский — не исключение, такие штуки есть и в другом софте (в malware тоже, само собой).

Ну а мне по работе время от времени попадаются крэш-дампы 64-битных Windows,
где модули Касперского сидят в стеках системных вызовов (особенно вокруг NtUserXxx).

Здравствуйте, IID.

В целом, я согласен с тем, что где-то начиная с Windows Vista, Microsoft взяла курс
на медленное, но верное закручивание гаек. Просто не разделяю позицию "все пропало!".

Вон Device Guard в Windows 10 можно так настроить, что никакие драйверы и приложения,
кроме разрешенных, нельзя будет загружать, и никакая цифровая подпись не поможет,
даже WHQL Gold. Но я сомневаюсь, что такие фичи вот прямо на каждом втором компьютере
будут включены. Посмотрим, что будет через 2-3 года.

Здравствуйте, rumit7, Вы писали:

R>как долго данный способ будет работать и не начнут ли в один прекрасный день защищать и EPROCESS таких процесов от модификации.

Вполне возможно, что так и будет.

Microsoft ничто не мешает, кроме требований обратной совместимости, со временем вообще поубирать
все компоненты, чувствительные к проблемам безопасности, из ring-0 в гипервизор, как сейчас это
сделали в Windows 10 (HVCI/IUM), оставив только "мини-ядро" или то, что от него останется, и
самые-самые базовые сервисы, а всех остальных, включая драйверы, заставить общаться с ядром
через какие-нибудь специальные протоколы. И вот там уже точно нельзя будет ничего похукать...

Хотя лично мне кажется, что большой популярности у операционной системы, которую нельзя
расширять и модифицировать ее поведение под свои нужды, никогда не будет.

Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
Вы готовы ?
В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

Здравствуйте, IID, Вы писали:

сгушаешь, но поговорить можно. Вопрос только о том, что ты в никсах такое увидел?

Здравствуйте, rean, Вы писали:

R>Занавес, добро пожаловать в цифровое рабство!

Твою дивизию, а ведь ты прав.

Точнее так —

R>>

S>Твою дивизию, а ведь ты прав.

Здравствуйте, rean, Вы писали:

R>Занавес, добро пожаловать в цифровое рабство!

Выход: linux. Нет?

Здравствуйте, rean, Вы писали:

IID>>Вы готовы ?

R>В долгосрочной перспективе возможность опубликовать любую программу частным лицом будет невозможно. Сначала закончат сгонять на свои апсторы, где идет грабеж на комиссии. А потом будут брать деньги за релизы. Со свободными программами будут расправляться через поисковики и антивирусы.

R>Пользователь не сможет использовать блокировщики рекламы, а возможность показа рекламы будет встроена в операционные системы как неотключаемая фича.

конечно. и над каждым пользователем приставят жандарма, чтобы заставлять его пользоваться этой ОС. да еще и контролировать, чтобы рекламу внимательно смотрел.

Здравствуйте, vitcs, Вы писали:

V>Здравствуйте, rean, Вы писали:

R>>Занавес, добро пожаловать в цифровое рабство!

V>Выход: linux. Нет?

А Линукс как раз убить проще всего — просто не давать запуститься ничему кроме предустановленной Windows.

R>В долгосрочной перспективе возможность опубликовать любую программу частным лицом будет невозможно. Сначала закончат сгонять на свои апсторы, где идет грабеж на комиссии. А потом будут брать деньги за релизы. Со свободными программами будут расправляться через поисковики и антивирусы.
Публикуйтесь через freenet.

Ну вот сразу идея для шаровары — делайте для всех используемых JIT-ов максимально быстрые интерпретаторы. Если вы там не видео кодируете, производительности для многого хватит. Это раз. Все JIT-ы вряд ли запретят. Даже в iOS, где JIT издавна запрещён, есть JS-движок от операционной системы, который JIT-ит, т.е. вы можете переколбасить ваш код в JS (причём таким образом, чтобы JS-движок выполнял его очень быстро, asm.js и всё такое) и иметь хорошую производительность. Это два.

Здравствуйте, rean, Вы писали:

R>>>Пользователь не сможет использовать блокировщики рекламы, а возможность показа рекламы будет встроена в операционные системы как неотключаемая фича.
_>>конечно. и над каждым пользователем приставят жандарма, чтобы заставлять его пользоваться этой ОС. да еще и контролировать, чтобы рекламу внимательно смотрел.

R>А то что в маках и виндах уже навязчиво рекомендуют свой магазин, тебя не смущает? Что в систему вводят идентификитор пользователя для использования в рекламных компаний?

кто ж тебя заставляет-то? нет альтернатив?
— линуксы
— kolibri os
— freebsd
— куча альтернативных сторов для андроида
— jailbreak для айфона
— всякие lavabit'ы, протонмейл, tox'ы и т.п.
— биткойн
— tor

Здравствуйте, alpha21264, Вы писали:

A>А Линукс как раз убить проще всего — просто не давать запуститься ничему кроме предустановленной Windows.

ну тогда собирутся умельцы и сделают ноутбук с выпиленным виндовсом.

Здравствуйте, vitcs, Вы писали:

V>Выход: linux. Нет?
UEFI и запрет на запуск неподписаного или как там его называют? Препоминаю как прыщи не смогли запустить на UEFI-based материнках.

Здравствуйте, IID, Вы писали:

IID>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

Плохо представляю себе.
Как, например, браузер или скриптовый язык может работать без динамической генерации кода?
Кому будет нужна система, где не работает Javascript ни в одном браузере? Да никому.
Абсурд. Я не верю, что в MS способны дойти до такого, даже в далекой перспективе.

IID>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server.

Ну не совсем так.
Генерация динамического кода запрещена для всех только в ядре (Windows 10 и Windows Server 2016) и
только если соответствующим образом настроены политики безопасности (Hyper-V + HVCI). Посмотрим, что
будет через 2-3 года. Может быть, эта политика будет встречаться на таком малом количестве машин,
что ее существование можно будет просто игнорировать.

IID>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>Вы готовы ?

А ничего не накроется.
MS сделает какие-нибудь манифесты, где нужно будет обязательно декларировать все фичи,
используемые приложением, иначе эти фичи не будут доступны. Наподобие того, как сейчас это
работает для Modern-приложений. См. App Capabilities, там и 'codeGeneration' уже есть...
В итоге динамическая генерация кода будет доступна только тем приложениям, кому она
реально нужна.

Кстати, уже сейчас в Windows 8 (или 8.1 — не вспомню сходу) есть SetProcessMitigationPolicy с
кодом DynamicCodePolicy и после этого все VirtualAlloc с PAGE_EXECUTE_XXX накрываются тазом.

Здравствуйте, sin_cos, Вы писали:

_>Здравствуйте, alpha21264, Вы писали:

A>>А Линукс как раз убить проще всего — просто не давать запуститься ничему кроме предустановленной Windows.

_>ну тогда собирутся умельцы и сделают ноутбук с выпиленным виндовсом.

Чё-то они до сих пор не собрались.
Ноутбуки, на которые даже другой Виндовс не поставишь, уже появились в продаже.

Здравствуйте, okman, Вы писали:

O>Здравствуйте, IID, Вы писали:

IID>>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

O>Плохо представляю себе.
O>Как, например, браузер или скриптовый язык может работать без динамической генерации кода?
O>Кому будет нужна система, где не работает Javascript ни в одном браузере? Да никому.

Очень просто. Браузеру — разрешат. Если у тебя модуль не подписан специальным гитлер-сертификатом — то изменение защиты страниц тебе обломят, объясняя это security причинами.

O>Абсурд. Я не верю, что в MS способны дойти до такого, даже в далекой перспективе.

Линукс уже дошёл. Точнее андроид. Но в hardened дистрибутивах гайки закручены тоже неслабо.

O>А ничего не накроется.
O>MS сделает какие-нибудь манифесты, где нужно будет обязательно декларировать все фичи,
O>используемые приложением, иначе эти фичи не будут доступны. Наподобие того, как сейчас это
O>работает для Modern-приложений. См. App Capabilities, там и 'codeGeneration' уже есть...
O>В итоге динамическая генерация кода будет доступна только тем приложениям, кому она
O>реально нужна.

Так и будет. Но это же лягушка в кастрюле. А под кастрюлей уже разожгли газ... Т.е. направление движения понятно и ясно очерчено. Сначала манифесты, потом подписи, потом кросс-подписи, а потом в сад.

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>Здравствуйте, IID, Вы писали:

AWW>сгушаешь, но поговорить можно. Вопрос только о том, что ты в никсах такое увидел?

Работающий запрет выделения исполняемой памяти/смены защиты стнраниц/проецирование. Политики доточили. Правда на примитивном UM, типа андроидного. И не во всех процессах. И с любимым лозунгом красноглазых "а у кого что не работает — сами дураки". Но таки сделали. В Win процесс идёт в том же направлении ИМХО, только МС не может себе позволить бить пользователей битой по яйцам, чай не линукс. Поэтому МС будет варить лягушку.

Здравствуйте, alpha21264, Вы писали:

A>Чё-то они до сих пор не собрались.
зачем?

A>Ноутбуки, на которые даже другой Виндовс не поставишь, уже появились в продаже.
проснись

. раньше были ноуты с виндой, а теперь уже с убунтой. или вообще с досом.

Здравствуйте, sin_cos, Вы писали:

_>Здравствуйте, alpha21264, Вы писали:

A>>Ноутбуки, на которые даже другой Виндовс не поставишь, уже появились в продаже.
_>проснись

. раньше были ноуты с виндой, а теперь уже с убунтой. или вообще с досом.

Ну да. Среди многих сотен наименований можно наковырять парочку с досом или убунтой. Прям камень с плеч.

Здравствуйте, C0x, Вы писали:

C0x>...
C0x>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

+1
Кстати, я вдруг вспомнил, что такие игроки рынка, как Citrix, VMware и Symantec (да и сама MS,
например в Office или App-V), в некоторых своих продуктах активно используют внедрение в процессы с
перехватом функций. Без поддержки динамического кода это просто не будет работать. Если MS пойдет
на такие шаги, половина энтерпрайза так и будет сидеть на XP-Win7 еще лет 20...

Здравствуйте, IID, Вы писали:

IID>Ну антивирусам лавочку прикрыли 10 лет назад.

Ты о чем конкретно?
Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

Разве нет?

O>Разве нет?

Больше скажу, и вирусов не меньше стало, а даже больше!
Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

Здравствуйте, okman, Вы писали:

O>Ты о чем конкретно?
O>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>Разве нет?

Только недавно Евгений Касперский вроде как жаловался, что их с каждым годом обкладывают все сильнее и что скоро все на WinDefender перейдут

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, C0x, Вы писали:

C0x>>Здравствуйте, IID, Вы писали:

IID>>>Индустрия год за годом закручивает гайки в этом направлении. Конечно, мешают ущербные тормозные языки, которые без JIT-а превращаются в тыкву. И легаси. Но рано или поздно это произойдёт.

IID>>>MS уже прямым текстом заявила, что динамический код в ядре — плохо. И запретила его в Windows 2016 Server. Направление движения понятно. В красноглазом зоопарке уже много лет этим занимаются. В андроиде юзермод закрыли selinux-ом, от версии к версии всё жёстче. А в ядре машут банхаммером всякие RKP в гипервизорах.

IID>>>Накроются медным тазом протекторы. Упаковщики. Доморощенные JITы. Хаки с генерацией перехватов.
IID>>>Вы готовы ?
IID>>>В win наверняка процесс будет долгим. Сначала окна страшные станут выдавать, предупреждая об опасностях. И кто первым среагирует — к тому юзеры и побегут.

C0x>>Они уже попытались, вспомните историю. Windows Vista со своей пароноидальной безопасностью и системой прав.

IID>Паранормальной ?

Параноидальный, вообщето.

IID> Она никуда не делась, ваще-т. И да — Vista сильно закрутила гайки, и подняла безопасность ОС.

Сравнение 7-ки с Vista по выскакиванию предупреждения: http://www.digitalcitizen.life/windows-7-vs-windows-vista-uac-benchmark

C0x>>Win8 когда все говорили что "Десктоп приложения умрут".
C0x>>Итог: В торопях разработанные Win7, Win8.1 и Win10, в которых все нормально с десктопом и драйверами.
C0x>>Все на что их хватило так это выдавать сообщения, для неподписанных приложений. Против рынка не попрешь!

IID>Вообще-то нет.
IID>Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.

Это уже так работает или планы?

IID>Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.

В каком смысле библиотек? Мой софт спокойно качает из интернета DLL и загружает в память.

IID>Процесс идёт, даже если ты этого не видишь.

Идет, но перегибать палку никто не будет. Посмотри на MacOS, там до сих пор можно устанавливать софт из левых источников. И это пример самой параноидальной конторы!

Здравствуйте, rumit7, Вы писали:

R>Здравствуйте, C0x, Вы писали:

C0x>>Читы живее всех живых — сам недавно пробовал внедрение кода в другие процессы. Работает!

R>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

Здравствуйте, C0x, Вы писали:

R>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

C0x>На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
C0x>так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, okman, Вы писали:

O>>Здравствуйте, IID, Вы писали:

IID>>>Ну антивирусам лавочку прикрыли 10 лет назад.

O>>Ты о чем конкретно?
O>>Антивирусы вполне себе здоровы, каждый год еще пяток-другой новых появляется.

O>>Разве нет?

IID>Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
IID>В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

Мое мнение, хорошую защиту можно обеспечить только если ты разработчик ОС и имеешь доступ к её коду.
Иначе, как это было раньше, Антивирус по большей части сам и являлся вирусом (использовал хитрые трюки и дыры в системе) и подавал Вирусописателям идеи, как зацепиться в системе по крепче.
При этом никто не гарантировал отсутствия дыр в самих антивирусах.
Я к тому, что если Майкрософт прицепился к Антивирусам, не означает, что он прицепился ко всему рынку ПО.

Здравствуйте, rumit7, Вы писали:

R>Здравствуйте, C0x, Вы писали:

R>>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

C0x>>На всех пробовал. Внедрение в игры работало. Если внедряющий процесс с правами админа запущен,
C0x>>так вообще проблем не замечал. А что, где-то не срабатывало? Расскажи, мне тема сама по себе интересна.

R>ну как-бы в вопросе подсказка: на 10 в защищенный процесс пробовали?

Нет не пробовали.

Здравствуйте, IID, Вы писали:

IID>Нет. Возможность хучить ядро закрыли полностью.

Касперский все равно хучит ядро (используя VT).
Так что не полностью. То же самое делает драйвер Cheat Engine и куча другого софта.
KPP aka Patch Guard для такого софта — лишь формальность.

Здравствуйте, C0x, Вы писали:

C0x>Сравнение 7-ки с Vista по выскакиванию предупреждения: http://www.digitalcitizen.life/windows-7-vs-windows-vista-uac-benchmark

Виста всё это умеет из коробки, в 7ке просто по-дефолту передвинули ползунок на одно деление.

IID>>Уже сделано гораздо больше. Неподписанные драйвера грузить нельзя. Причём если сначала требовалась просто подпись и это можно было сделать самостоятельно, купив сертификат. То теперь кросс-подпись, и подписывать будет MS.

C0x>Это уже так работает или планы?
Работает. Сделано послабление — проверяется дата подписи. Драйвера подписанные старым способом (до закручивания гаек) продолжат грузиться. Подписанные после — нет.

IID>>Сделаны специальные флаги, которые блокируют загрузку библиотек, неподписанных MSом.
C0x>В каком смысле библиотек? Мой софт спокойно качает из интернета DLL и загружает в память.

Речь о системных процессах. Не всех. Пока.

IID>>Процесс идёт, даже если ты этого не видишь.

C0x>Идет, но перегибать палку никто не будет. Посмотри на MacOS, там до сих пор можно устанавливать софт из левых источников. И это пример самой параноидальной конторы!

Ого! Вот это достижение! Даже цак можно не одевать!

Здравствуйте, okman, Вы писали:

O>Здравствуйте, rumit7, Вы писали:

R>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

O>Из ядра можно открыть защищенный процесс (ZwOpenProcess), а затем делать с ним все, что угодно.
O>Включая внедрение своего кода. Защита 'DisableDynamicCode' элементарно отключается через
O>патч нужного битика в EPROCESS. Так что серьезным препятствием это считать нельзя.
O>Тем более, что даже в последних версиях Windows таких процессов всего несколько штук.

то, что Вы это знаете понятно, вопрос был в том, понимает ли это уважаемый C0x когда так легко бросается громкими словами, что все как прежде.
но гайки постепенно закручиваются, и то что антивирусам приходится идти другими путями, не такими легкими как раньше это только подтверждают

Здравствуйте, okman, Вы писали:

O>Касперский все равно хучит ядро (используя VT).

Впервые про это слышу. Слышал что исследования по этому направлению велись, но в релиз их так и не добавили. Есть пруфы ?

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, C0x, Вы писали:

IID>>>Нет. Возможность хучить ядро закрыли полностью. Дали пару десятков коллбеков, которых, по-мнению МС "хватит всем". (Кстати, регистрация некоторых проверяет, кто сделал вызов. Если вызов из драйвера МС — то можно, иначе нельзя).
IID>>>В результате качество покрытия опасных действий сильно упало. Есть лазейки, которые современный антивирус заткнуть не в состоянии. Зато МС закрыла ядро и многие динамические структуры (таблицы обработчиков) от модификаций.

C0x>>Мое мнение, хорошую защиту можно обеспечить только если ты разработчик ОС и имеешь доступ к её коду.
C0x>>Иначе, как это было раньше, Антивирус по большей части сам и являлся вирусом (использовал хитрые трюки и дыры в системе) и подавал Вирусописателям идеи, как зацепиться в системе по крепче.

IID>Ты пишешь чепуху, не разбираясь в обсуждаемом вопросе.

Ок, я не спец по Антивирусам, признаюсь.

IID>Он не к антивирусам прицепился, а систему постепенно закрывает. Просто антивирусы были самыми пострадавшими из первых эшелонов, ибо глубоко внедрялись в систему.

Разве это не подтверждение тому факту, что если я хочу написать вирус, то мне достаточно поотлаживать Антивирус и понять как поглубже внедриться в систему (это к моей чепухе выше)?
Логично помоему следует отсюда, что система должна обеспечивать уровень защиты от вирусов а не сторонняя программа, которая сама может быть дырявой насквозь. Все таки люди пишут.

IID>Посмотри на андроид. Его закрыли на порядки похлеще винды. Итог — эффективного антивируса под андроид не существует и существовать не может. Даже самый простой троян способен поставить любой андроид антивирус раком.

Ставил пару антивирусов на мобилу, снес их нах. Только работу тормозят, толку мало.

Здравствуйте, rumit7, Вы писали:

R>Здравствуйте, okman, Вы писали:

O>>Здравствуйте, rumit7, Вы писали:

R>>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

O>>Из ядра можно открыть защищенный процесс (ZwOpenProcess), а затем делать с ним все, что угодно.
O>>Включая внедрение своего кода. Защита 'DisableDynamicCode' элементарно отключается через
O>>патч нужного битика в EPROCESS. Так что серьезным препятствием это считать нельзя.
O>>Тем более, что даже в последних версиях Windows таких процессов всего несколько штук.

R>то, что Вы это знаете понятно, вопрос был в том, понимает ли это уважаемый C0x когда так легко бросается громкими словами

Громкие слова это типа "Все пропало!!! Мелкософт закручивает гайки!! Срочно всем на рынок!" ну и в подобном тоне.
Я написал о том только, что не испытывал никаких проблем решая свои задачи, по внедрению в нужные мне процессы.
Надеюсь так оно и будет дальше, иначе майкрософт лешится львинной доли рынка — Геймеры. Которым безопасность системы по барабану.

Здравствуйте, C0x, Вы писали:

C0x>Разве это не подтверждение тому факту, что если я хочу написать вирус, то мне достаточно поотлаживать Антивирус и понять как поглубже внедриться в систему (это к моей чепухе выше)?

Нет. Антивирусы (широко разрекламированная "проактивная защита") контролировали все опасные точки, через которые вирус/троян может попасть и закрепиться в системе. Очевидно, что у вируса задача обратная. И технологии из антивируса ему никак не помогут. Если антивирус учёл все возможности по внедрению — потенциально никакая зараза мимо него просочиться не в состоянии. Беда в том, что с приходом PatchGuard возможности контроля нещадно порезали. Возможности антивирусов сильно упали.

C0x>Логично помоему следует отсюда, что система должна обеспечивать уровень защиты от вирусов а не сторонняя программа, которая сама может быть дырявой насквозь. Все таки люди пишут.

Есть дыры в программе обусловленные ошибками (и антивирусы тут не исключение). Вплоть до эксплуатации этих дыр малварью для запуска кода и/или повышения привилегий.
Есть дыры логические, когда антивирус не контролирует что-то. Из-за неполной реализации, плохих знаний авторов или же по причине ограничений системы (современная винда, андроид).

Вот вторые дыры были добавлены самим майкрософтом. Сознательно. Ради закрытия ядра ОС.

IID>>Посмотри на андроид. Его закрыли на порядки похлеще винды. Итог — эффективного антивируса под андроид не существует и существовать не может. Даже самый простой троян способен поставить любой андроид антивирус раком.

C0x>Ставил пару антивирусов на мобилу, снес их нах. Только работу тормозят, толку мало.

Да они и сделать ничего не могут, т.к. являются обычными приложениями и ограничены в возможностях. Десктопные же антивирусы имеют модуль в ядре ОС, и априори могущественее юзермодной заразы. Аналогично — линуксовые LSM, и SELinux как самая известная из них. Когда зараза ставила драйвер (руткит) тут уже начиналась ожесточённая борьба, и никаких гарантий кто победит — не было (особенно учитывая "качество" этих руткитов). А вот пока антивирус не пропустил заразу в ядро — бороться она с ним не могла.

Следующие этапы возникли с развитием железа — гипервизоры (реализовано, например, Samsung-ом в их PKM (аналог PatchGuard) и RKP (Realtime Kernel Protection), дополнительная защита линукс-ядра на более привелигированном уровне. И Security Monitor-ы (ещё более привелегированный уровень).

Здравствуйте, okman, Вы писали:

O>У Kaspersky Internet Security где-то года 2-3 назад, если не ошибаюсь, появился модуль под
O>названием "защита от снятия скриншотов", построенный на идеях 'Blue Pill' Рутковской.
O>Суть: ОС запускается в режиме гостя под контролем гипервизора, драйвер Касперского обманывает
O>PatchGuard

В bluepill гипервизор был прозрачен для других гипервизоров. Единственный сайд-эффект заключался в снижении быстродействия, которое (в теории) невозможно было оценить локально, т.к. нет доверия локальным ресурсам, они уже скомпрометированы. Единственный предполагаемый детект — на основании сторонних источников времени, например интернет ресурсов.

Касперский делает так же ? Позволяет прозрачно запускаться другим гипервизорам, типа Hyper-V ? Или тупо отключает этот кусок защиты, если система использует виртуализацию ?

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, C0x, Вы писали:

C0x>>Разве это не подтверждение тому факту, что если я хочу написать вирус, то мне достаточно поотлаживать Антивирус и понять как поглубже внедриться в систему (это к моей чепухе выше)?

IID>Нет. Антивирусы (широко разрекламированная "проактивная защита") контролировали все опасные точки, через которые вирус/троян может попасть и закрепиться в системе. Очевидно, что у вируса задача обратная. И технологии из антивируса ему никак не помогут. Если антивирус учёл все возможности по внедрению — потенциально никакая зараза мимо него просочиться не в состоянии. Беда в том, что с приходом PatchGuard возможности контроля нещадно порезали. Возможности антивирусов сильно упали.

Это все верно при условии, что каждый компьютер защищен антивирусом, который по максимуму использует все эти возможности.
Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
научится закрепляться в системе на таком же уровне. При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.

А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.

IID>Есть дыры в программе обусловленные ошибками (и антивирусы тут не исключение).
IID>Есть дыры логические, когда антивирус не контролирует что-то. Из-за ошибок, плохих знаний авторов или же по причине ограничений системы (современная винда, андроид).

IID> Вот вторые дыры были добавлены самим майкрософтом. Сознательно. Ради закрытия ядра ОС.

IID>>>Посмотри на андроид. Его закрыли на порядки похлеще винды. Итог — эффективного антивируса под андроид не существует и существовать не может. Даже самый простой троян способен поставить любой андроид антивирус раком.

C0x>>Ставил пару антивирусов на мобилу, снес их нах. Только работу тормозят, толку мало.

IID>Да они и сделать ничего не могут, т.к. являются обычными приложениями и ограничены в возможностях. Десктопные же антивирусы имеют модуль в ядре ОС, и априори могущественее юзермодной заразы. Аналогично — линуксовые LSM, и SELinux как самая известная из них. Когда зараза ставила драйвер (руткит) тут уже начиналась ожесточённая борьба, и никаких гарантий кто победит — не было (особенно учитывая "качество" этих руткитов). А вот пока антивирус не пропустил заразу в ядро — бороться она с ним не могла.

IID>Следующие этапы возникли с развитием железа — гипервизоры (реализовано, например, Samsung-ом в их PKM (аналог PatchGuard) и RKP (Realtime Kernel Protection), дополнительная защита линукс-ядра на более привелигированном уровне. И Security Monitor-ы (ещё более привелигированный уровень).

Спасибо за профессиональное разъяснение.

Здравствуйте, C0x, Вы писали:

C0x>Надеюсь так оно и будет дальше, иначе майкрософт лешится львинной доли рынка — Геймеры. Которым безопасность системы по барабану.

Слышал что для геймеров МС собирается выпустить специальную геймерскую редакцию. В которой все лишние сервисы обрезаны нафиг, а те что есть замораживаются на время игры, чтобы выжать из железа "ещё капельку". Наверняка ОС будет компактной и быстро/просто переустанавливаться (может даже штатным способом "изнутри", заменяя кусты реестра на чистые и т.д.), т.к. геймеры это обожают.

Здравствуйте, okman, Вы писали:

O>Здравствуйте, rumit7, Вы писали:

R>>на какой оси пробовали и в какие процессы? на 10 в защищенный процесс пробовали?

O>Из ядра можно открыть защищенный процесс (ZwOpenProcess), а затем делать с ним все, что угодно.
O>Включая внедрение своего кода. Защита 'DisableDynamicCode' элементарно отключается через
O>патч нужного битика в EPROCESS. Так что серьезным препятствием это считать нельзя.
O>Тем более, что даже в последних версиях Windows таких процессов всего несколько штук.

кстати, если не ошибаюсь, впервые про этот способ читал у Ионеску и там вроде автор задавался вопросом — как долго данный способ будет работать и не начнут ли в один прекрасный день защищать и EPROCESS таких процесов от модификации. А когда начнут, то падение процесса и BSOD. Хотя да, виртуализация и все такое — короче эта песня будет вечно

От:	velkin	http://blogs.rsdn.org/effective/
Дата:	11.02.17 21:57
Оценка:	11 (3)

	От:	rean
	Дата:	10.02.17 17:30
	Оценка:	4 (1) +2

	От:	IID
	Дата:	14.02.17 14:21
	Оценка:	5 (1) +1

	От:	IID
	Дата:	14.02.17 15:20
	Оценка:	+2

	От:	IID
	Дата:	14.02.17 16:14
	Оценка:	+2

От:	okman	https://searchinform.ru/
Дата:	14.02.17 15:13
Оценка:	+1

От:	Andrew.W Worobow	https://github.com/Worobow
Дата:	10.02.17 18:46
Оценка:

От:	Kernan	https://rsdn.ru/forum/flame.politics/
Дата:	13.02.17 05:48
Оценка:

	От:	vitcs
	Дата:	12.02.17 09:39
	Оценка:

	От:	sin_cos
	Дата:	12.02.17 10:33
	Оценка:

	От:	sin_cos
	Дата:	12.02.17 10:40
	Оценка:

	От:	alpha21264
	Дата:	12.02.17 21:00
	Оценка: