tehát azt mondod, hogy az antivírus biztonsági réseket nyit?
Hát hogyne:
- még egyel több támadható komponens a rendszerben
- amely ráadásul komplex, ezáltal több a hibalehetőség
- privilégiummal rendelkezik, hisz mindenhez hozzá kell férnie
Egyik legjobb target...
erről valami bővebb infó?
Van róla sok. Komolyabb arcok közül tartott erről előadást anno Neel Mehta (ISS X-Force csapattag, IBM által felvásárolt kormányzati támogatással rendelkező hackerek) a Blackhat konferencián "Owning Antivirus: Weaknesses in a Critical Security Component" címmel és Sinan Eren is (volt Immunity al-elnök, NSA-közeli) "Information Operations" címmel, aki egy pentest-nél az AV unpacking kódjában lévő heap túlcsordulást használta ki és rámutatott, hogy mennyivel könnyebb volt exploitálni, mint bármi mást, mert az AV rossz minőségű kódját még csak a DEP sem védte, mivel a Borland régi fordítójával készült, ami futtatható heap-et generált.
plusz akkor te nem használsz semmi ilyen jellegű programot?
Saját gépen nem. Ha valamelyik malware-nél kiváncsi vagyok, hogy az AV vendorok minek nevezték el, akkor feltöltöm a VirusTotal-ra.
ja, és a ritkán leszedett kétes eredetű binárisról hogy derül ki, hogy tiszta-e
Sok módja van. Először is általában a normális programok nincsenek védve mindenféle kínai exe packerekkel. Ha valamelyik binárison ilyet látok (könnyű felismerni, mert belenézve - akár első körben csak Total Commander-ben F3-mal - tömörebb a kód, nagyobb az entrópiája), akkor már gyanús és biztos hogy nem futtatom addig, amíg szét nem szedtem. A nem védett binárisokban, meg látszik (meg ki is lehet olvasni programokkal, pl. PEInfo-val), hogy milyen importjaik vannak, melyik dll-ből milyen függvényeket használnak, stb. Továbbá normális programoknak van .rsrc/description szekciójuk, benne leírva hogy kicsodák-micsodák, ki a fejlesztőjük és legtöbbön manapság már digitális aláírás is van.