В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над персональным компьютером жертвы.
Введение:
Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода.
Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.
Наиболее сложная задача защиты при этом сводится к недопущению проникновения зловредной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0).
Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.
Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над персональным компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе.
Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения зловредной программы в Ring 0.
В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.
Отбор вредоносных программ для тестирования:
Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):
1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
Встречаемость ITW: высокая2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
Встречаемость ITW: высокая3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
Встречаемость ITW: средняя4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
Встречаемость ITW: редкая5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
Встречаемость ITW: высокая6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
Встречаемость ITW: высокая7. \Device\PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
Встречаемость ITW: средняя8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
Встречаемость ITW: средняя9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
Встречаемость ITW: средняя
Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.
Методология сравнительного тестирования:
Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:
1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477.
К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться.
Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).
Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить, проникновения в ядро ОС у них объективно нет шансов.
Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.
Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.
Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей зловредной программы производился возврат системы до сохраненного в начале снимка.
В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.
Шаги проведения тестирования:
1. Создание снимка чистой виртуальной машины (основной).2. Установка тестируемого продукта с максимальными настройками.
3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.
5. Отключение режима автообучения (если такой имеется).
6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.
Результаты сравнительного тестирования:
Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.
Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыт диск на посекторное чтение и произвести запись.
Таблица 1: Результаты сравнительного тестирования HIPS-компонент
Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.
Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.
Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.
Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.
Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.
В данной статье предполагается, что вы понимаете, что делаете и на какой риск идете. Администрация сайта и автор статьи не несут никакой ответственности за вышедшее из строя оборудование в результате действий пользователя.
С выходом драйверов 16.12.1, так же известных как Crimson ReLive , инженеры и программисты AMD решили убрать возможность использования на видеокартах серии RX 400 не оригинальные BIOS"ы. Теперь каждый, кто попробует перепрошить BIOS на своих картах на любой, отличающийся от оригинального, столкнется с тем, что драйвера AMD отказываются работать с видеокартой.
Однако, народные умельцы нашли способ обхода данного ограничения, о чем ниже и пойдет речь. Для отключения проверки BIOS"a понадобиться утилита AMD/ATI Pixel Clock Patcher , которую . Так же для самой прошивки видеокарты нужна утилита ATI Winflash , которую .
Перепрошивка BIOS
Данная статья предполагает, что у вас уже есть готовый rom BIOS"a для видеокарты, который вы хотите перепрошить.
Перед прошивкой лучше будет отключить видеоадаптер в Windows . Для этого нужно открыть "Диспетчер устройств ", раскрыть список "Видеоадаптеры ", и выбрав нужный, нажать на нем правой кнопкой мыши и выбрать пункт "Отключить ".
Затем запускаем с правами администратора ATIWinflash. Нажимаем на кнопку Loaded, выбираем нужный rom-файл BIOS"a.
Выбрав файл запускаем процедуру перепрошивки кнопкой Program.
Ждем завершения процедуры перепрошивки. Это может длиться несколько минут. Так же, бывает, что компьютер зависает - это может возникнуть из-за того, что видеокарта не была отключена через Диспетчер устройств.
По завершению появится сообщение о успешной перепрошивке.
Затем, после нажатия кнопки "OK" появится предложение о перезагрузке, от которого нужно отказаться .
Отключаем проверку BIOS"a видеокарты
Запускаем AMD/ATI Pixel Clock Patcher. Убеждаемся, что в появившемся окошке программы присутствует строка BIOS signature check: found, и на вопрос "Patch found values" отвечаем нажатием кнопки "Да".
Программа начнет свою работу, может показаться, что на этот момент она закрылась. На самом деле нужно подождать появления сообщения об успешном патче и подписи драйвера.
После появления данного окна можно смело перезагружаться и пользоваться видеокартой с прошитым пользовательским BIOS"ом и новейшими драйверами AMD.
Yandex.Store (Яндекс сторе) - это официальный магазин приложений Android от компании Яндекс. Здесь вы найдете совершенно все имеющиеся игры и мобильные программы, которые разработаны специально для вашего "зеленого человечка". Отличная, ничем не уступающая своему главному конкуренту, альтернатива Плей Маркету.
Театр начинается с вешалки, а Yandex.Store начинается с меню. Когда пользователь запускает приложение, он видит главную его страницу под названием Интересное. Другими словами, это те игры и программы, которые особенно популярны среди владельцев смартфонов и планшетов на базе Android. Для человека, в первый раз заглянувшего в Яндекс магазин действительно будет интересно рассмотреть данную страницу, потому что большинство продуктов из этого списка входят в разряд обязательных к установке. И, если у вас новое устройство с базовым уровнем установленных программ, то обзавестись нужным вы сможете практически в несколько нажатий. Не отходя далеко, вы увидите рядом еще две вкладки: Приложения и игры. В принципе, они просто служат для сортировки, чтобы не смешивать развлечения и полезные инструменты, но такое разделение довольно удобно, оно значительно облегчает нам поиск. Также легко можно найти продукт по названию и категории.
Достоинства Yandex.Store:
Кроме всего вышеперечисленного, следует отметить еще одну важную функцию мобильной программы: она способна выступать в качестве неплохого менеджера приложений. Вы сможете просматривать и редактировать список всего, что установлено на вашем устройстве, причем с возможностью обновлять программы до последних версий. И как после этого не скачать Яндекс сторе на свой гаджет? Быть может кто-то назовет инструмент альтернативой конкуренту-маркету, а кто-то посчитает магазин от российского Яндекса единственным в своем роде. Выбор остается за пользователем.
Все владельцы мобильных устройств, работающих под управлением ОС Андроид, привыкли к магазину приложений Google Play. Теперь у них есть возможность опробовать альтернативный вариант. В настоящее время Яндекс Store становится все более популярным.
Характеристика
На данный момент Google Play является безусловным гигантом на рынке мобильных приложений. Однако создатели Яндекс Store все же решили, что смогут конкурировать с ним. В этом магазине размещено множество приложений, как от российских, так и от иностранных разработчиков. На данный момент в Яндекс Store содержится несколько десятков тысяч приложений и игр.
Для сравнения количество приложений в Google Play уже давно превышает отметку в 700 тысяч. Разница очевидна, однако Яндекс Store появился относительно недавно, и у него, можно сказать, еще все впереди. Оплата покупок может осуществляться посредством кредитной карты, приобретенные приложения загружаются очень быстро.
Основные плюсы
Имеет ли Яндекс Store какие-то преимущества перед Google Play? Да, безусловно, имеет. Из-за большого количества приложений в Google Play, некоторые из них могут содержать вредоносное программное обеспечение. С Яндекс Store дела обстоят иначе. Прежде чем попасть в этот магазин, приложения в обязательном порядке проходят тщательную проверку.
Таким образом, скачивая приложения в Яндекс Store, вы можете быть полностью уверены в том, что они не содержат никакого вредоносного ПО, включая вирусы, рекламу, хакерский софт и тому подобное.
