Fu'ad
23-11-2009, 16:27
السلام عليكم...
مفاد الخبر أن خبراء عالميين من فريق Offensive Security قد نجحوا في تحدي 6 برامج حماية تعتبر من الأكثر مبيعا حول العالم و أقواها. بتاريخ 26-10-2009 كان التحدي بأن يقوموا بإيقاف عمل برامج الحماية في مدة تتراوح بين دقائق وأقل من ساعة وقد نجحوا في ذلك.
وكان الترتيب كالآتي: ( الزمن المستغرق لتتم عملية إيقاف برنامج الحماية )
McAfee في 1دقيقة و 56 ثانية ( الأقل مقاومة )
Norton في 4 دقائق
GDATA في 5 دقائق
AVG في 15 دقيقة
NOD32 في 32 دقيقة
Kaspersky في 40 دقيقة ( الأكثر صمودا )
وقد تم التصريح بأن التقنية المنفذة من قبل المشاركين في فريق Offensive Security لن تكشف لعامة للجمهور, ولكن الهدف من هذا التحدي هو إثبات ضعف هذه البرامج.
بينما أنا قمت ببحث موسع واستطعت أن أحصل على بعض المعلومات المفيدة.
وفيما يلي رؤوس الأقلام بما قام به الفريق للتغلب على برامج الحماية:
1- الأهداف و الشروط:
العثور على نقاط الضعف في برامج الحماية ، و إظهار كيف تمكن الفريق من تعطيل كل برنامج ( طبعا لمطورين برامج الحماية ).
استخدام معايير المعهد الأوروبي لأبحاث برامج مكافحة فيروسات الحاسوب ( EICAR ) لإثبات أن التعطيل ناجح.
◦ لا يجب استخدام البرامج الخبيثة !
◦ لا يجب استخدام للـ Reverse Engineering ( الهندسة العكسية - آلية تعنى باكتشاف المبادئ التقنية لنظام من خلال تحليل بنيته، و وظيفته وطريقة عمله. غالبا ما تتم هذه العملية بتحليل نظام ما (آلة ميكانيكية، برنامج حاسوبي، قطعة إلكترونية) إلى أجزاء أو محاولة إعادة تصنيع نظام مشابه له يقوم بنفس الوظيفة التي يقوم بها النظام الأصلي ).
◦ لا يجب عمل Restart ( إعادة تشغيل ) لجهاز الحاسوب.
◦ تم الاختبار على 6 برامج حماية : McAfee, Norton, G-DATA, Kaspersky, AVG, ESET
________________________
2- النتائج : ( قمت بكتابتها باللغة الإنجليزية لأن ترجمة بعض المصطلحات لا تفي بالغرض )
أولا Mcafee :
Disabled in 2 minutes
1.Gain SYSTEM privileges (“at” command)
2.Stop the service --> net stop
________________________
ثانيا : Norton
Virus scan done in kernel
Disabled by removing signatures
1.Create a RW shared folder for the “virusdefs” directory
2.Mount \\127.0.0.1\virusdefsas SYSTEM, and simply remove all signatures
________________________
ثالثا : GDATA
Disabled by removing driver
1.Open the Device Manager then show all non-PNP devices
2.Stop the main G-DATA driver and EICAR test is no longer detected
________________________
رابعا : AVG
Disabled through \Device\PhysicalMemory
1.Similarly, in-memory overwrite of the user-land scanning component
2.Detection no longer works
________________________
خامسا : NOD32
Disabled through \Device\PhysicalMemory (an XP-only trick, wouldn’t work on Vista/7)
1.Fill every page of ekrn.exe with nulls
2.Process crashed, detection disabled
POC (https://en.wikipedia.org/wiki/Proof_of_concept)code developed for this purpose
سادسا و أخيرا : Kaspersky
Disabled through \Device\PhysicalMemory
1.Trash all code pages of avzkrn, procmon, hips (user-land DLLs)
2.Detection no longer works
________________________
في النهاية أرجو أن أكون قد وفقت في إيصال المعلومة بشكل مفيد.
الخبر من موقع فرنسي وقد قمت بترجمته إلى اللغة الإنجليزية على هذا الرابط (https://translate.google.com/translate?js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fwww.esiea.fr%2FL-ESIEA-organise-l-iAWACS-a-Laval&sl=auto&tl=en)
رأيي الشخصي: إن مثل هذه الإختبارات ضرورية لشركات الحماية لتطوير برامجها والتحسين من حمايتها قدر المستطاع.
مع فائق الاحترام...
مفاد الخبر أن خبراء عالميين من فريق Offensive Security قد نجحوا في تحدي 6 برامج حماية تعتبر من الأكثر مبيعا حول العالم و أقواها. بتاريخ 26-10-2009 كان التحدي بأن يقوموا بإيقاف عمل برامج الحماية في مدة تتراوح بين دقائق وأقل من ساعة وقد نجحوا في ذلك.
وكان الترتيب كالآتي: ( الزمن المستغرق لتتم عملية إيقاف برنامج الحماية )
McAfee في 1دقيقة و 56 ثانية ( الأقل مقاومة )
Norton في 4 دقائق
GDATA في 5 دقائق
AVG في 15 دقيقة
NOD32 في 32 دقيقة
Kaspersky في 40 دقيقة ( الأكثر صمودا )
وقد تم التصريح بأن التقنية المنفذة من قبل المشاركين في فريق Offensive Security لن تكشف لعامة للجمهور, ولكن الهدف من هذا التحدي هو إثبات ضعف هذه البرامج.
بينما أنا قمت ببحث موسع واستطعت أن أحصل على بعض المعلومات المفيدة.
وفيما يلي رؤوس الأقلام بما قام به الفريق للتغلب على برامج الحماية:
1- الأهداف و الشروط:
العثور على نقاط الضعف في برامج الحماية ، و إظهار كيف تمكن الفريق من تعطيل كل برنامج ( طبعا لمطورين برامج الحماية ).
استخدام معايير المعهد الأوروبي لأبحاث برامج مكافحة فيروسات الحاسوب ( EICAR ) لإثبات أن التعطيل ناجح.
◦ لا يجب استخدام البرامج الخبيثة !
◦ لا يجب استخدام للـ Reverse Engineering ( الهندسة العكسية - آلية تعنى باكتشاف المبادئ التقنية لنظام من خلال تحليل بنيته، و وظيفته وطريقة عمله. غالبا ما تتم هذه العملية بتحليل نظام ما (آلة ميكانيكية، برنامج حاسوبي، قطعة إلكترونية) إلى أجزاء أو محاولة إعادة تصنيع نظام مشابه له يقوم بنفس الوظيفة التي يقوم بها النظام الأصلي ).
◦ لا يجب عمل Restart ( إعادة تشغيل ) لجهاز الحاسوب.
◦ تم الاختبار على 6 برامج حماية : McAfee, Norton, G-DATA, Kaspersky, AVG, ESET
________________________
2- النتائج : ( قمت بكتابتها باللغة الإنجليزية لأن ترجمة بعض المصطلحات لا تفي بالغرض )
أولا Mcafee :
Disabled in 2 minutes
1.Gain SYSTEM privileges (“at” command)
2.Stop the service --> net stop
________________________
ثانيا : Norton
Virus scan done in kernel
Disabled by removing signatures
1.Create a RW shared folder for the “virusdefs” directory
2.Mount \\127.0.0.1\virusdefsas SYSTEM, and simply remove all signatures
________________________
ثالثا : GDATA
Disabled by removing driver
1.Open the Device Manager then show all non-PNP devices
2.Stop the main G-DATA driver and EICAR test is no longer detected
________________________
رابعا : AVG
Disabled through \Device\PhysicalMemory
1.Similarly, in-memory overwrite of the user-land scanning component
2.Detection no longer works
________________________
خامسا : NOD32
Disabled through \Device\PhysicalMemory (an XP-only trick, wouldn’t work on Vista/7)
1.Fill every page of ekrn.exe with nulls
2.Process crashed, detection disabled
POC (https://en.wikipedia.org/wiki/Proof_of_concept)code developed for this purpose
سادسا و أخيرا : Kaspersky
Disabled through \Device\PhysicalMemory
1.Trash all code pages of avzkrn, procmon, hips (user-land DLLs)
2.Detection no longer works
________________________
في النهاية أرجو أن أكون قد وفقت في إيصال المعلومة بشكل مفيد.
الخبر من موقع فرنسي وقد قمت بترجمته إلى اللغة الإنجليزية على هذا الرابط (https://translate.google.com/translate?js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fwww.esiea.fr%2FL-ESIEA-organise-l-iAWACS-a-Laval&sl=auto&tl=en)
رأيي الشخصي: إن مثل هذه الإختبارات ضرورية لشركات الحماية لتطوير برامجها والتحسين من حمايتها قدر المستطاع.
مع فائق الاحترام...