Программы

Уязвимости в системе контроля флешек ESET NOD32 Antivirus

Совсем недавно я исследовал надежность Контроля устройств в антивирусных решений от Касперского , в статье – . Там он оказался довольно дырявым по всем позициям, во всяком с рассматриваемыми контроллерами от SMI . А дальше копать не слишком захотелось, ибо все узкие места уже были разобраны.

С антивирусом от ESET всё оказалось куда поинтереснее, о чём я вам и расскажу. В статье будем во многом сравнивать изученный ранее Касперыч с NOD32 Antivirus . Цель этого действа в том, чтобы вы почувствовали заметную разницу, которую во всяком случаи я ощутил.

О КОНТРОЛЕ УСТРОЙСТВ

Функционала здесь явно поменьше чем у Касперского , но то что есть работает заметно лучше чем у конкурента.

Из основных недостатков это невозможность блокировки по шине и меньший список самих устройств подлежащих контролю:
– Дисковой накопитель
– CD/DVD
– USB-принтер
– FireWire-хранилище
– Устройство Bluetooth
– Устройство чтения смарт-карт
– Устройство обработки изображений
– Модем
– LPT/COM-порт
– Переносное устройство
– Все типы устройство – данный пункт блокирует всё из перечня выше.

СПОСОБЫ ОБХОДА ЗАЩИТЫ

В ходе опытов с НОДом были проверены контроллеры от таких фирм как:
– Alcor
– Innostor
– Phison
– Skymedi
– SMI

И только с последними двумя были достигнуты хоть какие-то успехи.

Но если говорить про так называемый белый список флешек, то здесь всё ещё проще чем у Касперского , т.к. задействуется меньшее число переменных. А следовательно и неподходящих моделей контроллеров будет куда меньше.

Список методов:

1] ПОДМЕНА ДАННЫХ ФЛЕШКИ, ЧТОБЫ ОНИ СООТВЕТСТВОВАЛИ БЕЛОМУ СПИСКУ.
2] ПРОШИВКА В FLOPPY-УСТРОЙСТВО.
3] ИСПОЛЬЗОВАНИЕ ПРЕДЗАГРУЗКИ ФАЙЛОВ ЧЕРЕЗ ПРОШИВАЛЬЩИК.

В общем способы те же самые что и у Касперского , только их воплощение сильно различается.

БЕЛЫЙ СПИСОК УСТРОЙСТВ

В отличии от того же Касперского , который проверяет аж целых 4 параметра (VEN , DEV , SN , REV ), NOD32 ограничивается только тремя:
– Производитель
– Модель
– Серийный номер

При этом первые два из них, это совсем не те VEN и DEV , которые использует Каспер . Т.е. это не то что можно найти в знакомой нам строке Путь к экземпляру устройства .
USBSTOR\DISK&VEN_USBDEV&PROD_MYPENDRIVE&REV_1101\AA000000000012311&0

Из этой строки с NOD32 только общий серийник и не более. Ревизия ни в какой из двух форм вообще не представлена.

Если обратиться к утилите для опроса контроллеров ChipGenius , то она трактует эти параметры следующим образом:

Device Vendor: SMI Corporation
Device Name: USB DISK
Device Revision: 1101

Manufacturer: USBDEV
Product Model: MyPendrive
Product Revision: 1101

Из чего можно сделать вывод об используемыми антивирусами переменными:
NOD32 : Device Vendor и Device Name
KAV : Manufacturer, Product Model и Product Revision

Смена данных для контроллера SMI SM3261AB будет выглядеть, примерно, таким образом, как это показано на скриншоте.

Т.е. редактированию подвергаются следующие строки:
– Vendor Str
– Product Str
– Serial Mask

FLOPPY-УСТРОЙСТВО

Дискетница это самое слабое место в продукции от ESET и именно эту карту мы в дальнейшем разыграем для достижения наших целей. Но пока поговорим о простой модификации флешки в Floppy -устройство.

Дела обстоят так, что NOD32 в принципе не умеет блокировать дискеты, так что можно смело шить флешку в FLOPPY -устройство и юзать её сколько хочешь.

Скринить я здесь это не буду, если особо надо можете посмотреть в статье про Касперского или пролистать чуть ниже, где в одной из схем будет задействован FLOPPY -режим как промежуточный.

КАК ВОСПОЛЬЗОВАТЬСЯ ФУНКЦИЕЙ PRELOAD

Здесь всё зависит от модели контроллера, так с Skymedi SK6221 всё происходит гладко и без каких либо запинок. При работе со Skymedi главное не создавать CDROM -раздел на флешке, иначе производственная утилита перестанет распознавать его из под компьютера с блокированными устройствами через NOD32 .

Для этого в настройках Skymedi Production Tool нужно активировать опцию Enable PreCopy и указать папку, которую следует предзагрузить на диск.

При перепрошивке, предыдущие данные будут терятся, это вам не дырявое корыто от Касперского .

У SMI -шек, проявившими свою безотказность на эксперименте с Касперским , использовать в лоб опцией PRELOAD не получится. Дело в том, что флешку прошивальщик упорно отказывается видеть, даже с установленным служебным драйвером SMI Factory Driver .

Но можно обойти это ограничение, с помощью предварительно созданного FLOPPY -раздела, который не способен блокировать ESET NOD32 . Т.е. ДОМА создаём FLOPPY -раздел, закатываем на него архив с производственной утилитой, далее на РАБОТЕ можно уже сливать файлы.

На всякий случай замечю, что уместить SMIMPTool вполне реально на дискете 1,38МБ . Сам проводил эксперимент засунул SMI MPTool 2015 года на базе оболочки sm32Xtest_V36-7.exe в RAR -архив объёмом 1.13МБ . Правда предварительно пришлось удалить все прошивки кроме тех что используются для моей флешки, прочие лишние файлы и урезать до минимума служебный файл ForceFlash.SET . Да и в конце концов, можно и в два захода программу принести, порезав архив на две части.

Чуть подробнее расскажу, для тех кто не в теме, какие настройки и в какой последовательности нужны.

ДОМА , делаем по первому скриншоту, т.е на первой вкладке Main Flow Setting , активируем:
– Pretest
– Write CID
– Download ISP
– Format и FAT32

На вкладке Multi-lun Setting :
– Enable Floppy Support
– Floppy Format

Прошиваем и получаем флеш-диск с двумя разделами: обычный объёмный флеш-раздел и дисковод гибких дисков (floppy).

Флешку, как устройство, в таком состоянии не способен блокировать для прошивальщиков антивирус NOD32 . Хотя можно свободно писать-удалять на FLOPPY -область, но к флеш-разделу мы по прежнему не может обратиться стандартными Windows -средствами.

Пока на флешке имеется флоппи-раздел, мы можем сделать в SMI MPTool с ней, то что захотим. Т.к. перешиваться одновременно с флоппиком и PRELOAD -опцией флешка у меня категорически отказывалась, то у нас имеется всего одна попытка на РАБОТЕ слить файлы. В дальнейшем ДОМА , можно или вернуть флешку в первоначальный вид или подготовить её ко второму заходу.

На РАБОТЕ подключаем флешку, деактивируем параметры отвечающие на Floppy -устройство и включаем Preload -опцию, как это показано на скрине ниже.