Уязвимости в системе контроля флешек ESET NOD32 Antivirus
Совсем недавно я исследовал надежность Контроля устройств в антивирусных решений от Касперского , в статье – . Там он оказался довольно дырявым по всем позициям, во всяком с рассматриваемыми контроллерами от SMI . А дальше копать не слишком захотелось, ибо все узкие места уже были разобраны.
С антивирусом от ESET всё оказалось куда поинтереснее, о чём я вам и расскажу. В статье будем во многом сравнивать изученный ранее Касперыч с NOD32 Antivirus . Цель этого действа в том, чтобы вы почувствовали заметную разницу, которую во всяком случаи я ощутил.
О КОНТРОЛЕ УСТРОЙСТВ
Функционала здесь явно поменьше чем у Касперского , но то что есть работает заметно лучше чем у конкурента.
Из основных недостатков это невозможность блокировки по шине и меньший список самих устройств подлежащих контролю:
– Дисковой накопитель
– CD/DVD
– USB-принтер
– FireWire-хранилище
– Устройство Bluetooth
– Устройство чтения смарт-карт
– Устройство обработки изображений
– Модем
– LPT/COM-порт
– Переносное устройство
– Все типы устройство
– данный пункт блокирует всё из перечня выше.
СПОСОБЫ ОБХОДА ЗАЩИТЫ
В ходе опытов с НОДом были проверены контроллеры от таких фирм как:
– Alcor
– Innostor
– Phison
– Skymedi
– SMI
И только с последними двумя были достигнуты хоть какие-то успехи.
Но если говорить про так называемый белый список флешек, то здесь всё ещё проще чем у Касперского , т.к. задействуется меньшее число переменных. А следовательно и неподходящих моделей контроллеров будет куда меньше.
Список методов:
1] ПОДМЕНА ДАННЫХ ФЛЕШКИ, ЧТОБЫ ОНИ СООТВЕТСТВОВАЛИ БЕЛОМУ СПИСКУ.
2] ПРОШИВКА В FLOPPY-УСТРОЙСТВО.
3] ИСПОЛЬЗОВАНИЕ ПРЕДЗАГРУЗКИ ФАЙЛОВ ЧЕРЕЗ ПРОШИВАЛЬЩИК.
В общем способы те же самые что и у Касперского , только их воплощение сильно различается.
БЕЛЫЙ СПИСОК УСТРОЙСТВ
В отличии от того же Касперского
, который проверяет аж целых 4 параметра (VEN
, DEV
, SN
, REV
), NOD32
ограничивается только тремя:
– Производитель
– Модель
– Серийный номер
При этом первые два из них, это совсем не те VEN
и DEV
, которые использует Каспер
. Т.е. это не то что можно найти в знакомой нам строке Путь к экземпляру устройства
.
USBSTOR\DISK&VEN_USBDEV&PROD_MYPENDRIVE&REV_1101\AA000000000012311&0
Из этой строки с NOD32 только общий серийник и не более. Ревизия ни в какой из двух форм вообще не представлена.
Если обратиться к утилите для опроса контроллеров ChipGenius , то она трактует эти параметры следующим образом:
Device Vendor: SMI Corporation
Device Name: USB DISK
Device Revision: 1101Manufacturer: USBDEV
Product Model: MyPendrive
Product Revision: 1101
Из чего можно сделать вывод об используемыми антивирусами переменными:
NOD32
: Device Vendor и Device Name
KAV
: Manufacturer, Product Model и Product Revision
Смена данных для контроллера SMI SM3261AB будет выглядеть, примерно, таким образом, как это показано на скриншоте.
Т.е. редактированию подвергаются следующие строки:
– Vendor Str
– Product Str
– Serial Mask
FLOPPY-УСТРОЙСТВО
Дискетница это самое слабое место в продукции от ESET и именно эту карту мы в дальнейшем разыграем для достижения наших целей. Но пока поговорим о простой модификации флешки в Floppy -устройство.
Дела обстоят так, что NOD32 в принципе не умеет блокировать дискеты, так что можно смело шить флешку в FLOPPY -устройство и юзать её сколько хочешь.
Скринить я здесь это не буду, если особо надо можете посмотреть в статье про Касперского или пролистать чуть ниже, где в одной из схем будет задействован FLOPPY -режим как промежуточный.
КАК ВОСПОЛЬЗОВАТЬСЯ ФУНКЦИЕЙ PRELOAD
Здесь всё зависит от модели контроллера, так с Skymedi SK6221 всё происходит гладко и без каких либо запинок. При работе со Skymedi главное не создавать CDROM -раздел на флешке, иначе производственная утилита перестанет распознавать его из под компьютера с блокированными устройствами через NOD32 .
Для этого в настройках Skymedi Production Tool нужно активировать опцию Enable PreCopy и указать папку, которую следует предзагрузить на диск.
При перепрошивке, предыдущие данные будут терятся, это вам не дырявое корыто от Касперского .
У SMI -шек, проявившими свою безотказность на эксперименте с Касперским , использовать в лоб опцией PRELOAD не получится. Дело в том, что флешку прошивальщик упорно отказывается видеть, даже с установленным служебным драйвером SMI Factory Driver .
Но можно обойти это ограничение, с помощью предварительно созданного FLOPPY -раздела, который не способен блокировать ESET NOD32 . Т.е. ДОМА создаём FLOPPY -раздел, закатываем на него архив с производственной утилитой, далее на РАБОТЕ можно уже сливать файлы.
На всякий случай замечю, что уместить SMIMPTool вполне реально на дискете 1,38МБ . Сам проводил эксперимент засунул SMI MPTool 2015 года на базе оболочки sm32Xtest_V36-7.exe в RAR -архив объёмом 1.13МБ . Правда предварительно пришлось удалить все прошивки кроме тех что используются для моей флешки, прочие лишние файлы и урезать до минимума служебный файл ForceFlash.SET . Да и в конце концов, можно и в два захода программу принести, порезав архив на две части.
Чуть подробнее расскажу, для тех кто не в теме, какие настройки и в какой последовательности нужны.
ДОМА
, делаем по первому скриншоту, т.е на первой вкладке Main Flow Setting
, активируем:
– Pretest
– Write CID
– Download ISP
– Format
и FAT32
На вкладке Multi-lun Setting
:
– Enable Floppy Support
– Floppy Format
Прошиваем и получаем флеш-диск с двумя разделами: обычный объёмный флеш-раздел и дисковод гибких дисков (floppy).
Флешку, как устройство, в таком состоянии не способен блокировать для прошивальщиков антивирус NOD32 . Хотя можно свободно писать-удалять на FLOPPY -область, но к флеш-разделу мы по прежнему не может обратиться стандартными Windows -средствами.
Пока на флешке имеется флоппи-раздел, мы можем сделать в SMI MPTool с ней, то что захотим. Т.к. перешиваться одновременно с флоппиком и PRELOAD -опцией флешка у меня категорически отказывалась, то у нас имеется всего одна попытка на РАБОТЕ слить файлы. В дальнейшем ДОМА , можно или вернуть флешку в первоначальный вид или подготовить её ко второму заходу.
На РАБОТЕ подключаем флешку, деактивируем параметры отвечающие на Floppy -устройство и включаем Preload -опцию, как это показано на скрине ниже.
SMI MPTool делает своё дело, мы же наслаждаемся результатом.
ЗАКЛЮЧЕНИЕ
Может завтра данные инструкции и не помогут одолеть NOD -антивирус, но во-первых до завтра надо ещё дожить, а во вторых знания не бывают лишними.
Знайте вы всегда можете бесплатно проконсультироваться со мной на .