Уразливості в системі контролю флешок ESET NOD32 Antivirus
Зовсім недавно я досліджував надійність Контроль пристроївв антивірусних рішень від Касперського, у статті - . Там він виявився досить дірявим за всіма позиціями, у всякому з аналізованими контролерами від SMI. А далі копати не надто захотілося, бо всі вузькі місця вже були розібрані.
З антивірусом від ESETвсе виявилося куди цікавіше, про що я вам розповім. У статті багато в чому порівнюватимемо вивчений раніше Касперичз NOD32 Antivirus. Мета цього дійства в тому, щоб ви відчули помітну різницю, яку я відчув у будь-якому випадку.
ПРО КОНТРОЛЬ ПРИСТРІЙ
Функціонала тут явно менше ніж у Касперського, Але те, що є працює помітно краще ніж у конкурента.
З основних недоліків це неможливість блокування по шині та менший список самих пристроїв, що підлягають контролю:
– Дисковий накопичувач
– CD/DVD
– USB-принтер
– FireWire-сховище
– Пристрій Bluetooth
– Пристрій для читання смарт-карт
– Пристрій обробки зображень
– Модем
– LPT/COM-порт
– Переносний пристрій
– Всі типи пристрої – цей пункт блокує все зі списку вище.
СПОСОБИ ОБХОДУ ЗАХИСТУ
У ході дослідів з НОД були перевірені контролери від таких фірм як:
– Alcor
– Innostor
– Phison
– Skymedi
– SMI
І тільки з останніми двома було досягнуто хоч якихось успіхів.
Але якщо говорити про так званий білий список флешок, то тут все ще простіше, ніж у Касперського, т.к. задіюється менше змінних. А отже і невідповідних моделей контролерів буде набагато менше.
Список методів:
1] ПІДМІНА ДАНИХ ФЛЕШКИ, ЩОБ ВОНИ ВІДПОВІДАЛИ БІЛОМУ СПИСКУ.
2] ПРОШИВКА У FLOPPY-ПРИСТРІЙ.
3] ВИКОРИСТАННЯ ПЕРЕДЗАВАНТАЖЕННЯ ФАЙЛІВ ЧЕРЕЗ ПРОШИВАЛЬНИК.
Загалом способи ті самі що й у Касперського, Тільки їх здійснення сильно відрізняється.
БІЛИЙ СПИСОК ПРИСТРІЙ
На відміну від того ж Касперського, який перевіряє аж цілих 4 параметри ( VEN, DEV, SN, REV), NOD32обмежується лише трьома:
– Виробник
– Модель
– Серійний номер
При цьому перші два з них, це зовсім не ті VENі DEV, які використовує Каспер. Тобто. це не те що можна знайти у знайомому нам рядку Шлях до екземпляра пристрою.
USBSTOR\DISK&VEN_USBDEV&PROD_MYPENDRIVE&REV_1101\AA000000000012311&0
З цього рядка з NOD32тільки загальний серійник і трохи більше. Ревізія в жодній із двох форм взагалі не представлена.
Якщо звернутись до утиліти для опитування контролерів ChipGenius, вона трактує ці параметри так:
Device Vendor: SMI Corporation
Device Name: USB DISK
Device Revision: 1101Manufacturer: USBDEV
Product Model: MyPendrive
Product Revision: 1101
З чого можна дійти невтішного висновку про використовувані антивірусами змінними:
NOD32: Device Vendor та Device Name
KAV: Manufacturer, Product Model та Product Revision
Зміна даних для контролера SMI SM3261ABбуде виглядати приблизно таким чином, як це показано на скріншоті.
Тобто. редагування піддаються наступні рядки:
– Vendor Str
– Product Str
– Serial Mask
FLOPPY-ПРИСТРІЙ
Дискетниця це найслабше місце у продукції від ESETі саме цю карту ми надалі розіграємо задля досягнення наших цілей. Але поки поговоримо про просту модифікацію флешки в Floppy-пристрій.
Справи так, що NOD32в принципі не вміє блокувати дискети, так що можна сміливо шити флешку в FLOPPY-Пристрій і юзати її скільки хочеш.
Скринити я тут це не буду, якщо особливо треба можете подивитися у статті про Касперськогоабо перегорнути трохи нижче, де в одній із схем буде задіяно FLOPPY-режим як проміжний.
ЯК КОРИСТУВАТИ ФУНКЦІЮ PRELOAD
Тут все залежить від моделі контролера, так з Skymedi SK6221все відбувається гладко і без запинок. При роботі зі Skymediголовне не створювати CDROM-розділ на флешці, інакше виробнича утиліта перестане розпізнавати його з-під комп'ютера з блокованими пристроями через NOD32.
Для цього в налаштуваннях Skymedi Production Toolпотрібно активувати опцію Enable PreCopyта вказати папку, яку слід завантажити на диск.
При перепрошивці, попередні дані будуть губляться, це вам не діряве корито від Касперського.
У SMI-шек, які виявили свою безвідмовність на експерименті з Касперським, використовувати в лоб опцією PRELOADне вийде. Справа в тому, що флешку прошивальник наполегливо відмовляється бачити, навіть із встановленим службовим драйвером SMI Factory Driver.
Але можна обійти це обмеження, за допомогою попередньо створеного FLOPPY-розділу, який не здатний блокувати ESET NOD32. Тобто. БУДИНОКстворюємо FLOPPY-розділ, закочуємо на нього архів з виробничою утилітою, далі на РОБОТЕможна зливати файли.
Про всяк випадок зауважу, що вмістити SMIMPToolцілком реально на дискеті 1,38МБ. Сам проводив експеримент засунув SMI MPTool 2015 року на базі оболонки sm32Xtest_V36-7.exeв RAR-архів обсягом 1.13МБ. Правда попередньо довелося видалити всі прошивки крім тих, що використовуються для моєї флешки, інші зайві файли і урізати до мінімуму службовий файл ForceFlash.SET. Та й зрештою, можна і в два заходи програму принести, порізавши архів на дві частини.
Трохи докладніше розповім, для тих, хто не в темі, які налаштування та в якій послідовності потрібні.
БУДИНОК, робимо по першому скріншоту, тобто на першій вкладці Main Flow Setting, активуємо:
– Pretest
– Write CID
– Download ISP
– Форматі FAT32
На вкладці Multi-lun Setting:
– Enable Floppy Support
– Floppy Format
Прошиваємо та отримуємо флеш-диск із двома розділами: звичайний об'ємний флеш-розділ та дисковод гнучких дисків (floppy).
Флешку, як пристрій, у такому стані не здатний блокувати для прошивальників антивірус NOD32. Хоча можна вільно писати-видаляти на FLOPPY-область, але до флеш-розділу ми як і раніше не може звернутися стандартними Windows-Кошти.
Поки на флешці є флоппі-розділ, ми можемо зробити в SMI MPToolз нею, що захочемо. Т.к. перешиватися одночасно з флоппіком та PRELOAD-опцією флешка у мене категорично відмовлялася, то у нас є лише одна спроба на РОБОТЕзлити файли. Надалі БУДИНОК, можна або повернути флешку в початковий вигляд або підготувати її до другого заходу.
на РОБОТЕпідключаємо флешку, деактивуємо параметри, що відповідають на Floppy-пристрій та включаємо Preload-опцію, як це показано на скрині нижче.
SMI MPToolробить свою справу, ми ж насолоджуємось результатом.
ВИСНОВОК
Може завтра ці інструкції і не допоможуть здолати NOD-антивірус, але по-перше до завтра треба ще дожити, а по-друге знання не бувають зайвими.
Знайте, ви завжди можете безкоштовно проконсультуватися зі мною на .