Програми

Уразливості в системі контролю флешок ESET NOD32 Antivirus

Зовсім недавно я досліджував надійність Контроль пристроївв антивірусних рішень від Касперського, у статті - . Там він виявився досить дірявим за всіма позиціями, у всякому з аналізованими контролерами від SMI. А далі копати не надто захотілося, бо всі вузькі місця вже були розібрані.

З антивірусом від ESETвсе виявилося куди цікавіше, про що я вам розповім. У статті багато в чому порівнюватимемо вивчений раніше Касперичз NOD32 Antivirus. Мета цього дійства в тому, щоб ви відчули помітну різницю, яку я відчув у будь-якому випадку.

ПРО КОНТРОЛЬ ПРИСТРІЙ

Функціонала тут явно менше ніж у Касперського, Але те, що є працює помітно краще ніж у конкурента.

З основних недоліків це неможливість блокування по шині та менший список самих пристроїв, що підлягають контролю:
– Дисковий накопичувач
– CD/DVD
– USB-принтер
– FireWire-сховище
– Пристрій Bluetooth
– Пристрій для читання смарт-карт
– Пристрій обробки зображень
– Модем
– LPT/COM-порт
– Переносний пристрій
– Всі типи пристрої – цей пункт блокує все зі списку вище.

СПОСОБИ ОБХОДУ ЗАХИСТУ

У ході дослідів з НОД були перевірені контролери від таких фірм як:
– Alcor
– Innostor
– Phison
– Skymedi
– SMI

І тільки з останніми двома було досягнуто хоч якихось успіхів.

Але якщо говорити про так званий білий список флешок, то тут все ще простіше, ніж у Касперського, т.к. задіюється менше змінних. А отже і невідповідних моделей контролерів буде набагато менше.

Список методів:

1] ПІДМІНА ДАНИХ ФЛЕШКИ, ЩОБ ВОНИ ВІДПОВІДАЛИ БІЛОМУ СПИСКУ.
2] ПРОШИВКА У FLOPPY-ПРИСТРІЙ.
3] ВИКОРИСТАННЯ ПЕРЕДЗАВАНТАЖЕННЯ ФАЙЛІВ ЧЕРЕЗ ПРОШИВАЛЬНИК.

Загалом способи ті самі що й у Касперського, Тільки їх здійснення сильно відрізняється.

БІЛИЙ СПИСОК ПРИСТРІЙ

На відміну від того ж Касперського, який перевіряє аж цілих 4 параметри ( VEN, DEV, SN, REV), NOD32обмежується лише трьома:
– Виробник
– Модель
– Серійний номер

При цьому перші два з них, це зовсім не ті VENі DEV, які використовує Каспер. Тобто. це не те що можна знайти у знайомому нам рядку Шлях до екземпляра пристрою.
USBSTOR\DISK&VEN_USBDEV&PROD_MYPENDRIVE&REV_1101\AA000000000012311&0

З цього рядка з NOD32тільки загальний серійник і трохи більше. Ревізія в жодній із двох форм взагалі не представлена.

Якщо звернутись до утиліти для опитування контролерів ChipGenius, вона трактує ці параметри так:

Device Vendor: SMI Corporation
Device Name: USB DISK
Device Revision: 1101

Manufacturer: USBDEV
Product Model: MyPendrive
Product Revision: 1101

З чого можна дійти невтішного висновку про використовувані антивірусами змінними:
NOD32: Device Vendor та Device Name
KAV: Manufacturer, Product Model та Product Revision

Зміна даних для контролера SMI SM3261ABбуде виглядати приблизно таким чином, як це показано на скріншоті.

Тобто. редагування піддаються наступні рядки:
– Vendor Str
– Product Str
– Serial Mask

FLOPPY-ПРИСТРІЙ

Дискетниця це найслабше місце у продукції від ESETі саме цю карту ми надалі розіграємо задля досягнення наших цілей. Але поки поговоримо про просту модифікацію флешки в Floppy-пристрій.

Справи так, що NOD32в принципі не вміє блокувати дискети, так що можна сміливо шити флешку в FLOPPY-Пристрій і юзати її скільки хочеш.

Скринити я тут це не буду, якщо особливо треба можете подивитися у статті про Касперськогоабо перегорнути трохи нижче, де в одній із схем буде задіяно FLOPPY-режим як проміжний.

ЯК КОРИСТУВАТИ ФУНКЦІЮ PRELOAD

Тут все залежить від моделі контролера, так з Skymedi SK6221все відбувається гладко і без запинок. При роботі зі Skymediголовне не створювати CDROM-розділ на флешці, інакше виробнича утиліта перестане розпізнавати його з-під комп'ютера з блокованими пристроями через NOD32.

Для цього в налаштуваннях Skymedi Production Toolпотрібно активувати опцію Enable PreCopyта вказати папку, яку слід завантажити на диск.

При перепрошивці, попередні дані будуть губляться, це вам не діряве корито від Касперського.

У SMI-шек, які виявили свою безвідмовність на експерименті з Касперським, використовувати в лоб опцією PRELOADне вийде. Справа в тому, що флешку прошивальник наполегливо відмовляється бачити, навіть із встановленим службовим драйвером SMI Factory Driver.

Але можна обійти це обмеження, за допомогою попередньо створеного FLOPPY-розділу, який не здатний блокувати ESET NOD32. Тобто. БУДИНОКстворюємо FLOPPY-розділ, закочуємо на нього архів з виробничою утилітою, далі на РОБОТЕможна зливати файли.

Про всяк випадок зауважу, що вмістити SMIMPToolцілком реально на дискеті 1,38МБ. Сам проводив експеримент засунув SMI MPTool 2015 року на базі оболонки sm32Xtest_V36-7.exeв RAR-архів обсягом 1.13МБ. Правда попередньо довелося видалити всі прошивки крім тих, що використовуються для моєї флешки, інші зайві файли і урізати до мінімуму службовий файл ForceFlash.SET. Та й зрештою, можна і в два заходи програму принести, порізавши архів на дві частини.

Трохи докладніше розповім, для тих, хто не в темі, які налаштування та в якій послідовності потрібні.

БУДИНОК, робимо по першому скріншоту, тобто на першій вкладці Main Flow Setting, активуємо:
– Pretest
– Write CID
– Download ISP
– Форматі FAT32

На вкладці Multi-lun Setting:
– Enable Floppy Support
– Floppy Format

Прошиваємо та отримуємо флеш-диск із двома розділами: звичайний об'ємний флеш-розділ та дисковод гнучких дисків (floppy).

Флешку, як пристрій, у такому стані не здатний блокувати для прошивальників антивірус NOD32. Хоча можна вільно писати-видаляти на FLOPPY-область, але до флеш-розділу ми як і раніше не може звернутися стандартними Windows-Кошти.

Поки на флешці є флоппі-розділ, ми можемо зробити в SMI MPToolз нею, що захочемо. Т.к. перешиватися одночасно з флоппіком та PRELOAD-опцією флешка у мене категорично відмовлялася, то у нас є лише одна спроба на РОБОТЕзлити файли. Надалі БУДИНОК, можна або повернути флешку в початковий вигляд або підготувати її до другого заходу.

на РОБОТЕпідключаємо флешку, деактивуємо параметри, що відповідають на Floppy-пристрій та включаємо Preload-опцію, як це показано на скрині нижче.