Компьютерный портал
| Расширенный
  • Страница 1 из 1
  • 1
Модератор форума: Barmenchik, Drinko, V-Efremov, sander23, MedMeks  
Как же ЛЮТО Microsoft и Defender ненавидят Mimikatz
sysprg
Отредактировано sysprg - 28.09.2017, 19:30
Аватар sysprg

Почетный

Сообщений: 4673

Несколько лет назад один французский программер написал программу с именем Mimikatz и выложил ее исходники в сеть. С того самого момента, Microsoft возненавидела не только эту программу,
Lenchik
Аватар Lenchik

Почетный

Сообщений: 9109

Online
sysprg, А вы сами попробуйте этой уязвимостью воспользоваться. Что бы какой то код выполнялся на компьютере, он туда для начала еще должен попасть. Это только любители халявы тащат что ни попадя и запускают на своих компьютерах.

Как бороться с mimiratz https://www.atraining.ru/mimikatz-lsa-protection/
sysprg
Отредактировано sysprg - 28.09.2017, 20:15
Аватар sysprg

Автор темы
Почетный

Сообщений: 4673

Цитата Lenchik ()
Это только любители халявы тащат что ни попадя и запускают на своих компьютерах

Я знаю, что на СЕРВЕРНЫХ версиях имеется ОПЦИЯ для обеспечения очистки памяти как реальной, так и страничной. В то время, когда писался Mimikatz, MS считала необходимость очистки памяти на персоналках ИЗЛИШНЕЙ. Изменилось ли что-то с тех пор, НЕ ЗНАЮ, но пакет, о котором я написал, расширяет возможности Mimikatz, позволяя лазить и в память любого компа в доменной сети. Но у меня интерес к ЛОГИКЕ КОДА, а не желание что-то у кого-то украсть smile
P.S: а за ссылку СПАСИБО, хорошая, подробная статья, хотя я не понимаю ГЛАВНОЕ: не проще ли на сервере обеспечить ОЧИСТКУ освобождаемой реальной и страничной памяти? Ведь даже привилегия DEBUG не дает возможности читать ЧУЖУЮ память до тех пор, пока блок памяти не будет освобожден.
DIM4ELA
Отредактировано DIM4ELA - 28.09.2017, 21:09
Аватар DIM4ELA

Почетный

Сообщений: 4776

а вы не могли бы мне послать этот архивчик? хочу посмотреть как дефендер реагирует.

Добавлено (28.09.2017, 20:54)
---------------------------------------------
спокойно скачал, потом разрешил дефендеру этот файл, и затем вернул из карантина. делов то!


и все спокойно можно посмотреть и работать с этимим архивом.
Lenchik
Отредактировано Lenchik - 28.09.2017, 21:22
Аватар Lenchik

Почетный

Сообщений: 9109

Online
Цитата sysprg ()
Ведь даже привилегия DEBUG не дает возможности читать ЧУЖУЮ память до тех пор, пока блок памяти не будет освобожден.

Это на уровне процессора. Он так работает в многозадачном режиме. На ходу никак не подсмотреть память соседней программы. Отладка стандартными средсвами производится то же на уровне процессора. Прямо в код втыкаются программыне прерывания, например для точек останова.

Я как то даже не помню когда из Windows исчезла досовская консольная утилита Debug, но была же. Я ей пользовался раньше.

Очистка памяти приведет к существенной дополнительной нагрузке на процессор. Производительность компьютера упадет.
sysprg
Отредактировано sysprg - 28.09.2017, 21:28
Аватар sysprg

Автор темы
Почетный

Сообщений: 4673

Цитата DIM4ELA ()
покойно скачал,

Честно признаюсь, что думал из карантина вытащить, но НЕ ЗНАЛ КАК это сделать smile А вот отключать Defender мне тоже не хочется, боязно.

Добавлено (28.09.2017, 21:24)
---------------------------------------------
Цитата Lenchik ()
Я как то даже не помню когда из Windows исчезла досовская консольная утилита Debug, но была же

Уже давно этот однобайтный код остановки или заблокирован или лего обходится зловредами. Так что стал НЕ АКТУАЛЕН, а вот ПРИВИЛЕГИЯ Debug, это разрешение на доступ к системым областям, но тоже не всем. P.S: в статье, ссылку на которую Вы дали, речь шла о доступе к хранимым в памяти дампам, в котором в открытом виде присутствовали пароли. Это несомненно ПРОКОЛ в защите критической иформации Windows, поскольку в дампе могут не только пароли для порно-сайтов присутствовать, а номера банковских счетов и пин-коды пластиковых карт.
FCSM19LeXeR
Отредактировано FCSM19LeXeR - 28.09.2017, 22:54
Нет аватара


Сообщений: 17

а зачем у вас включен дефендер??
sysprg
Аватар sysprg

Автор темы
Почетный

Сообщений: 4673

у меня НЕТ ОПЫТА, практически вчерашний случай, ВТОРОЙ в моей жизни, когда дефендер остался недовольным тем, что я скачал. Но смысл публикации был не в том, как ДОБРАТЬСЯ до скачанного контента ( это проблема ТЕХНИЧЕСКАЯ и решаемая ), а в том, что дефендер ОЧЕНЬ УМНЫЙ и ему реально можно доверять, если он даже в ТЕКСТОВЫХ файлах находит криминал. Хотя в данном случае, с моей точки зрения, это ЛИЧНАЯ ОБИДА Майков, а не РЕАЛЬНАЯ опасность - без СБОРКИ ВСЕГО пакета с помощью VisualStudio, ЛЮБОЙ из файлов в этом пакете совершенно безвреден. Это же и ответ на вопрос FCSM19LeXeR - Дефендер НЕОБХОДИМ и с моей точки зрения, наиболее подходящий анти-зловред для Windows.
netWanderer
Аватар netWanderer

Администратор

Сообщений: 4839

Цитата sysprg ()
это ЛИЧНАЯ ОБИДА Майков

Вполне возможно. Им не нравится, что кроме них кто то еще сможет считать информацию, типа из "свободной" области памяти.
Lenchik
Аватар Lenchik

Почетный

Сообщений: 9109

Online
sysprg, Если вы просто визуально хотите посмотреть на содержимое оперативной памяти, то нет проблем:



Можно даже отредактировать.
sanctuary
Нет аватара


Сообщений: 28

sysprg, может, добавить конкретную папку в исключение сразу?
Код

Add-MpPreference -ExclusionPath D:\Программы\Прочее -Force
  • Страница 1 из 1
  • 1
Поиск:
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
Windows 11
Windows 10
Windows 8.1
Популярное
Опрос
Нравятся ли вам изменения произошедшие в Windows 10?
Всего ответов: 8505

Статистика Форума
Последние обновления тем
Популярные темы
Новые пользователи
15.10.2024|13:31
15.10.2024|12:36
15.10.2024|03:58
14.10.2024|21:31
14.10.2024|19:33
14.10.2024|17:50
14.10.2024|12:24
14.10.2024|03:21
14.10.2024|00:03
13.10.2024|22:58