Несколько лет назад один французский программер написал программу с именем Mimikatz и выложил ее исходники в сеть. С того самого момента, Microsoft возненавидела не только эту программу,
но похоже, что и само СЛОВО Mimikatz. Объясню почему столь сильные эмоции возникли у Microsoft. Все дело в том, что программа Mimikatz продемонстрировала полную незащищенность данных, хранимых в ОСВОБОЖДЕННЫХ областях памяти. Поясню для непонятливых: оперативная память распределяется по запросам программ. Использованные участки памяти освобождаются, становясь доступными другим программам, или самой программой или системой по завершении программы, запрашивающей память. Так вот, программа Mimikatz просматривает СВОБОДНУЮ память и обнаруживает в ней критическую информацию, например пароли пользователей. Тем самым эта программа вскрыла КРИТИЧЕСКУЮ УЯЗВИМОСТЬ Windows, которая НЕ ОЧИЩАЕТ освободившиеся участки памяти, давая тем самым возможность изощренным программам типа Mimikatz ШАНС найти интересную злоумышленникам информацию. Теперь о том, что я сегодня обнаружил и ВОСТОРЖЕННЫЕ слова в адрес САМОГО ЛУЧШЕГО АНТИВИРУСА в среде Windows, Defender. Собрался я скачать с общеизвестного программистского портала GitHub, на котором, кстати сказать, и сама Microsoft выкладывает свои исходники, пакет на PShell под названием PowerSploit, https://github.com/PowerShellMafia/PowerSploit Но не тут-то было, ничего у меня не получилось: при попытке скачать zip-архив этого проекта мгновенно выскакивало уведомление от Defender об отправке архива на санацию. Ладно, попросил родственника скачать под *nix. Он скачал, но ни один из мэйлеров, даже под *nix не пожелал отправить этот архив даже с раширениями .JPEG, .BIN и любым другим. ОК, племянник мой парень сообразительный и он создал архив, упакованный с паролем, который уже легко переслал мне. И вот дальше началось самое интересное: внутри архива лежит туева хуча ИСХОДНЫХ, ТЕКСТОВЫХ файлов. Тем не менее, стоило мне распаковать этот архив на диск, как тут же налетел Defender, произвел санацию зловредных с его точки зрения файлов и лишил меня возможности прочитать самые интересные для меня исходники, причем только на PShell, ни один из исходников на CPP или ASM не был отправлен в карантин и из PShell-файлов были удалены Invoke-Mimikatz.ps1, Invoke-CredentialInjection, Get-GPPAutologon, Get-GPPPassword и ряд других. И вот теперь я в полном недоумении: на что именно реагирует Defetder? На ЗАШИТЫЕ в вирусную базу ИМЕНА файлов или все же их контент. А я продолжаю чесать репу, думая о том, КАК ЖЕ МНЕ ПРОЧИТАТЬ интересующие исходники, если даже при попытке ПРОСМОТРА их контента ВНУТРИ АРХИВА, тут же по велению Defender выскакивает сообщение о том, что мол файл НЕ ДОСТУПЕН, хотя конечно же запароленный архив, СЛАВА БОГУ, defender читать еще не научился и потому УДАЛИТЬ из такого архива ничего не может, но вот ВРЕМЕННЫЙ файл, созданный тотальным командиром и содержащий ТЕКСТ интересующего исходника, удаляет сразу. Таким образом я сам себе доказал, что все же не на имя файла Defender реагирует, а на его контент. Боюсь, что читать эти исходники мне придется в среде WinPE, в которой нет Defender. Но DEFENDER'у СЛАВА, умный какой, зараза
sysprg, А вы сами попробуйте этой уязвимостью воспользоваться. Что бы какой то код выполнялся на компьютере, он туда для начала еще должен попасть. Это только любители халявы тащат что ни попадя и запускают на своих компьютерах.
Это только любители халявы тащат что ни попадя и запускают на своих компьютерах
Я знаю, что на СЕРВЕРНЫХ версиях имеется ОПЦИЯ для обеспечения очистки памяти как реальной, так и страничной. В то время, когда писался Mimikatz, MS считала необходимость очистки памяти на персоналках ИЗЛИШНЕЙ. Изменилось ли что-то с тех пор, НЕ ЗНАЮ, но пакет, о котором я написал, расширяет возможности Mimikatz, позволяя лазить и в память любого компа в доменной сети. Но у меня интерес к ЛОГИКЕ КОДА, а не желание что-то у кого-то украсть P.S: а за ссылку СПАСИБО, хорошая, подробная статья, хотя я не понимаю ГЛАВНОЕ: не проще ли на сервере обеспечить ОЧИСТКУ освобождаемой реальной и страничной памяти? Ведь даже привилегия DEBUG не дает возможности читать ЧУЖУЮ память до тех пор, пока блок памяти не будет освобожден.
а вы не могли бы мне послать этот архивчик? хочу посмотреть как дефендер реагирует.
Добавлено (28.09.2017, 20:54) --------------------------------------------- спокойно скачал, потом разрешил дефендеру этот файл, и затем вернул из карантина. делов то!
и все спокойно можно посмотреть и работать с этимим архивом.
Ведь даже привилегия DEBUG не дает возможности читать ЧУЖУЮ память до тех пор, пока блок памяти не будет освобожден.
Это на уровне процессора. Он так работает в многозадачном режиме. На ходу никак не подсмотреть память соседней программы. Отладка стандартными средсвами производится то же на уровне процессора. Прямо в код втыкаются программыне прерывания, например для точек останова.
Я как то даже не помню когда из Windows исчезла досовская консольная утилита Debug, но была же. Я ей пользовался раньше.
Очистка памяти приведет к существенной дополнительной нагрузке на процессор. Производительность компьютера упадет.
Я как то даже не помню когда из Windows исчезла досовская консольная утилита Debug, но была же
Уже давно этот однобайтный код остановки или заблокирован или лего обходится зловредами. Так что стал НЕ АКТУАЛЕН, а вот ПРИВИЛЕГИЯ Debug, это разрешение на доступ к системым областям, но тоже не всем. P.S: в статье, ссылку на которую Вы дали, речь шла о доступе к хранимым в памяти дампам, в котором в открытом виде присутствовали пароли. Это несомненно ПРОКОЛ в защите критической иформации Windows, поскольку в дампе могут не только пароли для порно-сайтов присутствовать, а номера банковских счетов и пин-коды пластиковых карт.
у меня НЕТ ОПЫТА, практически вчерашний случай, ВТОРОЙ в моей жизни, когда дефендер остался недовольным тем, что я скачал. Но смысл публикации был не в том, как ДОБРАТЬСЯ до скачанного контента ( это проблема ТЕХНИЧЕСКАЯ и решаемая ), а в том, что дефендер ОЧЕНЬ УМНЫЙ и ему реально можно доверять, если он даже в ТЕКСТОВЫХ файлах находит криминал. Хотя в данном случае, с моей точки зрения, это ЛИЧНАЯ ОБИДА Майков, а не РЕАЛЬНАЯ опасность - без СБОРКИ ВСЕГО пакета с помощью VisualStudio, ЛЮБОЙ из файлов в этом пакете совершенно безвреден. Это же и ответ на вопрос FCSM19LeXeR - Дефендер НЕОБХОДИМ и с моей точки зрения, наиболее подходящий анти-зловред для Windows.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
