Dr web не запускается приложение
Тестирование демоверсии Dr.Web и некоторых иных защитников, зачастую подтягивает множество вопросов. И сегодня мы с вами поправим одну из ошибок (назову так), которая запросто может случиться у начинающего пользователя.
Т.е когда ваш ПК перестаёт привычно работать и частенько не пускает на отдельные сайты, выбрасывая предупреждения «безопасности». Да и ко всему тому хозяйничает в системных файлах вашей любимой Windows, что аж вы всем нутром чувствуете!
В самом деле, из-за подобного может забросить в панику и не только новичка. Представьте: мы видим активную и малопонятную защиту АНТИвирусника. (сплошные вопросы)
Что ж, давайте поправим всё на место, так, как было до установки Dr.Web.
Говорим о Windows 7. Хотя если вы станете внимательно читать этот пост, то поймёте – принцип настроек в общем одинаков, а значит при случае справитесь и с иной операционной системой.
Дело в том, что Dr.Web нужно правильно настроить под свои нужды, и тогда всё получится ловко и полезно. Но многие этими настройками не заморачиваются. В общем-то, правильно. На начальных пользовательских этапах web-сёрфинга это, может быть, и не к чему. Хотя web-грамотность не помешает никому и никогда.
В следующей статье речь пойдёт как раз о настройке антивирусной программы Dr.Web, так что можете
Где находится в операционной системе файл hosts
Внимание : помните, сегодня мы работаем с системными файлами, поэтому будьте осторожны! Копируйте редактируемые документы в отдельную папку.
Главное мы увидели следы антивирусника (подчёркнуто).
Нам это не к чему! А посему нужно восстановить прежний (родной) системе файл. Но, наверняка вы его содержание не знаете или не помните. Но и это не страшно.
Но вот только в нашем случае, как говорилось выше, система ничего изменить не позволит, пока запущен антивирус.
Затем следует перезагрузить компьютер.
На всякий случай привожу полный и начальный документ hosts (проверенный временем)
На этом занавес представления опускается…
…на рампы пыль печальная ложится…
Михаил ATs - владелец блога запросто с Вордпресс - в сети нтернет давным-давно.
. веб разработчик студии ATs media: помогу в создании, раскрутке, развитии и целенаправленном сопровождении твоего ресурса в сети. - заказы, вопросы. разработка.
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Из платных антивирусов я долгое время предпочитал Dr.WEB. Работал он всегда шустро, и ложных срабатываний было минимум. Поскольку сам ни разу не обжигался с этим продуктом – без задней мысли рекомендовал его всем своим знакомым. Все было хорошо, но вот 9-ая версия паучка-спасителя, откровенно говоря, разочаровала. Друг поменял свой офисный компьютер и попросил установить ему Windows и антивирус. На все продукты были лицензии, поэтому я сразу пошел на сайт Dr.Web и загрузил последнюю версию (9-ю) антивирусного пакета.
Ни Google Chrome, ни одно другое приложение не хотели стартовать. В диспетчере процессов появлялись процессы запускаемых приложений и тут же завершались. Мыслей о том, что Dr.WEB может с кем-то конфликтовать – отпали сразу, т.к. система была чистой и ничего кроме установленного бразуера с офисом не было.
Пришлось опять перезагрузиться и вновь лицезреть предупреждающий значок агента Dr. Web. Guard опять не запустился и я больше не решился повторять попытку ручного запуска. Вместо этого я запустил браузер и принялся гуглить решение возникшей проблемы. Оказалось, что подобных трудностей у пользователей была вагон и маленькая тележка.
Я перепробовал различные решения, но ни одно из них не смогло мне помочь. В итоге я решил поэкспериментировать самостоятельно.
Ошибка запуска Dr. WEB Guard решена
Попробовав разные методы научного тыка, я решил заострить внимание на менеджере лицензий. Файл с лицензионным ключом я выбирал в процессе установки и по идее он должен был нормально подхватиться. На деле все оказалось иначе. Файл вроде подхватился (информация о лицензионном ключе была в соответствующем окне), но тот же сканер его почему-то не видел.
Все, после этих действий паучок должен работать как надо. Уверен, что эта штука спасет и от множества других проблем, которые не решаются простой переустановкой. Пользуйтесь на здоровье!
Понравился материал?
Похожие записи:
Постоянная загрузка ЦП в диспетчере задач: устраняем одну из причин
Делаем лаунчер в стиле Pip-Boy 3000 (Fallout 3) под Android
Глюк в The Elder Scrolls III: Tribunal
Стоял доктор 8 версии,через оф сайт,обновил до 9. Поработал недели две и спайдер гуард перестал запускаться автоматом после того ка комп от пыли почистил. Снёс,установил заново,такая же фигня. Опять снёс,установил уже восьму версию,такая же фигня. Не могу понять.
Ну вы же понимаете, что чистка от пыли тут не при чём?) Он вообще есть в автозагрузке? Галочка в программе стоит? И ещё, может для Веба есть какие-то софтины, которые полностью его удаляют, попробуйте.
Шутки шутками, но у меня сегодня случилось то же самое. И как ни странно, именно ПОСЛЕ ЧИСТКИ КОМПА ОТ ПЫЛИ! ))) Честное слово!)) Просто мистика какая-то) Я конечно понимаю, что чистка компа вообще никаким образом не имеет отношения к софту)) Но факт остается фактом)) Так что Валера не одинок в этом деле))
Что нужно сделать после установки свежей операционной системы на компьютер? Правильно – загрузить и инсталлировать антивирус. Без него безопасное посещение сайтов попросту невозможно. А какую программу выбрать? Хорошим решением будет купить Dr Web.
Это отечественная современная разработка, обеспечивающая надежную защиту от вирусов и богатый функционал вкупе с небольшими требованиями к характеристикам компьютера. Для ознакомления можете активировать пробную версию. Установка не потребует особых знаний: загрузили инсталлятор, запустили, подтвердили действие. Однако в процессе все же могут возникнуть трудности. Например, Dr Web не устанавливается на Windows 10. Как их устранить?
_09.jpg)
Возможные проблемы при инсталляции Др Веба
Конечно же, рассматривать каждую ошибку нужно на конкретном примере, поскольку ее возможный источник зависит от выбранного ПО и операционной системы. Но все же стоит подробнее изучить проблемы в целом, которые могут дать о себе знать при инсталляции антивируса.
- Конфликт с другим защитным ПО. Если на вашем ПК уже установлены антивирусные программы, то Др Веб может не завершить установку или после инсталляции не запускаться. А все потому, что он конфликтует с другими схожими программами.
- Неправильная деинсталляция. Если у вас уже был установлен Dr Web раньше, но вы его удалили, а теперь пытаетесь снова установить, то из-за остаточных файлов в системе может произойти сбой.
- Нарушения в работе ОС. Если в системе отсутствуют какие-либо файлы, то установка может быть не завершена.
Для решения данных проблем нужно выполнить действия в зависимости от источника. Если это конфликт, то сперва удалить другой антивирус. Если была неправильно проведена деинсталляция старого Др Веб, то загрузить специальные утилиты для полной очистки ПК от файлов программы, а после повторить установку. Если же имеют место проблемы в самой ОС, то нужно провести восстановление системы. Большинство проблем с Dr Web (не устанавливается, не запускается, зависает и пр.) это должно решить.
Др Веб зависает во время установки на Windows 10
Еще одна распространенная проблема, которую стоит рассмотреть отдельно – это остановка инсталляции антивируса на ПК с системой Windows 10. Возможно такое, что во время загрузки файлов инсталлятор «зависает», что приводит к полному бездействию всей ОС. Помогает только перезагрузка компьютера. Если с операционной системой все в порядке, например, она только что установлена, файл инсталлятор правильно загружен и не поврежден, то Dr Web зависает при установке на Windows 10 по одной причине – несовместимость. Чаще всего это касается Доктора Веба версии 10. С более свежей 11 версией этой проблемы не возникает. Так что решение простое – загрузить более свежую редакцию антивирусной программы.
РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Dr.Web Enterprise Security Suite - Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для WindowsDr.Web для Linux. Dr.Web для Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Server Security Suite
Антивирусное средство, предназначенное для защиты файловых серверов типа Samba, базирующихся на таких операционных системах, как: Linux, OpenBSD, Solaris (Intel),FreeBSD, MCBC, Novell NetWare и Windows. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Mail Security Suite
Антивирусная программа, позволяющая осуществлять фильтрацию SMTP-трафика, проходящего обработку на почтовом сервере. В составе продукты - Dr.Web® для почтовых серверов и шлюзов Unix Dr.Web® для MS Exchange Dr.Web® для IBM Lotus Domino для Windows Dr.Web® для IBM Lotus Domino для Linux Dr.Web® для почтовых серверов Kerio для Linux Dr.Web® для почтовых серверов Kerio для Mac Подробнее>>
ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Dr.Web для бизнеса
Переход в он-лайн магазин Датасиcтем - официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>
Читайте также: