Рейтинг доктор веб секьюрити 12

Обновлено: 15.01.2025

Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).

В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.

При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?

Разведка

Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.

Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.

Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.

Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.

Подготовительные мероприятия

Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:

На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:

На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.

Для демонстрации я разработал два исполняемых файла:

Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.

Видео эксплуатации

После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)

Вот что происходит на видео:

На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.

Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.

После этого, с помощью whoami показываем, что все действия от обычного пользователя.

Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.

Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.

Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.

Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.

Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Вывод

Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.

Проверка исправлений

Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.

Подготовительные мероприятия

Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.

На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.

На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.

Видео эксплуатации

После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:

На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.

Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.

Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.

Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.

Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.

После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.

Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Проверив однажды свой компьютер на вирусы при помощи лечащей утилиты Dr.Web Currelt, я была приятно удивлена ее работой. Захотелось узнать побольше и об антивирусной программе- почитала о ней в интернете, но смутила высокая стоимость. Зато.

Надежная защита)

Лечит вирусы Надежно защищает компьютер Стоит не дорого

Недавно у нас начались проблемы с компьютером, его глючило, браузер плохо грузил страницы. Мы не как не могли понять в чем причина. На тот момент у нас стоял антивирус Eset smart security 6 лицензионный. Потом.

Ему можно доверить свой компьютер!

подходит не для всех компьютеров, а только для тех у которых большие системные параметры

Приветствую всех читателей моего отзыва. Когда не было компьютеров, то многое нам не требовалось. С появлением компьютеров появились и разные комплектующее к нему части, аксессуары и конечно же антивирус. Вирус как известно всем очень вредоносный.

Dr.Web Security Space или Kaspersky Internet Security , для себя выбор сделал.

Добрый день или вечер уважаемый читатель отзыва. Я много лет пользовался антивирусом Kaspersky Internet Security, мне нравился я его интерфейс, функциональность, относительная простата управления им, как Security он меня вполне устраивал, хотя частенько пропускал вирусы.

Хороший антивирусник для мощного компьютера и прямых рук.

Системные требования, превередливый брандмауэр, слишком частые обновления.

Этот антивирусник заслужил у меня доверие после того, как определил вирус на накопителе, который не определяли другие антивирусники. После этого стал пользоваться им. Итак, по порядку: 1. Защита от вирусов. Хорошая, ни одного вируса.

Просто ужас

Антивирус для Windows Dr.WEB Security Space я установила после переустановки Windows. Остановилась именно на этой антивирусной программе по одной простой причине, она распространяется бесплатно. Установка не заняла много времени и оказалась достаточно простой. Сразу же.

все хорошо кроме брандмауэра

Вот и закончился мой бесплатный антивирус Касперского ( мой отзыв ), пробная версия на месяц. Следующий по списку Dr.WEB Security Space. Доводилось пользоваться доктором неоднократно. Последний раз с ним возникла проблема: компьютер не желал включаться.

Dr.WEB - всегда на страже

платный, трабовательный к системе, медлительный. Но при хорошей защите это не важно

Выбор антивируса всегда был сложным вопросом. У меня ещё не было антивируса, который полностью оберегал мой компьютер от всех угроз. Но как оказалось не только у меня. На моём компьютере стояли и Panda? и Awast.

Давний опыт использования Антивируса

Обновляется регулярно, эвристика, качество, уровень внедрения в систему на уровне ядра.

Уже много лет пользуемся на предприятии лицензионной копией данного продукта. Впечатление очень положительно, использовали даже клиент под Novell что очень редко можно встретить. Антивирус хороший, много отлавливает, регулярно обновляется, что очень радует. До сих пор.

Отличный антивирус

Хочу написать отзыв об использовании антивируса Dr.WEB Security Space у себя дома. Раньше вообще использовал бесплатные средства защиты своего ПК. Но. бесплатный сыр только в мышеловке. Пошел в магазин, решил купить коробочную версию Dr.WEB Security.

ожидал большего, разочарован

Решил я сменить антивирус на своём компьютере. Выбор пал на «Dr.Web». Одно время я использовал их лечащую утилиту «Dr.Web CureIt». Она может и хороша, но после неё приходилось многое восстанавливать. И она убивала много программ.

Максимальная защита компьютера

Поставил Dr.WEB Security Space на ПК не так давно, по той простой причине, что мой прежний Касперский Internet Security 2013 в упор не хотел видеть вирусы и лечить их. Компьютер тормозил, оперативная память и процессор.

Впечатление? Недоумение! От того, что еще можно ТАК работать.

Очень сильно грузит компьютер, отвратительная "техническая поддержка"! Как можно умудриться так испортить хорошую, в прошлом, программу?

Отличный антивирус

Отлично справляется со своей задачей, нет проблем с лицензией

На данный момент считаю лучшим антивирусом. Кто то из предыдущих ораторов написал в недостатках: слишком частые обновления. Смешной пользователь. А разве это не хорошо? по моему это огромный плюс. Так как вирусы чуть ли не.

Прекрасный антивирус

Может сложноваты настройки брандмауэра для начинающего пользователя

Уже много лет подряд в обсуждениях используются избитые фразы, взятые из комментарий 10-15 летней давности про ресурсы Касперского и DrWeb, а также про их алгоритмы работы. Оба антивируса сейчас расходуют практически одинаковые ресурсы (зависит от.

Ужасно испортился

Пользовалась антивирусом Dr.Web года четыре. Сначала он мне очень нравился, всегда покупала антивирус на официальном сайте. Со временем из-за него стал подвисать компьютер, когда он обновлялся. А делал он это очень часто. Прошло года три.

Отличный, провереный годами использования антивирус!

Регулярное обновление несколько раз в день, работа на уровне ядра системы, надёжность.

Впервые с антивирусом DrWeb пришлось познакомиться в те времена, когда никто не знал слова Windows, а на компьютерах стоял DOS. Но даже в то время уже было полно вирусов и были свои антивирусы, которые.

Особенности версии Dr.Web Security Space 12

Web Security Space – это один из лучших продуктов в линейке антивирусных программ от компании Доктор Веб. Актуальная 12 версия содержит в себе ряд обновлений и улучшений, которые обязательно придутся по душе всем пользователям.

Отличия от предыдущих версий

Двенадцатая версия Dr.Web Security Space, так же как и предыдущие содержит в себе ряд обязательных защитных компонентов, а именно антиспам, веб-антивирус, функцию родительского контроля, встроенный фаервол, превентивную защиту, антишпион и проверку в фоновом режиме. Но что нового для нас приготовили разработчики? Среди основных отличий от предыдущих версий в Dr.Web Security Space 12 можно выделить следующее:

добавлена функция обеспечения приватности, путем включения или отключения камеры и микрофона;
кроме всплывающих оповещений от программы, пользователь может настроить ленту важных уведомлений;
обновлена настройка раздела «Превентивная защита», где теперь добавлены три защитных модуля;
появилась возможность самостоятельно устанавливать удобное для себя время для перезагрузки компьютера после проведенных обновлений антивируса;
улучшился графический дизайн, где появилась кнопка «Центр защиты», при помощи которой можно производить настройку отдельных модулей и смотреть статистику работы;
внедрена функция автоматической чистки карантина, чтобы там не скапливалось большое количество зараженных файлов;
полностью переработан функционал защиты от потери данных и добавлено управление по разным пользователям компьютера;
доработан модуль функции «Родительский контроль», где теперь можно указать время работы за компьютером ребенку, а также задать необходимый перерыв;
антивирус теперь отсчитывает время до начала блокировки (в случае ее активации).

В 12 версии Web Security Space особенно важным стали новые внедренные прогрессивные методики и технологии по проверке файлов, основанные на несигнатурных методах детектирования угроз.

Требования к системе

Любая программа выдвигает ряд системных требований, которые должны быть соблюдены. Для компьютеров на базе Windows для установки антивируса Dr. Веб нужно проверить соответствие следующих параметров:

Представленные требования от разработчиков антивируса являются стандартными. Практически на всех компьютерах с ОС Виндовс они соблюдаются в стандартной комплектации. Однако чтобы не столкнуться с проблемами во время инсталляции или использования антивируса, обязательно перепроверьте их соответствие, а также свободное место на жестком диске, которое лучше оставить с запасом в случае установки дополнительных защитных компонентов.

Порядок скачивания

Пробная версия

Использование антивируса Dr.Web Security Space предоставляется только на основе лицензии. Получить лицензию можно только путем приобретения, то есть антивирус Доктор Веб в версии Security Space является платным. Но разработчики учли необходимость внедрения демо-версия, которая предоставляется всем пользователям в ознакомительных целях. Воспользоваться такой возможностью вы сможете:

Если для начала вы хотите испытать действие антивируса перед покупкой лицензии, то воспользуйтесь демо-версией программы на 30 дней или 90 дней (с регистрацией).

Как получить пробную версию антивируса Dr.Web Security Space? Для использования тестовой версии вам все равно нужно скачать установочный файл с нашего сайта. После того как вы загрузили установочный файл программы, вам необходимо его запустить. В одном из процессов инсталляции вы сможете выбрать тип использования антивируса – «Купить лицензию» или «Получить пробную версию». В разделе «Получить пробную версию», отмечаете желаемый срок – 30 или 90 дней.

Установка и начало использования

После того как вы скачаете установочный файл с нашего сайта, можно переходить к инсталляции антивируса Dr. Веб:

Заходите в папку с загрузкой и распаковываете установочный файл «Setup Dr.Web Security Space».
На экране появится установочное окно, где вам нужно выбрать тип установки – стандартная или комплексная.
Специалисты советуют выбирать комплексную и для этого вам нужно выбрать дополнительно установку двух компонентов – брандмауэра и облачного хранилища Web
Отмечаете галочками эти два пункта и нажимаете «Далее».
Теперь вам нужно указать номер лицензии или купить лицензию для дальнейшего использования антивирусной утилиты. Если вы хотите воспользоваться пробной версией, то внизу в разделе «Получить пробную версию», выбирает желаемый срок – 30 или 90 дней, а после нажимаете «Далее».
Начинается процесс инсталляции с процентным отображением. После завершения, появится значок программы на Рабочем столе и на Панели инструментов.
Для корректного запуска желательно перезагрузить компьютер.

Весь процесс установки займет у вас не более 5 минут. Теперь вы можете переходить к настройке и сканированию системы. Для этого запустите программу, проверьте, чтобы антивирусные базы были обновлены (пункт «Обновление») и выберите раздел «Сканер». Здесь вы сможете сразу начать проверку или сначала выбрать тип сканирования – быстрая, полная и выборочная. В разделе «Компоненты защиты» можно активировать/деактивировать отдельные защитные функции антивируса, это позволит снизить нагрузку на систему и ускорить время проверки, однако напрямую скажется на качестве.

Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история. ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё законодательство. И считывание чужой информации - равносильно её краже. Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна . Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.

Хотелось бы чтобы Инфо. ( для создания\настройки критерия ) Содержало информацию: CPU: 96.75% * Внимание превышен 15% Порог. CPU: 483.75% * Внимание превышен 15% Порог. так как нагрузка плавает и невозможно задать точное значение.

Читайте также: