Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

MSE не подвержен атаке с использованием захватов ядра Windows

Напечатать страницу
14.05.2010 08:59 | deeper2k

Microsoft Security Essentials (MSE), антивирусное решение редмондской компании, является одним из немногих продуктов, которые не подвержены недавно обнаруженному методу отключения антивирусного ПО в Windows. MSE не использует SSDT-захваты, поэтому его нельзя отключить подобным способом.

Когда впервые был опубликован отчет о методе, в списке приложений, подвержен такой уязвимости, MSE не было, поэтому мы решили обратиться в Microsoft за разъяснениями.

"Microsoft в курсе исследований Matousec и занимается изучением проблемы" - заявил представитель компании. "Отталкиваясь от доступной информации, мы можем сказать, что наш продукт не может быть отключен таким методом ввиду природы защиты MSE в реальном времени."

Параллельно мы обратились к источнику и получили следующий ответ: "Да, MSE не использует захваты и поэтому не может быть атакован с помощью техники KHOBE" - подтвердил пресс-секретарь Matousec. "Читатели различных сетевых секьюрити-изданий могут быть введены в заблуждение заявлениями о том, что методу KHOBE подвержены все антивирусные продукты, но они упустили самый важный момент - уязвимы лишь те продукты, в которых реализован захват. Лишь в некоторых продуктах реализованы захваты, однако большинство антивирусных решений их не использует. Более того, уязвимости подвержены в основном не антивирусы, а системы HIPS [Host Intrusion Prevention System - система защиты от проникновения], сетевые экраны с функциями защиты хостового компьютера."

"Microsoft обратилась к Matousec и представители компании подтвердили, что Microsoft Security Essentials и продукты семейства Forefront Client Security не подвержены технике KHOBE по причине дизайна системы защиты в реальном времени" - сообщил нам пресс-секретарь Microsoft.

Microsoft очень давно призывает разработчиков секьюрити-решений отказаться от использования патчей ядра, поэтому было бы глупо, если бы Microsoft использовала их в собственном продукте. Более того, техники самозащиты, реализуемые с помощью захватов, вообще не используются в продуктах компании. Следует отметить, что Microsoft прислушалась к вендорам и реализовала в Windows Vista и Windows 7 несколько документированных методов с целью позволить обеспечить механизмы самозащиты. К сожалению, нет ничего, что могло бы заставить разработчиков отказаться от старых методов в пользу новых, тем более, что старые методы работают и в новых версиях Windows.

И именно по этой причине список уязвимых продуктов такой большой. Matousec регулярно обновляет список и на момент публикации статьи в нем было 35 уязвимых продуктов. Еще одна победа для MSE, который получает исключительно положительные отзывы с момента своего релиза.


Источник: http://arstechnica.com/microsoft
Перевод: deeper2k

Комментарии

Не в сети

Что и требовалось доказать. Кто может написать антивирус для операционной системы Windows лучше? Только разработчик этой операционной системы. Думаю если в Microsoft и дальше буду развивать свой антивирус, он всетаки станет действительно хорошим и даже отличным.

14.05.10 09:11
0
Не в сети

Что касается Windows - то Microsoft тут молодцы. И оптимизируют хорошо, и защищают неплохо.
Тот же Microsoft Fix it Center - весьма полезная программа.

Правда, и у них есть неудачи - например, Internet Explorer
Пусть уже хоть браузер нормальный сделают, не обязательно Internet Explorer - можно и новое имя

14.05.10 10:33
0
MVE 0
Не в сети

Portal_X3
Я ежедневно отправляю в Microsoft много семплов и приходится регулярно ходить по зараженным ссылкам. IE8 уже выдержал около тысячи таких открытий и ни один троян или эксплойт не нанес вред моей системе.
В защиту MSE хочу сказать, что он видит довольно много. По собственной статистике где-то на уровне Dr.Web. В следующих версиях планируют немного расширить настройки. В частности управление размером LOG файлов.

14.05.10 13:14
0
Не в сети

Господа, забавно читать Ваши комментарии... Продолжайте в том же духе....

14.05.10 13:29
0
Не в сети

Шут Гороховый, что именно вас рассмешило? Или это у вас опять приступ ненавсти к МС случился

14.05.10 14:28
0
Не в сети

Антивирь хороший, пользуюсь давно, но есть одна проблемка - у меня в автозапуске стоит не одна программа, поэтому немного дольше грузятся эти приложения, ну всё же кушает памяти по-более каспера и других антивирей. Ну а Шут Гороховый как всегда - много шума из ничего. Напишите конкретно, что Вам не нравится, а эти Бу-гага не в тему

14.05.10 16:04
0
Не в сети

У MSE есть одна крайне нериятная проблема: он очень сильно(пока) использует ресурсы компа. Уж на что McAfee в этом деле поднаторели(5-6 процессов, которые отжирают прилично), и тем не менее: стоит только поставить MSE в дополнении к McAfee и система начинает дико тормозить. Без него всё Ok.

15.05.10 04:19
0
Не в сети

стоит только поставить MSE в дополнении к McAfee


stanisluv, это шутка? Кто же ставит два антивируса на один компьютер? Ты только представь, что происходит: запускается программа, и оба защитника одновременно кидаются ее сканировать, вырывая друг у друга инициативу. Более того - каждая из них постоянно видит, как процесс другой обращается к каждому открываемому файлу и запускаемой службе и, естественно, пытается это самое обращение просканировать.
Второй антивирус, видя пристальное внимание к своей персоне со стороны коллеги, блокирует попытки препарировать свое тельце и начинает попытки выяснить природу пришельца. Первый, натыкаясь на отпор и ответную "агрессию", начинает защищать себя и усиленно "отсекать" активность соседа... В итоге антивирусы только тем и заняты, что пытаются "пролечить" один другого, заваливая систему лавиной обращений к дискам и памяти. Замкнутый круг. Неудивительно, что бедная ОС начинает, скажем так, чуточку тормозить.
Так что стоит определиться с чем-то одним: либо McAffee, либо MSE. И тогда проблем не будет. Удачного выбора!

15.05.10 21:52
0
Не в сети

David Matousec - liar and thief]
Вот воришка..

16.05.10 01:02
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
207.26 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.128 секунд (Общее время SQL: 0.076 секунд - SQL запросов: 63 - Среднее время SQL: 0.0012 секунд))
Top.Mail.Ru