Почему антивирусы ослабляют защищенность Windows
Эксперты по компьютерной безопасности вооружились дебагером и изучили бинарный код популярных антивирусов. Оказалось, что Касперский, Avast, BitDefender, встроенный защитник Windows и другие антивирусы используют в работе опасную технику hooking, что открывает перед злоумышленниками неограниченные возможности взлома вашего ПК.
Hooking — это перехват системных вызовов. Программа поручает операционной системе выполнить какое-то действие, но вместо операционной системы отвечает антивирус. Вызывающая программа проверяется на легитимность и далее вызов переадресуется по назначению. Операционная система выполняет запрос и возвращает антивирусу данные. Затем данные отправляются вызывающей программе. Получается, что антивирус выполняет функцию посредника. Вредоносные программы легко вычисляются по подозрительным вызовам и блокируются. Казалось бы, все прекрасно. Но есть два минуса.
Во-первых, системных вызовов много. Речь идет о тысячах вызовов в секунду. Посредничество на пути этого потока негативно сказывается на производительности. Не случайно у пользователей антивируса Касперского один из любимых вопросов — почему Касперский так тормозит систему?
Во-вторых, есть кое-что похуже неторопливости. В этом и заключается открытие специалистов. Оказалось, что такая схема ненадежна и даже опасна. Вирус может попытаться атаковать не операционную систему или другие программы (что довольно проблематично в том случае, если пользователь благоразумен и не работает под администратором), а просто внедрит свой код в тело антивирусного перехватчика. Осуществив это, вирус убивает сразу двух зайцев: получает неограниченный контроль за системой и остается невидимым как для системы, так и для антивируса.
Можно ли обойтись без антивируса?
Можно. И пользователи Linux тому пример. Грамотная настройка политики безопасности, работа с минимумом полномочий, настроенный фаейрвол, установка программ только из проверенных источников, информационная гигиена способны защитить гораздо надежнее любого антивируса.
Комментарии
old_astronaut
21 июля, 2016 - 14:09
Для таких случаев у антивирусов есть модули самозащиты.
Любая система уязвима, и Linux в том числе. Не надо очередной раз агитировать к переходу на Linux под соусом уязвимости антивирусов. Да-да, линукс хороший. Заезженная пластинка.
pomodor
21 июля, 2016 - 14:12
Почему не надо? А по-моему, надо.
Чингачгук
22 июля, 2016 - 09:04
Правильно! Чем больше пользователей Linux, тем больше качественных вирусов на этой платформе :)
pomodor
22 июля, 2016 - 10:05
Очнись, какие вирусы в Linux? Ты хоть один реально работающий видел? Я не говорю о тех экспериментальных поделках, которые просят запустить себя под рутом и доустановить библиотеки. ;)
Чингачгук
22 июля, 2016 - 10:07
Мы с Вами на брудершафт, вроде, не пили и коз не пасли. А по существу вопроса — пребывайте и дальше в розовых очках.
pomodor
22 июля, 2016 - 10:25
Не надо ля-ля про розовые очки. Конкретный вирус, от которого сильно сейчас страдают линуксоиды, в студию. Иначе балабол.
Вашим Величеством буду тебя называть, когда для этого основания появятся. Троллей-анонимусов на "вы" называть мне не позволяет воспитание. ;)
Чингачгук
22 июля, 2016 - 11:00
Плохое у Вас воспитание. Не зная человека обзывать его троллем и хамить. Я Вас не знаю, и своё мнение о Вашей личности не афиширую, но моё воспитание не даёт мне права тыкать Вам и хамить.
А Вы вообще в курсе, что самый первый вирус был написан для UNIX?
То же самое могу попросить для Windows.
pomodor
22 июля, 2016 - 11:02
Так что с конкретным примером? Слился?
Чингачгук
22 июля, 2016 - 11:06
Гугл в помощь. И не страдайте дальше.
pomodor
22 июля, 2016 - 11:08
Сам ляпнул, а отвечать должен Гугл? ;) Вот такой уровень дискуссии у пионеров. И еще требуют, чтобы их на вы называли. ;)
Чингачгук
22 июля, 2016 - 11:07
Так что? На линух вирусов вообще нет? И руткитов?
pomodor
22 июля, 2016 - 11:09
Этот вопрос тебе адресовался. Назови вирус, от которого страдают сейчас линуксоиды. Или может быть у тебя фотка есть, где линуксоиды выстраиваются в очередь за Касперским? ;)
Чингачгук
22 июля, 2016 - 11:19
из последних LinuxBackDoorXudp1
pomodor
22 июля, 2016 - 11:23
Мосье путает бэкдоры с вирусами?
Чингачгук
22 июля, 2016 - 11:25
А, это полезная утилита. Не знал. Хотя, для Вас ведь Касперский антивирусом является.
pomodor
22 июля, 2016 - 11:25
Кстати, где там эпидемия? Все ссылки на Dr.Web. Нечистоплотная контора, пытающаяся сомнительным пиаром привлечь внимание к своей никому не нужной продукции. Давай ссылку, где линуксоиды жалуются на LinuxBackDoorXudp1.
Чингачгук
22 июля, 2016 - 11:28
Да Вам не угодишь. Я не обязан Вам досуг обеспечивать. А диалог вести, когда мне хамят, я не считаю нужным. Счастливо оставаться.
pomodor
22 июля, 2016 - 11:36
А чем тут можно угодить? Я прошу привести в пример вирус, от которого страдают линуксоиды, а в ответ приводится бэкдор, о котором слышали только на сайте Dr.Web (и там же написали, надо полагать).
Чингачгук
5 октября, 2016 - 22:36
Потому, что это передёргивание (шулерство, спекуляция). Если перейти на линукс и продолжать им пользоваться как виндовсом, то и результат будет тот-же.
Хуки используются не только там, где Вы описали. Файрволы при загрузке тоже регистрируют свои хуки. И bpf-машина, и netgraph, и GEOM и ещё куча всего. Всякие контроли доступа типа MAC или SELinux наверное тоже. Давайте тогда говорить, что они тоже используют опасные механизмы (в них же можно внедриться) и ослабляют защищённость. Ядро наверное тоже защищённость ослабляет своим существованием. Оно ведь всё контролирует. И драйверы где-то рядом с ним. Например драйвер ФС. А если в него что-то внедрится?
pomodor
22 июля, 2016 - 12:34
Во кто-то надрачивает! ;) 1-2 секунды на чтение комментария, мне минус, тому слившемуся "оратору" плюс. 18 оценок менее чем за минуту. Когда же ты успел всё прочитать, чтобы вынести оценку? Я не против, но дико интересно: кто ты, болезный? Какой смысл? Где логика? Анус горит от моего заявления, что в Linux нет вирусов? Ну так привыкай, мы будем и дальше распространять правду о твоем шпионящем и дырявом Вантузе и надежном и невосприимчивом к заразе Линуксе. У тебя рука отвалится тыкать в звезды. ;)
+------------+-------+------------+-------------+
| content_id | value | timestamp | vote_source |
+------------+-------+------------+-------------+
| 61501 | 20 | 1469178599 | 37.19.37.68 |
| 61500 | 100 | 1469178603 | 37.19.37.68 |
| 61498 | 20 | 1469178607 | 37.19.37.68 |
| 61499 | 100 | 1469178610 | 37.19.37.68 |
| 61497 | 20 | 1469178615 | 37.19.37.68 |
| 61496 | 100 | 1469178617 | 37.19.37.68 |
| 61495 | 20 | 1469178620 | 37.19.37.68 |
| 61493 | 100 | 1469178620 | 37.19.37.68 |
| 61494 | 20 | 1469178622 | 37.19.37.68 |
| 61492 | 100 | 1469178624 | 37.19.37.68 |
| 61491 | 20 | 1469178627 | 37.19.37.68 |
| 61490 | 100 | 1469178630 | 37.19.37.68 |
| 61488 | 20 | 1469178634 | 37.19.37.68 |
| 61487 | 100 | 1469178636 | 37.19.37.68 |
| 61486 | 20 | 1469178639 | 37.19.37.68 |
| 61483 | 100 | 1469178647 | 37.19.37.68 |
| 61467 | 20 | 1469178650 | 37.19.37.68 |
| 61466 | 100 | 1469178651 | 37.19.37.68 |
+------------+-------+------------+-------------+
pomodor
22 июля, 2016 - 12:51
От это да! Даже с проксиков пошли накрутки.
| 113203 | comment | 61501 | 20 | percent | vote | 0 | 1469180624 | 104.131.43.59 |
| 113211 | comment | 61501 | 20 | percent | vote | 0 | 1469180723 | 46.101.197.155 |
Во народу заняться нечем! ;) Но за две /16-подсетки DigitalOcean для бана спасибо! ;)
ЗЫ все накрученные голоса будут аннулированы.
pomodor
22 июля, 2016 - 13:00
Люблю, когда у рабов Вантуза полыхает. Поэтому, не могу отказать себе в удовольствии повторить научно доказанный факт: Linux надежно защищен. Нет ни одного линуксоида, который мог бы пожаловаться, что его систему облюбовали вирусы. Windows же — это дом родной для вирусов. Инфицировать могут любого и в любой момент. Ботнеты из сотен миллионов Вантуз-компутеров это подтверждают. Говорим Вантуз — подразумеваем решето. Говорим решето — подразумеваем Вантуз. ;D
Чингачгук
23 июля, 2016 - 14:40
Уважаемый pomodor, я другой аноним, но замечу, что по сути спора вы абсолютно правы, но вот хамить оппоненту действительно некрасиво, особенно учитывая, что оппонент по отношению к вам был предельно корректен. Несолидно как то администратору так себя вести.
pomodor
23 июля, 2016 - 15:30
А чего это школота и анонимусы меня с таким рвением воспитывать кинулись? Совсем скучно на каникулах стало? ;)
Никогда не гнался за солидностью. Это у моего оппонента ЧСВ зашкаливает. Но это его проблемы. ;)
Чингачгук
23 июля, 2016 - 15:48
То, что Вы являетесь администратором, не дает Вам права хамить. А если на этом ресурсе правильное мнение только Ваше и только за линукс, то отключите анонимные комменты и будет Вам счастье в Вашем уютненьком мирке. А еще сайт на звание свободного претендует. Ага.
Кстати, на Ваше ЧСВ, судя по Вашим комментариям, вообще мерила еще не придумали.
pomodor
23 июля, 2016 - 16:04
Всегда сразу кидаюсь выполнять предписания анонимных советчиков. ;)
Он не претендует, а таковым является уже 8 лет, с самого основания. Но свобода не подразумевает, что здесь можно срать на голову, спамить, флудить и т.д. Мудакам на Либератуме полагаются только оковы.
Чингачгук
23 июля, 2016 - 16:51
Судя по переписке, срать на голову Вы начали. И вообще как это у Вас интересно получилось вырвать реплику из контекста и повернуть в нужное Вам русло (за это респект), ведь оппонент сказал, что чем популярнее ось, тем больше вероятности появления на ней вирусов, а Вы начали требовать вирус в студию. Оппонент повелся. Кто из вас двоих тролль — еще вопрос. В тот же день на главной статья появилась "Вредоносные программы под Linux опаснее Windows-аналогов", где в принципе говорится о том же, что пытался сказать аноним.
pomodor
23 июля, 2016 - 17:21
Товарищ, у вас словесный понос. Я уже ответил, что на "вы" троллей и школоту называть не собираюсь, быть солидным тоже. Сколько можно на меня жаловаться мне же? ;)
Чингачгук
23 июля, 2016 - 17:27
Воля Ваша. Кто-то умный сказал: "Относись к людям так, как хочешь, чтобы относились к тебе", однажды Вы об этом вспомните.
pomodor
23 июля, 2016 - 17:42
Я разочарован. Десяток унылых комментариев ради того, чтобы мне чужую цитату подсунуть? Всё ради этого? ;) А что еще мне прикажет анонимус? Возлюбить троллей, как самого себя? Подставить школьнегу правую щеку? ;)
Своим умом надо жить, а не попугайничать.
Чингачгук
23 июля, 2016 - 17:54
Добавьте веселых комментариев, блесните умом. Пока ваш блеск заключается в хомячках и школьнегах.
pomodor
23 июля, 2016 - 17:55
Вроде же попрощался?
Texnoline
23 июля, 2016 - 14:49
а, где хамство? Интересная претензия господа!?:) Анонимно "наехали" на владельца ресурса?
pomodor
23 июля, 2016 - 15:29
Видимо, этот анонимус оскорбился, что я на "вы" троллей отказался называть. :)
Чингачгук
23 июля, 2016 - 15:41
Даже если это был тролль, он вам не тыкал и вообще на вашу личность не переходил.
pomodor
23 июля, 2016 - 15:56
И что теперь? В попку его за это расцеловать? ;)
Чингачгук
23 июля, 2016 - 16:04
Зачем же, просто быть корректным, а троллей вообще игнорировать. Все таки администратор должен выглядеть солидно, ИМХО разумеется.
pomodor
23 июля, 2016 - 16:13
Кому конкретно я это должен? В этом и проблема, что каждый анонимный хомячок считает, что я ему чем-то обязан.
Чингачгук
23 июля, 2016 - 17:02
Вы лично никому ничего не должны, это было мнение про администратора вообще, к тому же ИМХО.
Texnoline
23 июля, 2016 - 16:29
Проблема, как раз в том, что владелец ресурса — не должен быть "мягким и пушистым", с каждым анонимом, который этого желает!:)
Чингачгук
23 июля, 2016 - 16:44
Никто не призывает быть мягким и пушистым, достаточно быть корректным с незнакомыми людьми. Сегодня вы здесь нахамите незнакомому человеку, завтра вам нахамят в реальной жизни. Вот так и живем. В реальной жизни вы тоже хамите незнакомцам, сразу на ты переходите? Или боитесь, что за это могут лицо подпортить? И нечего козырять тем, что вы владелец ресурса. Вы не знаете, владельцем чего является аноним. Вдруг он владелец хостинга? Вот обидится, и не будет у вас временно ресурса ;)
pomodor
23 июля, 2016 - 17:16
Разговор ни о чем.
Чингачгук
23 июля, 2016 - 17:19
Был бы ни о чём, люди не комментировали бы.
pomodor
23 июля, 2016 - 17:24
Пока я вижу только одного "комментатора", больного терминальной стадией словесного поноса. Тема "Почему антивирусы ослабляют защищенность Windows", а вместо обсуждения по существу мне предлагается быть солидным, ибо я кому-то что-то там, оказывается, должен. ;)
Чингачгук
23 июля, 2016 - 17:33
Ну, вот, опять хамите. И сами же от темы уходите, провоцируя на новые комментарии. И я не один здесь комментирую. Мне лично Вы ничего не должны. Вы для меня никто и звать Вас помодор. Обзывая свою аудиторию хомячками, школотой и мудаками, Вы еще удивляетесь, что им это не нравится. Интересный в своей клинике Вы индивидуум. Что, жизнь не удалась? Вот таким образом самоутверждаетесь? Что ж, успехов. Да, коммент потрите, а то вдруг кто правду о Вас узнает.
pomodor
23 июля, 2016 - 17:39
И этот человек вызвался меня вежливости учить. ;)
Чингачгук
23 июля, 2016 - 17:40
Покажите слово, которым я по-Вашему Вам нахамил. Принесу извинения, корона не свалится.
pomodor
23 июля, 2016 - 17:42
Много чести будет непонятно кого цитировать. ;)
Чингачгук
23 июля, 2016 - 17:47
Понятно. Дискуссия переходит в фазу "Сам дурак". Неинтересно. Прощайте.
pomodor
23 июля, 2016 - 17:52
Да-да. Лети на другой сайт. Ведь в интернете всё еще кто-то неправ. ;)
Чингачгук
23 июля, 2016 - 17:46
Вы ошибаетесь, комментаторов здесь как минимум двое, а может и больше.
Вот хамство уже в адрес другого оппонента, а ведь он тоже вас лично никак не оскорблял.
Сожалею, был о вас гораздо лучшего мнения.
pomodor
23 июля, 2016 - 17:53
Не переживу этого. Я не понравился анонимной школоте. Как жить дальше?
Чингачгук
23 июля, 2016 - 18:04
Если судить по стилю общения, то на школоту гораздо больше похожи именно вы.
pomodor
23 июля, 2016 - 18:11
Тогда что ты забыл на сайте школьника? ;)
Чингачгук
23 июля, 2016 - 18:47
Да я уже ухожу. А был на сайте потому, что сайт в общем интересный, администратор тоже был вполне адекватный, грубоватый порой, но вполне в пределах разумного. Но сегодня pomodor, я вас вообще не узнаю, не знаю какая муха вас укусила, или может неприятности какие у вас по жизни, но правда, такое впечатление, что под вашим именем какой то не очень воспитанный школьник пишет.
pomodor
23 июля, 2016 - 18:58
Никто не кусал. Отдельные анонимы слетели с катушек и решили, что я им чем-то обязан. Им было продемонстрировано обратное. Любой, кто посчитает нужным меня учить будет отправлен на хер.
Если такие ранимые и хотите вежливости, то регистрируйтесь и принимайте участие в вежливых и конструктивных дебатах. А то молчат-молчат, а потом вылезают высказать недовольство. А я даже не понимаю, а кто это выполз-то? ;)
Чингачгук
23 июля, 2016 - 16:59
Можно быть очень жестким, но при этом корректным, одно другому не мешает.
Walker
26 июля, 2016 - 16:33
Грустно ...
А грустно от того, что продолжают ломаться копья не по существу.
Пользователь Windows обиделся на публикацию, администратор посчитал непремлемым для себя комментарии. В результате — каждый остался при своём мнении, но при этом раздражённым на оппонента.
А стоило ли ломать эти самые копья?
Я, например, со своей стороны, согласен с точкой зрения, изложенной в статье. Не надо реагировать на слово Linux, следует обратить внимание на это: "Грамотная настройка политики безопасности, работа с минимумом полномочий, настроенный фаейрвол, установка программ только из проверенных источников, информационная гигиена способны защитить гораздо надежнее любого антивируса."
Что касается Windows, то перестал воспринимать его как удобный для себя инструмент ещё в 2010 году. Дальнейшее пятилетнее общение с этой системой в десктопных и серверных вариантах не изменили мою точку зрения, хотя и избегаю характристик "вантуз" и "решето".
На мой непрофессиональный взгляд, основными причинами, по которой Windows с лёгкостью хватает вирусы, являются две:
1) невозможность комфортно настроить под себя и работать в Windows без прав администратора;
2) получение взломанного ПО, зачастую из непонятных источников.
По существу спора, переросшего в обмен нелицеприятными репликами.
LinuxBackDoorXudp1. Упоминающему следовало бы найти больше информации по данному вопросу. Меня бы, как хотя и ламера, но пользующего Linux, в первую очередь заинтересовал бы исполняемый файл невнятного происхождения, который мне надо запустить. В то время как в Windows, да ещё под правами администратора, от меня даже согласия не требуется. Мало того, по опыту деятельности, находятся люди, которые без всякой задней мысли запускают файл с расширением .js.exe, получают подарок в виде шифровальшика, а потом полагают, что всю их нужную информацию можно восстановить. А причина в том, что у руководителя на его маке это вложение с письмом отказалось открываться. Вот он и дал распоряжение секретарю открыть его на своём компьютере. Самое замечательное в том, что антивирус даже не среагировал на то, что расширение js.exe уж как-то очень подозрительно двойное — и js и exe. И посмотреть что это есть шифровальшик и как он заражает систему было возможно не на Windows, а на Linux.
С другой стороны, не стоит превращать обмен мнениями в полемику, тем более, скатываться на оскорбительные замечания. Я переживу, что я — ламер, исходя из характеристики пользователя Mint, данной в статье "Какой Linux выбрать в 2016 году". Но у других нет запаса внутренней устойчивости. В результате — потенциальный новый пользователь Linux так и не появится, оставшись на Windows, и считая всех пользователей Linux невоспитанными снобами.
Комментировать