在比
去年更多
的文章中,我提出了一个令人遗憾的延续。
在2018年秋天,我遇到了该产品的一位创建者的评论,并决定查看新版本中的漏洞是否已修复,并尝试寻找新的漏洞。
结果,发现了以下内容:
1.通过对驱动程序安装更严格的访问权限,消除了删除/重命名驱动程序
的能力。
这个决定是显而易见的。 这是唯一的优点,其次是缺点:
2.系统文件
的保护保持“原样”,目的可能是确保操作系统更新机制的可操作性。
结果,以这种方式删除/重命名系统文件并关闭服务可以很容易地完成。
我们尝试清除dlservice.exe所依赖的看似无用的winspool.drv,然后重新启动。
我们进入系统,在任务管理器中看到该服务未启动,然后... oppa! 蓝屏!
我们超负荷了,我们进入并再次变成蓝色! 我们将文件重载到该位置。 服务正在运行,没有崩溃! 那是因为狡猾的人做了防御! 喝彩 -不要着急!
引起您注意的第一件事是进入和进入蓝屏之间存在延迟。
攻击者可以做暗事,但速度非常快。
但是,以USB3和Thunderbolt接口的速度,您可以在登录到崩溃之间的几秒钟内设法将一百或两兆字节传输到可移动驱动器。
第二个-如果您不登录,系统不会崩溃。 即 从您的笔记本电脑连接到网络,共享C $并从容接受所需的东西,因为一切都在这里,包括防火墙! 最主要的是棘手的咬伤……哎呀,不要进入远程桌面也不要登录-它会再次掉落!
最后,第三个-我们尝试代替系统外壳(默认情况下自然是资源管理器),将脚本复制到USB闪存驱动器上,然后将大的东西(例如客户端库)复制到USB闪存驱动器上(是的,用于编辑的注册表项未关闭!)。
效果很有趣-恶意脚本运行10分钟后,蓝屏甚至没有出现!
超级保护对导体起反应! 要检查,只需运行它并获得蓝屏! 即 足以禁用标准外壳,并且删除系统文件后保护失效!
似乎来自Smart Line的开发人员并不知道标准文件打开对话框几乎具有完整的文件浏览器功能,并且可以使用
从任务管理器登录后立即!
结果,我们完全符合上一篇文章的预期:他们将其他螺钉拧入了纠察队员,但这并没有大大加强保护。
令人惊讶的是,一家将自己定位为全球保护系统开发商的公司提供了这样笨拙的解决方案!
而且,他们会考虑普通用户,因为如果发生任何故障而损坏系统文件,这种奇迹般的保护措施只会使计算机的正常运行瘫痪,并且如果附近没有合格的人员,将会花费大量时间进行恢复。
进行修改时,我还是意外地发现了Apple风格的另一个技巧:您可以使用空密码代表常规用户进入管理控制台! 如果他的密码与所选DeviceLock管理员之一的密码匹配,则可能发生这种情况。
自然,在我的测试虚拟机上,所有密码都有8个。
开发人员的方法很简单-这是Microsoft的错误,我们将不修复它。 问题,为什么使用问题组件,悬而未决。
我还注意到,增强访问权限的机制也变得笨拙:安装增强的自我保护时,应用模板而不检查结果。 如果以某种方式删除了文件或预先设置了权限,以使安装程序无法更改它们,则不会有任何反应。 将不会出现错误,并且在重新启动后,该服务将无法启动,或者文件仍可用于修改/删除。 这是安全专业人员的工作吗?
结果,我们发现开发人员没有改变产品的极其失败的体系结构,而是将自己局限于笨拙,无效的补丁程序以及以广泛风格进行的持续开发。 服务变得更大了,exe文件已经是18 MB而不是13 MB!
SmartLine管理层对消除发现的合作提议反应迟钝,这更令人惊讶。 我不认为在一家严肃的IT公司中,没有一个原则“为什么要改善,人们在努力!”。
人们只能猜测该产品还有多少其他问题。 免费进一步闲逛只是懒惰。 如一年多前所述,强烈建议不要使用它。