-
Anti Virus Programme..
Autor: Legacyleader 08.12.14 - 20:41
....die meisten deaktivieren ASLR unter Windows wegen der Sicherheit. So viel dazu ....
-
Re: Anti Virus Programme..
Autor: FreiGeistler 08.12.14 - 21:17
Habe gerade mal Wikipedia besucht.
ASLR ist scheinbar schwierig, vollständig zu implementieren, und mittels spraying (dabei wird Schadcode im Speicher GESTREUT, "dupliziert" ist missverständlich) komplett zu umgehen.
1 mal bearbeitet, zuletzt am 08.12.14 21:20 durch FreiGeistler. -
Re: Anti Virus Programme..
Autor: lear 08.12.14 - 22:23
"Jein"
Dummes Spraying scheitert an DEP, s. zB.
> http://www.heise.de/security/artikel/Die-Rueckkehr-des-Sprayers-Exploits-trotz-DEP-und-ASLR-1169279.html
Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas) "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen) lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten keinen massiven run auf ASLR)
Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht position-independent übersetzt wird, weil libmagic dann nicht mehr zw. binary und shared object unterscheiden kann und man <programm> dann nicht durch anclicken aus dolphin oder nautilus starten kann ... m(
(Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl gesprühe findet man auch die Adresse in der gewünschten lib ;-)
Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs. -
Re: Anti Virus Programme..
Autor: Legacyleader 08.12.14 - 22:35
Mal ne Kleine Liste noch sry im ersten Thread war ich grade im Zug und konnte mit edge nur das schreiben :)
ESET benutzt ASLR komplett aber ESET's Erkennungsraten sind halt meh
Avira, G Data und McAfee machen dies nur in der 64bit Version
Gibt ja genug Fälle in dem sich die Malware als Teil des Antiviren Programm ausgibt und dieses "Feature" eben ausnutzt (meistens in den Siganturen selbst) und somit nicht erkannt wird. ASLR Support ist ein großer Entscheidungsfaktor der nicht unterschätzt werden sollte -
Re: Anti Virus Programme..
Autor: Niantic 08.12.14 - 23:17
lear schrieb:
--------------------------------------------------------------------------------
> "Jein"
> Dummes Spraying scheitert an DEP, s. zB.
> > www.heise.de
>
> Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas)
> "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen)
> lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten
> keinen massiven run auf ASLR)
>
> Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht
> position-independent übersetzt wird, weil libmagic dann nicht mehr zw.
> binary und shared object unterscheiden kann und man dann nicht durch
> anclicken aus dolphin oder nautilus starten kann ... m(
>
> (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön
> und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl
> gesprühe findet man auch die Adresse in der gewünschten lib ;-)
>
> Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs
> libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen
> (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.
Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach darauf testen ob sie shared libraries sind oder Programme. Weil Programme einen Entry point haben. (Main Funktion). Der Entry point wird im elf header benannt, und das ist auch bei aslr binaries der Fall. -
Re: Anti Virus Programme..
Autor: hab (Golem.de) 08.12.14 - 23:35
Niantic schrieb:
--------------------------------------------------------------------------------
> Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach
> darauf testen ob sie shared libraries sind oder Programme. Weil Programme
> einen Entry point haben. (Main Funktion). Der Entry point wird im elf
> header benannt, und das ist auch bei aslr binaries der Fall.
Es ist leider nicht so einfach. Manchmal haben auch Libraries eine Main-Funktion. Einfach mal libc starten versuchen, es funktioniert.
Der entsprechende libmagic-Bugreport ist ja verlinkt, wenn Du einen guten Vorschlag hast (am besten in Form eines Patches): her damit.



