Wandex Δημοσ. 13 Οκτωβρίου 2009 Δημοσ. 13 Οκτωβρίου 2009 Καλησπέρα σε όλους. Έχω ενα παλιο pc και είπα να του αλλάξω το antivirus και να του βάλω το antivir avira premium. Το pc έχει firewall το Outpost το οποίο δεν θέλω να το αλλάξω με τίποτα. Όλα μια χαρά απλώς το outpost με ρωτάει συνέχεια ότι το svchost θέλει πρόσβαση στην 44080 port. Μετά απο ένα ψάξιμο κατάλαβα ότι είναι η πόρτα του webguard (σαν proxy). Και η ερώτηση είναι τι κανονα να φτιάξω στο firewall; Θα μένει πάντα ανοικτή η πόρτα αν κάνω allow το svchost; Ή έχω καταλάβει κάτι λάθος; Ευχαριστώ εκ των προτέρων.
parsifal Δημοσ. 14 Οκτωβρίου 2009 Δημοσ. 14 Οκτωβρίου 2009 Αν ο κανόνας που θα φτιάξεις είναι για τη διεργασία svchost.exe συγκεκριμένα, όχι, η θύρα δε θα είναι αυτόματα προσβάσιμη και από όλες τις υπόλοιπες διεργασίες.
Wandex Δημοσ. 14 Οκτωβρίου 2009 Μέλος Δημοσ. 14 Οκτωβρίου 2009 Ευχαριστώ Parsifal. Μάλλον η απορία μου είναι λανθασμένη, αλλά αν του επιτρέπω μόνιμα ποιος ελένχει το svchost αν ανοίγει την πόρτα για το avira?
parsifal Δημοσ. 14 Οκτωβρίου 2009 Δημοσ. 14 Οκτωβρίου 2009 Αν ανατρέξεις σε σχετική με το svchost βιβλιογραφία που υπάρχει στο διαδίκτυο, θα δεις ότι πρόκειται για μία γενικού σκοπού διεργασία που χρησιμοποιείται για να φιλοξενήσει την εκτέλεση των διαφόρων υπηρεσιών (services) των Windows. Μάλιστα, για κάθε μία υπηρεσία εκκινείται ένα ξεχωριστό instance του svchost. Πώς μπορείς να καταλάβεις για κάθε instance τί τρέχει από κάτω; Υπάρχουν διάφορες μέθοδοι. Δες π.χ. αυτό το link. Τώρα, για να εκμεταλλευτεί κάποιο malware τα παραπάνω θα πρέπει: 1. Να περάσει πρώτα στο σύστημα 2. Να μασκαρευτεί το ίδιο ή κάποιο component του ως service 3. Να πειράξει τη registry ώστε να κάνει τις αλλαγές που χρειάζονται για την εκκίνησή του μέσω του svchost Επειδή τα παραπάνω δεν είναι εύκολο να γίνουν όταν ήδη υπάρχουν τα στοιχειώδη μέτρα ασφαλείας in-place (least user access, antivirus software), μερικά malware επιστρατεύουν άλλες πονηρές τακτικές όπως η χρήση μίας διεργασίας με παρεμφερές όνομα εκτελέσιμου (π.χ. svhost.exe, scvhost.exe) για να ξεγελάσουν τον χρήστη ώστε να ξεμπλοκάρει τη συγκεκριμένη διεργασία όταν αυτή ζητήσει πρόσβαση εκεί που δεν πρέπει. Θέλει λίγο προσοχή και ενημέρωση από την πλευρά του χρήστη.
Wandex Δημοσ. 15 Οκτωβρίου 2009 Μέλος Δημοσ. 15 Οκτωβρίου 2009 Ευχαριστώ και πάλι Parsifal. Την θεωρία την ξέρω και μάλλον την έχω καταλάβει. Απλώς δεν την έχω δεν στην πράξη. Ένα antivirus ελένχει για παράδειγμα το svchost. Τα instances όμως που έχει φορτώσει τα ελένχει το antivirus ή ένα firewall; Τώρα μάλλον απαντώ στον εαυτό μου απλώς θέλω να δω αν είναι σωστή η ιδεά μου. Πες ότι γίνονται και τα 3 που ανέφερες. Αν πάει να ανοίξει μια καινούργια πόρτα το firewall θα το πιάσει και στο αναφέρει το λιγότερο. Αν πάει να ανοίξει την ίδια πόρτα με κάποιο instance πού έχει ξεγελάσει το svchost, τότε το αντιλαμβάνεται το antivirus ότι είναι δεν είναι το ίδιο instance; Ή μαλλον καλύτερα, έστω ότι υπάρχει κανόνας να ανοιγει το svchost π.χ. την 44080. Αν άλλo όμως instance το ζητήσει, το svchost θα την ανοίξει πάλι; (εντάξει η αλλαγή ονόματος όπως ανάφερες αν και συμβαίνει δεν το λαμβάνω υπόψη στην συγκεκριμένη σκέψη) Αερολογίες ε;
parsifal Δημοσ. 15 Οκτωβρίου 2009 Δημοσ. 15 Οκτωβρίου 2009 Ένα antivirus ελένχει για παράδειγμα το svchost. Τα instances όμως που έχει φορτώσει τα ελένχει το antivirus ή ένα firewall; Με τον όρο "instances" πιο πάνω αναφερόμουν στις διαφορετικές διεργασίες svchost.exe που τρέχουν στο σύστημα. Εδώ εσύ μάλλον δεν εννοείς "instances", αλλά τον κώδικα των διαφόρων services που χρησιμοποιούν ως «μεταφορικό μέσο» ένα svchost instance. Σωστά; Εξαρτάται τί εννοείς με το «ελέγχει»: 1. Ο έλεγχος για το αν ο συγκεκριμένος κώδικας είναι κακόβουλος (είτε αυτός είναι signature-based είτε heuristics-based) γίνεται από το antivirus σου. Ορισμένα antivirus μάλιστα κάτα την εγκατάστασή τους προσπαθούν να ρυθμίσουν την ίδια την εκκίνησή τους ώστε αυτή να γίνεται όσο το δυνατόν νωρίτερα κατά την φόρτωση των Windows, για να «πιάσουν» και τις μολυσμένες ή «μασκαρεμένες» services 2. Ο έλεγχος για πρόσβαση στο δίκτυο γίνεται από το firewall σου Πες ότι γίνονται και τα 3 που ανέφερες. Αν πάει να ανοίξει μια καινούργια πόρτα το firewall θα το πιάσει και στο αναφέρει το λιγότερο. Αν πάει να ανοίξει την ίδια πόρτα με κάποιο instance πού έχει ξεγελάσει το svchost, τότε το αντιλαμβάνεται το antivirus ότι είναι δεν είναι το ίδιο instance; Υποθέτω, όπως και παραπάνω, ότι γράφοντας "instance" εννοείς και εδώ κάποιο εκτελέσιμο αρχείο που πιθανόν να περιέχει κακόβουλο κώδικα. Άσχετα αν χρησιμοποιείται η ίδια generic process για την φόρτωσή του, ένα antivirus με real-time scanner θα έχει κάνει ήδη τη δουλειά του όταν πρωτοζητηθεί από το σύστημα να διαβαστεί ο εν λόγω κώδικας από το σκληρό δίσκο, οπότε θα σου πετάξει popup, θα μπλοκαριστεί η εκτέλεσή του και θα τελειώσει εκεί το θέμα. Ή μαλλον καλύτερα, έστω ότι υπάρχει κανόνας να ανοιγει το svchost π.χ. την 44080. Αν άλλo όμως instance το ζητήσει, το svchost θα την ανοίξει πάλι; (εντάξει η αλλαγή ονόματος όπως ανάφερες αν και συμβαίνει δεν το λαμβάνω υπόψη στην συγκεκριμένη σκέψη) Αν δεν κάνω λάθος, τα πιο εξελιγμένα firewalls κάνουν διάκριση μεταξύ των διαφορετικών svchost.exe και ζητούν confirmations ξεχωριστά για το καθένα. Ακόμη και για την outgoing δικτυακή κίνηση (όπου δεν γίνεται ενεργά listen σε κάποια θύρα).
Wandex Δημοσ. 16 Οκτωβρίου 2009 Μέλος Δημοσ. 16 Οκτωβρίου 2009 Δεν το έγγραψα καλά συγνώμη για αυτό. Kαι ευχαριστώ που ανέχεσαι τις "εμπνεύσεις" μου. Όπου αναφερόμουν σε instances εννοούσα τα services που τρέχουν κάτω από ένα svchost. Δηλαδή σε αυτά στην δεξιά στήλη. Σε κάθε ερώτηση σε αυτά αναφερόμουν. Αυτά είναι που δεν ήξερα όταν φορτώνονται αν τα scanarei κάτι. Αν καταλαβαίνει για παράδειγμα το avtivirus ή το firewall ότι ναι μεν το svchost ανοίγει την πορτα 44080 αλλά για ποιό service. Και αυτό έχει αλλαχτεί ή όχι. Και επίσης μπορεί να την ανοίγει, λέμε τώρα έτσι, to alerter του svchost με pid 708 από την φωτό. Αν θελήσει να την ανοίξει και το webclient, τι γίνεται; Αυτό είναι που με απασχολεί. Αλλα μάλλον μου απαντησες 1. Ο έλεγχος για το αν ο συγκεκριμένος κώδικας είναι κακόβουλος (είτε αυτός είναι signature-based είτε heuristics-based) γίνεται από το antivirus σου. Ορισμένα antivirus μάλιστα κάτα την εγκατάστασή τους προσπαθούν να ρυθμίσουν την ίδια την εκκίνησή τους ώστε αυτή να γίνεται όσο το δυνατόν νωρίτερα κατά την φόρτωση των Windows, για να «πιάσουν» και τις μολυσμένες ή «μασκαρεμένες» services Άσχετα αν χρησιμοποιείται η ίδια generic process για την φόρτωσή του, ένα antivirus με real-time scanner θα έχει κάνει ήδη τη δουλειά του όταν πρωτοζητηθεί από το σύστημα να διαβαστεί ο εν λόγω κώδικας από το σκληρό δίσκο, οπότε θα σου πετάξει popup, θα μπλοκαριστεί η εκτέλεσή του και θα τελειώσει εκεί το θέμα.
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.