Цитата:
Сообщение от Ky.
Вообще говоря, мне не совсем понятен этот способ борьбы. При чем тут безобидные ини, мдб и логи? Блокировать надо запись исполняемых файлов. Возможно, исполнение только разрешенных специально файлов. А пока можно выполнить все что угодно откуда угодно, в т.ч. из юзердирсов, эта "защита" как коту пламенный спич. Может, ухом пошевелит, но от своего дела не оторвется.
|
Это всего лишь один из эшелонов обороны против угрозы извне. Цель практически любого зловреда - выполнится под привелегированным пользователем (админом). Реалии таковы что можно уже заразить даже привод hdd и тогда никакой антивирус уже не сможет найти заразу (отключение UAC и запуск под админом этому поспособствует).
Один из путей это запрет на изменение в определённых каталогах. В Windows раньше был UAC, сейчас я не знаю, в linux для этих целей appArmor и selinux, которые тоже обычно отключают при установке какого-либо софта из-за нежелания с ними разбираться. Проблема в том что для серверов это критично. В частности, selinux также следит за возможностью записи в определённые каталоги не разрешая запись если она чётко не оговорена в политике что этой программе под этим пользователем можно это и это.
В Windows в %programfiles% помимо самих выполняемых файлов (exe) существуют также файлы с ресурсами (шрифты, разнообразные картинки) и подгружаемые библиотеки. Вирусу необязательно в общем то заражать только исполняемые файлы, также вполне достаточно внедрится в ресурсы или в библиотеки. А с точки зрения ОС разницы особой нет в файлах, разница только в том чем и как их открывать. Сама ОС не может отследить конкретно что происходит - записывается ли ini файл, сбрасываются страницы из БД или действует вирус. ОС работает на уровне дескрипторов и буферов. открыл файл - заполнил буфер с нулями и единицами и передал программе, получил буфер с нулями и единицами и записал в файл.