- 21,965
- 46
- 8 Ноя 2022
Автор честно предупредил о слабых местах своего творения, но его перспективы поражают.
На GitHub дебютировал новый проект с открытым исходным кодом под названием NoMoreStealers . Он позиционируется как демонстрационное средство защиты Windows-систем от вредоносных программ, специализирующихся на краже конфиденциальной информации. Разработку ведёт автор под псевдонимом EvilBytecode.
Решение построено на MiniFilter-драйвере ядра, способном перехватывать операции создания файлов и ограничивать доступ к определённым директориям на основе доверия к запрашивающему процессу. Несмотря на статус прототипа, инструмент уже выполняет базовые функции предотвращения несанкционированного чтения пользовательских данных.
В состав входят два модуля — компонент на уровне ядра и пользовательское приложение с интерфейсом, созданным на фреймворке Wails. Драйвер регистрируется через Filter Manager и отслеживает обращения к файловой системе. Если процесс не входит в список надёжных, ему запрещается доступ к защищённым путям, среди которых указаны профили браузеров, криптовалютные кошельки и мессенджеры.
Надёжность процесса определяется либо через встроенный список разрешённых исполняемых файлов, либо с помощью функции PsIsProtectedProcessLight(), применяемой в современных версиях Windows. Для передачи уведомлений используется разделяемая память, но пока отсутствует полноценная система сообщений — все события выводятся только через отладочный интерфейс.
Графическая часть реализует отображение событий в реальном времени и поддерживает вспомогательные функции, такие как защита от съёмки экрана с помощью прозрачных наложений и сворачивание в системный трей. Однако текущая реализация охватывает лишь создание файлов, не реагируя на их модификации или удаление, а модель доверия можно легко обойти, подменив имя исполняемого файла. Кроме того, все конфигурации жёстко зашиты в код, и для их изменения требуется повторная сборка проекта. Подписей и анализа родительских процессов также нет.
Чтобы протестировать NoMoreStealers, потребуется Windows 10 или 11, административные права и среда разработки Visual Studio с установленным Windows Driver Kit. Процесс установки включает активацию режима тестовой подписи, сборку драйвера, настройку реестра и ручную загрузку компонента через командную строку. Автор подчёркивает, что это исключительно исследовательская разработка, непригодная для использования в реальных условиях. Она ориентирована на обучение, экспериментирование и расширение возможностей сообщества.
Среди приоритетных задач на будущее заявлены: расширение набора отслеживаемых операций, реализация динамически настраиваемых директорий, усовершенствование системы уведомлений, проверка цифровых подписей и внедрение механизмов противодействия маскировке вредоносного ПО. Проект распространяется по лицензии MIT, а его создатель открыт к сотрудничеству и доработке инструмента.
На GitHub дебютировал новый проект с открытым исходным кодом под названием NoMoreStealers . Он позиционируется как демонстрационное средство защиты Windows-систем от вредоносных программ, специализирующихся на краже конфиденциальной информации. Разработку ведёт автор под псевдонимом EvilBytecode.
Решение построено на MiniFilter-драйвере ядра, способном перехватывать операции создания файлов и ограничивать доступ к определённым директориям на основе доверия к запрашивающему процессу. Несмотря на статус прототипа, инструмент уже выполняет базовые функции предотвращения несанкционированного чтения пользовательских данных.
В состав входят два модуля — компонент на уровне ядра и пользовательское приложение с интерфейсом, созданным на фреймворке Wails. Драйвер регистрируется через Filter Manager и отслеживает обращения к файловой системе. Если процесс не входит в список надёжных, ему запрещается доступ к защищённым путям, среди которых указаны профили браузеров, криптовалютные кошельки и мессенджеры.
Надёжность процесса определяется либо через встроенный список разрешённых исполняемых файлов, либо с помощью функции PsIsProtectedProcessLight(), применяемой в современных версиях Windows. Для передачи уведомлений используется разделяемая память, но пока отсутствует полноценная система сообщений — все события выводятся только через отладочный интерфейс.
Графическая часть реализует отображение событий в реальном времени и поддерживает вспомогательные функции, такие как защита от съёмки экрана с помощью прозрачных наложений и сворачивание в системный трей. Однако текущая реализация охватывает лишь создание файлов, не реагируя на их модификации или удаление, а модель доверия можно легко обойти, подменив имя исполняемого файла. Кроме того, все конфигурации жёстко зашиты в код, и для их изменения требуется повторная сборка проекта. Подписей и анализа родительских процессов также нет.
Чтобы протестировать NoMoreStealers, потребуется Windows 10 или 11, административные права и среда разработки Visual Studio с установленным Windows Driver Kit. Процесс установки включает активацию режима тестовой подписи, сборку драйвера, настройку реестра и ручную загрузку компонента через командную строку. Автор подчёркивает, что это исключительно исследовательская разработка, непригодная для использования в реальных условиях. Она ориентирована на обучение, экспериментирование и расширение возможностей сообщества.
Среди приоритетных задач на будущее заявлены: расширение набора отслеживаемых операций, реализация динамически настраиваемых директорий, усовершенствование системы уведомлений, проверка цифровых подписей и внедрение механизмов противодействия маскировке вредоносного ПО. Проект распространяется по лицензии MIT, а его создатель открыт к сотрудничеству и доработке инструмента.
- Источник новости
- www.securitylab.ru
