А _вирусы_ как таковые еще живы?

kaspersky
Для контроля целостности системных файлов можно использовать AVZ или любой другой а-ля ADinf.
А для всех остальных файлов - заходим в ограниченную учетную запись, запускаем exe-шники и по показаниям FileMon проверяем - не пытается ли какой-то модуль куда-нибудь писать.
А троянов находить гораздо сложнее. Есть приличные программы, требующие соединения с Интернетом (н-р, для регистрации). Троян обычно запускается автоматически - запускаем autorun и удаляем все незнакомое.

Я так и делаю, а разве рпи запуске установщика он не проверяет свою целостность? А с ограниченными правами вирь может записать себя только в папку где исходники лежат.

Вот с этим я согласен.

 

не помогут. реверсенг - это опыт и понимание того, что делоешь и чего из этого хочешь получить

дада. .Ц-модификацию можно было не напрягаясь найти (полинститута переболело)

можт autoruns?

сплоет повышения привелегий может появицо в любую секунду.

0о. параноики... подумаешь, десяток - два семплов уплывут в инет, откуда собсно и приплыли...

 

AndreyMust19
> Для контроля целостности системных файлов можно
> использовать AVZ или любой другой а-ля ADinf.
понять руки всем, кто его использует
это раз. программы, обновляющие себя - тебе знакомы?

> А для всех остальных файлов - заходим в
> ограниченную учетную запись, запускаем exe-шники
> и по показаниям FileMon проверяем - не пытается ли
> какой-то модуль куда-нибудь писать.
а) затрахаешься так это делать
б) блондинка с FIleMon это круто
в) это только против вирус придурков, нормальный вирь сначала проверяет права, прежде чем куда-то лезть, а если детектит FileMon, то обходит его на раз
г) уж лучше сандбокс какой использовать и все из-под него пускать
д) номальные апреухи и так х.з. куда лезут. поубивал бы. сейчас вот принтер куип. HP, но такая гадость. 300 метров дров. на ноут ставился пол-часа. засрал всю систему и щас все глючит ;( чем не вирус?

> А троянов находить гораздо сложнее.
так же как и виурсов. по сигнатурам. по другому еще не научились.

> Троян обычно запускается автоматически
> запускаем autorun и удаляем все незнакомое.
ну это очень сильно пионерский троян.
если бы все было так просто? а, хочешь я тебе оутсорю заказ?
напиши удалялку для троянов (не вирей) Vundo и FakeAV.
оплата за это с тремя нулями сзади и двумя цифрами спереди.
и все это в валюте. только ты сначала посмотри на трояны
а то еще и три цифры спереди запросишь и не в долларах,
а евро

>> 90% юзеров хранят дистры на винте
> Я так и делаю, а разве рпи запуске установщика
> он не проверяет свою целостность?
вирусы, порожащющие дистры это учитывают, ес-но

> А с ограниченными правами вирь может записать
> себя только в папку где исходники лежат.
мы говорим, про обычных юзерей. а у них...

вообще же спор беспредметный.
на вопрос - а если ли еще вирусы, я (и не только я) ответил:
да, вирусы еще есть и похоже умирать не собираются.
а обсуждать, что имеет больше шансов на выживание...
если на то пошло, то программа с закладкой, например,
показывающая рекламу - даже аверами палиться не будет
ну а механизм автообновлений - это тот же бак-дор

 

Книга не даст того опыта, который ты сможешь приобрести (!) исследуя сам, тот или иной, программный продукт, да и того азарта и удовлетворения от проделанной работы

Собственно Крис, писал, что достаточно месяц поработать с дизассемблером, что бы его освоить, какой срок работать не помню

 

Крис, а ты перечитываешь свои книги? не забываешь ничего?
или еще так - помнишь ли, что писал тогда или что делал, в минуты написания тех строк?
Просто интересно

 

Freeman
> не помогут. реверсенг - это опыт и понимание того,
> что делоешь и чего из этого хочешь получить
по аналогии с быдлокодингом скоро появится и быдлореверсинг, т.к. 90% уходит на тупую работу, не требующую особых знаний. просто сидишь и тупо реверсишь. вот сейчас ковыряю одну программу (эмулятор конкурентов). надо найти как она эмулит IDIV, ну и где найти этот IDIV? первые лобовые атаки ушли лесом. искал DIV/IDIV в IDA по ALT-T, ставил бряки. бряки не сработали. трассировал ольгой две проги одна из которых с IDIV, другая - без, сравнивая трассы. еще в ольге пытался брякаться на IDIV/DIV при трассировке. усе пусто. остается только тупо потрошить сотни килобайт кода. ага, по константам я тоже его искал. фиглишь толку.

>> а если хотите конфликера - дык он и сам к вам придет
> дада. .Ц-модификацию можно было не напрягаясь найти (полинститута переболело)
Это точто была Ц? почти все Ц которые выдвались за Ц на самом деле представляли слегка перекуреченный Б, а Ц найти было очччень трудно.

>>А с ограниченными правами вирь может записать себя только в папку где исходники лежат
> сплоет повышения привелегий может появицо в любую секунду.
в любой системе есть куча exe/dll куда разрешена запись, причем некоторые dll имеют странные расширения (типа .dat). и чем больше аплеух ставит юзер не из под админа, тем таких программ больше. а еще ярлыки, доступные всем. через них так же повышаются права. короче, возможностей внедрения в exe на не-параноидальной машине более чем предостаточно

> 0о. параноики... подумаешь, десяток - два семплов уплывут в инет, откуда собсно и приплыли...
ну там не только сэмплы. хотя даже для доступа к корпоративному ящику на mcafee нужен токен, меняющий пароль каждую минуту и еще пин. VPN... ну вообще-то можно и без него. но что больше всего задрачивает, что WEB-почта постояно грит, что сессия типа эксперид, перезапускайте браузер. просто закрыте/открытие вкладки не помогает ;( а если у меня там что-то еще качается?! и вообще вкладок открыто немерянно. ну коненчо, мыщъх это дело захачил но все равно с секьюрностью напряги ;(

 

JCronos
> Крис, а ты перечитываешь свои книги?
только во время сдачи в печать при редактировании.

> не забываешь ничего?
забываю очень много, ес-но. типа расковырял что-то -> описал -> забыл. ну не все забываю конечно. кое-что помню. вот например помню как вывел очень любопытную формулу, которой пользуется VM Protect (и не только он)
if (((x - 0x12) % 04) == 1) return -1; // INVALID

это только ее часть там еще три строки нужно дописать а еще грят, что я vm protect'а не знаю сейчас вот мне эта формула очень сильно пригодилась и помогла понять, чем DEADC0DE лучше, чем DEADBEEF

> или еще так - помнишь ли, что писал тогда или что делал, в минуты написания тех строк?
что делал - местами отмечано. колбасу жевал. на collarme туссовался

 

В гугл ввел collarme и перва же ссылка

 

JCronos
вообще-то это социальная сеть. там очень интересные люди порой раз попадаются. кстати, со всего мира. кому как, а я там провожу времени больше, чем на васме.

 

Крис, а какой размер файла у конфикера.д? Заинтресовал он меня, хотелось бы покопать, сами модификации достать для меня не проблема (в наших краях он называется кидо ), вот только не знаю какой именно это файл по классификации McAfee.

 

HH9
> Крис, а какой размер файла у конфикера.д?
мне дали только один сэмп для анализа. размер: 88,576
если не ошибасюсь, то вот, кажется, он.
http://www.virustotal.com/analisis/b9041794f7b6dfcd0bbf659ba1292b5b

> Заинтресовал он меня, хотелось бы покопать,
> сами модификации достать для меня не проблема
> (в наших краях он называется кидо ),
> вот только не знаю какой именно это файл по классификации McAfee.
у макфы слегка другая классификация, пока мы обзываем его W32/Conficker.worm.gen.c, это бы нужно поправить, но макфа _очень_ большая компания. это вам не лаборатория касперского вообще-то я работаю на Avert Labs (исследовательское подразделение максы), у нас несколько другая, гм, сфера деятельности. вот тут немного о тот, чем мы занимаемся. http://www.avertlabs.com/research/blog/

описание Д пробегало на http://www.malwareinfo.org/ (читал по диагонали, не поручусь, что все сказанное - правда)

 

kaspersky

Кажется нашел.

md5 такая: 667457631610dbc00e3bf0202449d355 ?

Правда у Макфы он идет как W32/Conficker.worm.gen.c

 

ссыль выше на виртотал не такая, если то действительно конф Д

 

я про тот что 88,576 размером.
на вирустотале другой файл.

 

Conficker размером 88 576 байт (MD5: 5e279ef7fcb58f841199e0ff55cdea8b)
есть на www.offensivecomputing.net