Русские антивирирусы оцтой

Написал сёня обычный инфектор PE, запись в последнюю секцию, поиск адресов API,вобщем стандарт вируса )))



Заразил файл,протестил..хоть бы один из Rus AVP пукнул в сторону это файла ), зато отдуши проперделись все забугорные антивири особенно громко NOD32 и Panda,для чего спрашивается столько весит kaspersky и жрёт половину оперативки? и сколько слышал что у DrWeb какая то там неземная эвристика с какойто там глубиной сканирования,

помоему как добовлять сигнатуры в свои базы они ничё не могут, и люди ещё деньги за этот оцтой платят...

 

вот так и получается.

я же говорю, еще во времена дос'а мной был написан авирь,

который хавал подавляющее большинство неизвестных ему

резидентных вирей простой трассировкой int13/int21

и анализом способа "посадки" в память, вирусы имееют

довольно хакакретный способ посадки.



тоже самое и с PE/ELF. в подавляющем большинстве

случаев внедрение легко распознать без всякой

эвристики, которая пол-часа сканит каждый файл.



вопрос - почему же это до сих пор не взяли на вооружение

авторы аврирей открыт. не знать/не уметь/не догадываться

они не могут, этот вариант даже не рассматривается.

выходит только одно - им не выгодно, чтобы однажды

написанный аврирь все ловил и не требовал обновлений

 

nobodi>то почему не напишите универсальный мега-антивирус



Я себе написал простой сканер файлов с crc, и теперь за дистрибутив не опасаюсь.

А антивирусы- дерьмо.

 

nobodi

чтобы что-то написать, должна быть хорошая мотивация. а иначе всё заканчивается на стадии исследования и проб некоторых приёмов.



а какая может быть мотивация? "миллион баксов"? хе.

доказать "всему миру" антивирусников, что ты — лучший, и оставить их в символическом иероглифе? возможно, но стоит ли?

 

Фи, какой-то старушкинско-скамеечный базар. Или стариковско-доминошный.



Leroy

хоть бы один из Rus AVP пукнул в сторону это файла ), зато отдуши проперделись все забугорные антивири особенно громко NOD32 и Panda



Как известно, есть "ошибки первого рода" - когда здоровый считается больным, и есть "ошибки второго рода" - когда больной ошибочно считается здоровым. От них не избавиться, они были, есть и будут всегда. Вопрос - как ситуацию разруливать. Наши антивири традиционно предпочитают "презумпцию невиновности", забугорные - наоборот. В принципе, я на стороне наших. Пусть лучше а/в сегодня пропустит какого-нибудь нового виря (я его сам глазками найду и отправлю аверам), чем подымет кипеш на ровном месте (а это просто характерный для буржуев способ вытягивания бабла и накруток "потерь от вирусов", которые они там у себя муллиардами баксов считают).



n2k

я же говорю, еще во времена дос'а мной был написан авирь, который хавал подавляющее большинство неизвестных ему...



Крис, ну децкий же сад. Это все было сто раз пройдено лет 15 назад десятками и сотнями аверов во всеам мире. В результате остались только реально жизнеспособные решения и технологии. "Простая трассировка int13/int21" - это как раз тупиковая ветвь, потому что "хакакретный способ посадки" - как раз не характерный. Десятки реальных приложений, не только системные утилитки, но и многие крупные коммерческие приложения садились в память аналогичным образом. А еще необходимость не гавкать на многочесленные вполне легальные навесные защиты от НСК. А еще необходимость одинаково надежно работать во всех версиях МС-ДОС, ДР-ДОС, Физтех-ДОС. А еще необходимость экономить ресурсы в условиях, когда из за нехватки всего одного килобайта нужая прога не запускается. А еще, а еще, а еще... "Простая трассировка" - это решение для одного-единственного конкретного юзера, причем для такого, которому оно на самом деле нафик не нужно.



тоже самое и с PE/ELF. в подавляющем большинстве случаев внедрение легко распознать без всякой эвристики,



Расскажи об этом бухгалтерше в поликлинике или секретутке в офисе.



им не выгодно, чтобы однажды написанный аврирь все ловил и не требовал обновлений



Даже если бы это было им выгодно, они все равно не смогли бы сделать это.



yureckor

А антивирусы - дерьмо.



Давай представим ситуцию - на твоем компе 1000 прог заражены Вынь.Чихом, или 1000 документов каким-нибудь Макро.Офис.Провербом.

Твои действия? Раз оно дерьмо, то дерьмом - не пользоваться! Ы?

 

Интересно, как велик процент таких вирусов. IMHO, сейчас больше троянов на языке высокого уровня. И вся эта эвристика просто не нужна. Нужен своевременный апдейт баз, причем география распространения вируса, а следовательно и присутствие в базах, тоже важна. Например, проверено, что присланный вирус DrWeb не появился в базах Kaspersky.

А если говорить о предприятиях, то от целевых штучных вирусов, троянов и прочего вредоносного ПО антивирусы бессильны.

 

а что бы ВЫ встроили в СВОЙ антивирус?

 

Интересно, какой-нибудь AV ругается на файлы вида important.txt.exe с иконкой от notepad в ресурсах ?

 

2S_T_A_S_

интересно, как ты себе это представляешь? )

у AVZ (z-oleg.com) есть настройка на выдачу предупреждений при маскировании расширения, но вот проверять, что иконка в ресурсе принадлежит notepad-у - этого я что-то не встречал ) ,тем более есть ещё иконка от wordpad-а )

 

Можно проверять все иконоки от распространённых приложений просто сравнивая побайтно. Конечно, это легко будет обойти, чуть подрихтовав рисонок, но тогда уже можно и "интеллектуальные" проверки делать на похожесть картинок.

 

Особенно забавно, как кто-нибудь поставит AV Norton, ну и конечно весь софт у него не лицензионный. А потом бегает как ошалелый, после того как ему скажут, что это наверное чернобыль.

 

2S_T_A_S_

т.е. встроить в антивирус распознаватель образов? )))

я так и вижу ленту новостей: компании ABBY и Kaspersky AV объявляют о совместной разработке =)))))

впрочем некоторый смысл в этом есть

хотя как должно будет выглядеть сообщение об ошибке?

"Иконка программа XXX очень похожа на иконку notepad-a!"

 

да. не сочтите за флуд, но название темы ОЧЕНЬ некорректно. можно было написать - "Российские антивирусы".

 

Имхо нужна только программа которая перехватывает обращения к файлам и ведет лог попыток записи в исполняемые файлы, она обнаружит почти 100% вирусов без всяких баз. Если вирус обнаружен, то лечить его можно любым антивирем который может это делать.



И вообще, все антивири говно, лучший антивирь это голова и прямые руки.

 

iamlamer

> Крис, ну децкий же сад. Это все было сто раз

> пройдено лет 15 назад десятками и сотнями аверов

так я на первооткрывателя и не претендовал,

напротив, говорил, что все очень просто



> "Простая трассировка int13/int21" - это как раз

> тупиковая ветвь, потому что "хакакретный способ

> посадки" - как раз не характерный. Десятки реальных

в действительности, она не совсем "простая",

но суть не в этом. под MS-DOS существует только один

способ легального редиденства, причем для вирусов этот

способ неприемлим и практически никто из них его

не практиковал.



с другой стороны, появление нового резидента, которого

вы не устанавливали, наводит на некоторые размышления,

особенно если он перехватывает нехорошие прерывания.



> приложений, не только системные утилитки, но и многие

> крупные коммерческие приложения садились в память

> аналогичным образом.

большой класс вирей садился наверх памяти,

либо убирая себя из MCB-блоков, либо указывая владельца 8

вопрос - сколько легальных программ юзало такой способ?



опять-таки,если говорить про DOS,а мы про нее и говооим,

сколько существовало вирей, а сколько резидентов?

лично я вел базу не вирей, а легальных резидентов

и этот способ себя оправдал. мои знакомые, тестирующий

сей аврирь, были благодарны.



> А еще необходимость не гавкать на многочесленные вполне

> легальные навесные защиты от НСК.

резидентные? а чтобы не гавкнуть, чтобы юзер не снес

их куда подальше от конфликтов и глюков.



> А еще необходимость одинаково надежно работать во всех

> версиях МС-ДОС, ДР-ДОС, Физтех-ДОС.

все это решаемо.



> А еще необходимость экономить ресурсы в условиях, когда

> из за нехватки всего одного килобайта нужая прога не

что-то я не понял. авирь вместе с тектовыми строкам

занимал 4 кб или около того. причем сам он резидентом

не был. полное сканирование занимало меньше секунды

на 386...



ладно, глупый это разговор...

 

Ms Rem

Вчера бился с одним гадом пришёл домой, вставил falsh с фотками, и увидел на нём 3 файла folder.htt, desktop.ini и winfiles.exe с иконкой как у папки... Огорчился - "гада" увидел. Дальше как в спортивном армрэслинге я их удаляю, а они "прут на свет" )) Совсем огорчился, тем более антивирь сказал, что ключик истёк во времени. Ну пришлось заглянуть в потроха winfile.exe там в начале стоят команды

Код (Text):

1.   push "String"
2.   call MSVCRT....

Ну, тут меня вообще взбесила наглость этого "гада" - макросовый, фу мерзость какая...

Решение проблемы было очевидным... Загрузился с дискетки, ну и перенёс из системной папки файл msvcrt.dll в папку temp )) перезагружаюсь и.... "гад" вывалил окно, типа "батенька, а где же моя жирная да глупая dll я же без неё жить не могу ((" и копыта отбростл )) Затем я выбил его из автозапуска и вообще прошерстил *.htt и возвратил назад dllину. После перезагрузки "гад" не появлялся )) Вот такая короткая история битвы с "гадом" Вывод - голова не только, чтобы шапку носить.

Т.Таненбаум "современные операционные системы" 2-е издание стр. 34

 

apple

И вся эта эвристика просто не нужна.



Почитай последнюю аналитику на www.viruslist.com. Да, win32-вири составляют доли процента от всяческих червяков и троянов. Но эти "доли процентов" - десятки тысяч заражений по миру. Так что эвристика нужна,

и сейчас кстати гораздо важней, чтобы она была не на домашних компах, а на тырнетовских серверах.



Ms Rem

Имхо нужна только программа которая перехватывает обращения к файлам и ведет лог попыток записи в исполняемые файлы, она обнаружит почти 100% вирусов без всяких баз... лечить его можно любым антивирем...

Т.е. нужно два разных антивиря? Современные российские а/в-комплекты, которые говно, тем не менее умеют делать и то и другое. Может, дело в том, что не все ими правильно пользуются?



n2k

под MS-DOS существует только один способ легального редиденства, причем для вирусов этот способ неприемлим и практически никто из них его не практиковал.

"Нэ так это било". (с) тов. Сталин. Для вирусов этот способ очень даже приемлим, и практиковали его многие зверюшки. Достаточно посмотреть, например, в текстовый вирлист Данилова, где есть табличка с формализованными вирусными признаками.

с другой стороны, появление нового резидента, которого вы не устанавливали, наводит на некоторые размышления, особенно если он перехватывает нехорошие прерывания... большой класс вирей садился наверх памяти, либо убирая себя из MCB-локов, либо указывая владельца 8 . Вопрос - сколько легальных программ юзало такой способ?

Кстати, еще вири садились в таблицу векторов прерываний. А еще они расширяли чужой блок памяти и вписывались в получившуюся каверну. Хороший контрпример - дискменеджеры от Онтрек. По этим критериям - галимые вири, хотя это очень даже не так.

причем сам он резидентом не был.

Ну я-то сначала понял наоборот. Хотя всего, мной сказанного, это не отменяет.

ладно, глупый это разговор...

Ну в общем, да. Весь базар вырос из тезиса: "вопрос - почему же это до сих пор не взяли на вооружение авторы аврирей" . Дык, взяли же! Все это было! В частности, в том же КАВ (тогда он был АВП, а еще раньше Доктор Касперский) , и в ДырВебе. Выводились предупреждающие мессаги: "по адресу ХХХХ, возможно, присутствует резидентный вирус", етс.



SteelRat

Не Redlof случайно?



All

Вообще, абсолютно беспредметный базар. И без того понятно, что сканеры-фаги не справляются со своей задачей. Но если и перетирать эту тему, то с конкретными фактами, может быть, даже с анализом антивирусного кода. Вот Z0mbIE, например, очень убедительно обсирал антивирусные эмуляторы, реверсироваа процедуры эмуляции команды (не помню, кажется) IDIV. И это нормальный уровень обсуждения. А то, что АВП "не пукнул", дак, может быть в нем галка какая-нибудь была неправильно поставлена, или ключ устарел, или сам вирь не жилец. Все равно "не пукает"? Разберись, почему. На всех "пукает", на тебя нет - может ты какой-нибудь новый способ обхода эвристики случайно изобрел. Короче, сказать что а/в дерьмо проще простого. А нужны доказательства. И нужны выводы.

Все имхо.

 

Люди, вы где вирусов берёте?

Как переставил хрю в марте, до сих пор ни одного не видел

Никаких антивирей не стоит, единственно файрвол блэкайс.

Ms Rem правильно заметил: лучший антивирь это голова и прямые руки. От себя можно добавить: если есть голова, то и руки можно чуть кривоватые иметь





А про изготовителей антивирей есть особое мнение: большая часть вирей (серьёзных) и пишется если не с их подачи, то как минимум при молчаливом покровительстве. Иначе кому бы они были нужны, эти ихние антивири.

 

iamlamer

если интересно, то вот неполный список методов,

которые ловил мой авирь

1586352398__README.zip