Русские антивирирусы оцтой

Quantum · 28 июл 2005

n2k

Ну Вы же прекрасно знаете, что ДОС и Винда - это две большие разницы. В ДОСе и Др.Веб прекрасно ловил резидентов.

Автор

Допустим, я написал перехватчик какой-то АПИ ф-ции для конкретного экзешника, мой перехватчик внедряется в образ экзешника в памяти (да хоть и в сам файл экзешника). Неужели не-оцтойный авирь должен обозвать мой перехватчик вирем???

nobodi · 29 июл 2005

IceStudent

а какая может быть мотивация? "миллион баксов"? хе.

Конечно.

S_T_A_S_ · 29 июл 2005

noonv >

т.е. встроить в антивирус распознаватель образов? )))

я так и вижу ленту новостей: компании ABBY и Kaspersky AV объявляют о совместной разработке =)))))
Нажмите, чтобы раскрыть...

Эх, нужно было запатентовать технологю перед постом сюда, щас увидят маркетологи (

"Наш антивирь ловит вирусы используя технологии распознавания образов"

iamlamer · 29 июл 2005

Шутка юмора в том, что эвристика во всех современных антивирях - это действительно "распознавание образов" в широком смысле этого слова.

Leroy · 31 июл 2005

iamlamer

Вообще, абсолютно беспредметный базар. И без того понятно, что сканеры-фаги не справляются со своей задачей. Но если и перетирать эту тему, то с конкретными фактами, может быть, даже с анализом антивирусного кода. Вот Z0mbIE, например, очень убедительно обсирал антивирусные эмуляторы, реверсироваа процедуры эмуляции команды (не помню, кажется) IDIV. И это нормальный уровень обсуждения. А то, что АВП "не пукнул", дак, может быть в нем галка какая-нибудь была неправильно поставлена, или ключ устарел, или сам вирь не жилец. Все равно "не пукает"? Разберись, почему.
Нажмите, чтобы раскрыть...

Сканировал я онлайн сканерами на http://virusscan.jotti.org галки тут не причём, проверял я не вирь,а заражённый файл, т.к на сам вирус вообще все антивири молчат..

На всех "пукает", на тебя нет - может ты какой-нибудь новый способ обхода эвристики случайно изобрел. Короче, сказать что а/в дерьмо проще простого. А нужны доказательства. И нужны выводы.

Все имхо.
Нажмите, чтобы раскрыть...

Действительно вчера я нашёл новый способ обхода эвристики)), попозже распишу как и чё..

Вот сам файл файл заражённый, ну тут полиморфизма немного,да дело то не в этом, то что точка входа тут в последней секции,да ещё .data )),должно было насторожить а/в..а они молчат как партизаны ..кроме nod32 есстесно..))

Кстати файл безобидный просто создаёт файл в %windir%csrss.exe и запускает, который выводит MessageBox.

_967951201__test.rar

Leroy · 31 июл 2005

А нащёт обхода эвристики и эмулятора в антивирях, наверно это и известно но я чёт не слышал, вощем NOD32 например не может эмулировать инстрикцию больше двух секунд, поэтому в декрипторе ставишь где угодно задержку в 2 секунды или меньше можно если декриптор большой, и всё он просто это файл отпускает с миром, проверено на Win32.Bagle в его декриптор засунул цикл:

Код (Text):

mov ebx, 512h

@loop:

dec ebx

test ebx, ebx

jnz @loop

проверил онлайн сканерами,все AV сосут и причмокивают ,т.к не могут расшифровать весь код..

noonv · 1 авг 2005

"Лаборатория Касперского": черви вымирают.

http://www.securitylab.ru/56257.html

- новые "сенсационные" заявления Лаборатории )

Leroy · 2 авг 2005

[quot]"Лаборатория Касперского": черви вымирают.

http://www.securitylab.ru/56257.html

- новые "сенсационные" заявления Лаборатории )[/quot]

будут все чаще использоваться региональные рассылки вредоносных программ, направленные на затруднение обнаружения вредоносных программ в том регионе, где была произведена рассылка;

%-)

Войти или зарегистрироваться

Русские антивирирусы оцтой

Quantum Паладин дзена

nobodi Сисадмин Команда форума

S_T_A_S_ New Member

iamlamer New Member

Leroy New Member

Leroy New Member

noonv Member

Leroy New Member

Войти или зарегистрироваться

Русские антивирирусы оцтой

Quantum Паладин дзена

nobodi Сисадмин Команда форума

S_T_A_S_ New Member

iamlamer New Member

Leroy New Member

Leroy New Member

noonv Member

Leroy New Member

Быстрый поиск