Алгоритмы - Почему все так озабочены...

Тема в разделе "WASM.HEAP", создана пользователем X-Shar, 16 фев 2021.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Будет миллиард иттераций и будет детект по поведению.

    Не обязательно, это все достаточно просто автоматизировать. При чем реальной автоматизацией, а не выдуманной, как Дий.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Так а какой детект может быть по поведению если вирта не прошла ?

    Зачем ты тут эти сказки затираешь, это всё проверено десятком лет.

    Говорил ведь этого троля нужно убирать.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Ты понимаешь разницу между аверским эмулятором и виртуальными машинами, вроде ксен и вмваре? Погуглишь может для начала, чтобы не выставлять себя абсолютно нешарящим? Понимаешь разницу между аверским эмулятором и реальным железом?

    Ты можешь сколько угодно жить в своей ограниченной парадигме, где ты аверов победил в 2010 году, но никому это особо не интересно.

    Забавно, но все твои намеки адменам, судя по всему, не имеют никакого значения. Многие здесь нормально со мной разговаривают и бесполезным троллем меня не считают. Так что может тебе стоит посмотреть на себя со стороны и понять наконец, что проблема не в мире, в которым ты обитаешь, а в твоей голове.
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > виртуальными машинами, вроде ксен и вмваре?

    Да, это моя техника детекта, ну троль это не знает.

    > судя по всему, не имеют никакого значения.

    Этот ресурс ожидает судьба кл, будет тоже самое.
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Такое впечатление, что ты портишь любой ресурс, где появляешься, и приводишь ресурс в упадок, так штоли?

    Значит не знаешь, ясно-понятно, продолжим этот разговор, когда подтянешь матчасть. Пока я могу от разговора только испанский стыд за тебя испытывать.
     
  6. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    В облаке есть такая вещь, как репутация файла, и с этим ничего не сделать, смартскрин на вин10 (к примеру) тупо не даст его запустить (вероятно, пока не проанализируют). А уж облако .. не знаю, как у негрософт, но Касперский КАТА раскручивает тупо всё. Другое дело, что оно стоит у корпов.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Получается что где то на вирте авер снимет слой крипты, сформирует критерий для детекта. Но что с этим делать локально, если эмуль не может этот критерий применить, так как не может раскрутить ?

    Если на полноценной вирте слой крипты снят, для файла создана контр сумма ?

    Но тогда любое изменение файла отменит детект ?
     
  8. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    988
    не отменит, потому как считают как в ssdeep.
     
  9. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Indy_, аверы не заморачиваются, если есть сложности - тупо блокируют файл. Почитайте форумы, причем эта проблема лет так уже 15, по Си, Ассемблеру, и разных шароварников. Все, что непонятно, должно быть запрещено - такой критерий авера. А потом уже иди доказывай, что ты не малварщик.
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    q2e74,

    https://xakep.ru/2020/09/28/clear-hash/

    Отсюда походу термин. После декрипта открывается совсем иной образ, так что если для него есть сигнатура, то её нельзя применить к исходному материалу. Так что это всё надуманно, можно лишь ракрутить на вирте файл и его маркирнуть по контр сумме. Но это не метод, тк каждый раз после крипта файл изменяется.
    --- Сообщение объединено, 28 фев 2021 ---
    M0rg0t,

    Речь шла про облачные детекты", а не про ошибки в детектах. Фактически в криптованном файле два модуля - исходная крипта и распакованный. Составив сигнатуру на вирте после распаковки её нельзя применить к первому образу, тк авер эмуль в отличие от вирты не может распаковать.
     
  11. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.242
    Контрольной суммы вполне хватит, во-вторых у Касперского и компании уже давно детекты в памяти возможны. Про облако у семпла изначально есть репутационный рейтинг, если это хеш какого-то легитимного софта (облако хранит хеши известного легитимного софта), то он переходит в группу образно "доверенные", если файл не известен, то он помещается в группу "слабые ограничения", авер не даст ему слать данные в сеть, не даст массово открывать и перезаписывать файлы и тд, не даст считывать файлы из подпапок браузеров, не даст использовать криптоапи и тд. Далее семпл будет отправлен на проверку в облако, в случае детекта из облака все клиенты сравнительно оперативно получат хеш палевного файла, дальше вся популяция этого семпла отмирает. Это весьма практичный подход, потому, что малварь рассылается массово, достаточно одного хеша, чтобы скрипткиддис лососнул тунцов и пошел заказывать себе новый крипт и так по кругу до бесконечности. Ну и канеш облако является дополнением к другим технологиям, типа эмулятора и проактивки.
    --- Сообщение объединено, 28 фев 2021 ---
    Сигнатуру можно вычислить и у полиморфа, по неким эвристическим критериям того, какой код генерирует полимофр.
     
    M0rg0t нравится это.
  12. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    так основная проблема не в обходе эмуля/вирты == они могут обманываться посредством довольно простых способов. реальная трабла пролегает в телеметрии, благодаря ей сейчас даже 10 компов заразить трудно == более того, практически в реалтайме светится айпи нулевой машины (начального источника). :)
     
  13. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Да там не только облако, а там целая система основанная на искусственном интеллекте, которая принимает решение выдавать детект или нет...

    Но и понятно что используется не только облако, а всё в комплексе.

    Но это облако очень хорошо против угроз направленных в массы, вот например у езета:

    upload_2021-2-28_12-9-51.png

    Видите определил все мои процессы:

    - Репутация.
    - Число пользователей.
    - Когда файл попал в облако.

    Вот реакция на Активатор офиса...)))

    upload_2021-2-28_12-11-18.png

    В общем примерно что-то такое используется при детекте новой малвари...

    Файл в начале проверяется локально, т.е. эмуляция, базы и какие-то детекты по поведению...
    Потом обращается к облаку, смотрит, есть-ли файл в облаке, какая там репутация и число пользователей.

    Ну и по всем этим признакам думаю очень большей процент детекта будет, либо сразу, либо через какое-то минимальное время...)

    Да и ещё, по умолчанию семплы некоторый файлов могут отправляться в это облако для анализа.

    Примерно так даже виндовый штатный дефендер работает, даже его обойти сейчас не просто...)))
    Казалось-бы антивирусы победили ?

    Но-нет, криптолокерьщики с этим не согласны.:skull:

    Но массовых атак, таких как раньше стало меньше, их вроде-как и нет.)
     
    Aiks нравится это.
  14. RETN

    RETN Member

    Публикаций:
    4
    Регистрация:
    4 апр 2020
    Сообщения:
    74
    Массовых атак нет не из -за ВД или навесных АВ отнюдь, а из -за того что браузеры пошли без дырок или быстро латаемых дырок.
     
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Криптолокерщики обычно стараются удалить авера с машины.
     
  16. RETN

    RETN Member

    Публикаций:
    4
    Регистрация:
    4 апр 2020
    Сообщения:
    74
    - если эскалацию прав умудряются поймать, что хрен им удасться.
     
  17. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    RETN, хз как они их повышают, или сплойты, или воруют креды; но видел много раз темы вида "есть любые права, нужно удалить софос/симантек".
    Не шарю в ядре, и спросить не у кого, так до конца и не понял, что делают те аверы, и почему их нельзя удалить (в плане, по идее же винда должна быть выше всех аверов, а по факту , авер сидит как руткит, без пароля не снесёшь).
     
  18. RETN

    RETN Member

    Публикаций:
    4
    Регистрация:
    4 апр 2020
    Сообщения:
    74
    Авер грузится до малвари (дров его), поэтому проблематично снести, только если измудриться через буткит или дров, если авер пропустит. Некоторые АВ позволяюст свои сервисы отключать или патчить в памяти.
    Обычно если уже есть Админ привелега, берем System и после перезагрузки не вопрос.
    Вообще активная антиАВ - дорого, с учетом крипта, подписи файло и дров под х64.
     
  19. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    акий там ко всем чертям закуственный натилект??? запись событий с клиентских машин + вычисление элементарных корреляций. кстати, зачастую их облачка даже не потеют, пч часть расчётов сбрасывают на клиентские машины + часть юзверов могут выполнять роль жертв == их компы пользуются акь песочницы + все эти ребята скромно молчат, что делают скриншоты экрана и мониторят активность юзверей (не только по клаве да мыше) == это позволяет гораздо лучше детектить инфекты.
     
  20. Aoizora

    Aoizora Active Member

    Публикаций:
    0
    Регистрация:
    29 янв 2017
    Сообщения:
    351
    А через драйвер файловой системы нельзя удалить файл антивируса, если известен путь к нему?