анубис (http://anubis.iseclab.org/) представляет собой "песочницу" для анализа малвари, этот полу-человек, полу-зверь отслеживает все изменения и грит что данное файло делает. напрашивается вопрос: а может ли файло задетектить анубиса и прикинуться невинной авечкой, атбившейся ат стада? ответ положительный. анубис детектиться очень просто. 1) анализируемый файл автоматом переменуется в samle.exe (зафига это было делать?) 2) текущая директория - C:\exec\ 3) текущая ось - Microsoft Windows XP [Version 5.1.2600] Service Pack 3 4) сетевуха - Realtek RTL8029(AS)-based Ethernet Adapter 5) мак - 52-54-00-12-34-56 6) IP - 192.168.0.2 7) шлюз - 192.168.0.1 8) DNS - 192.168.0.1 9) имя хоста - user там есть еще более хитрые схемы детекта, о которых мыщъх напишет позже, если у народа будет интерес... просто сейчас как раз попала под руки малварь с текстовой строкой "RTL8029" внутри. "ага", сказал мыщъх, "все ясно". так что доверять анубису нельзя. он уже слишком известен и вирусописатели обращают на него свое внимание при разработке свежей малвари... сейчас исследую другие он-лайновые песочницы на предмет их детекции
kaspersky любой антидетект можно обойти, т.к. код антидетекта завязан на связку "if" - анализатор должен просканить все эти узлы. другой вопрос, если узлов много - анализ будет жутко тормознутый.
с какого перепугу анубис будет обходить такой антидетект?! давайте не будем обсуждать сферических коней "песочницы" вообще ничего не сканят, они лишь мониторят обращения к... и чтобы обойти антидект достаточно всего-навсего генерировать конфигурацию на лету, чтобы она не была такой предсказуемой ))
UbIvItS >> они лишь мониторят обращения к... > к чему? взгляни на отчет анубиса и увидишь обычная "песочница". причем, в отличии от писюка каждый раз создаваемая заново. смотрим статистику по интерфйесам. Received/Sent - 40832/6744 Bytes запускаем нашу прогу через час и смотрим опять: Received/Sent - 40832/6744 Bytes смотрим статистику по IPv4: Packets Received = 65 для обычного писюка слишком мало
Крис а как ты пронюхал об этом? о текущей директории и прочем? у тебя есть непосредственно программа? или ты сам писал в реестр текущую директорию, мак и т.л., а потом отслеживал?
kaspersky Тьфу блин. Анубиус - проводник в царство мертвых - на сленговом языке - руткит ничем не детектирующийся. Про песочницу анубиус услышал в первый раз - детектится тривиально Вот http://www.threatexpert.com/submit.aspx немного вменяемая "песочница", которую иногда юзаю.
PROFi так я же давал линк > http://www.threatexpert.com/submit.aspx не делайте моим тапачкам смешно. это то, что работает под XP Service Pack 2 и легко позволяет вырываться из "песочницы", не говоря уже за то, что ее отдетектить с текущей директорией C:\WINDOWS\system32 http://research.sunbelt-software.com/Submit.aspx намного круче... имя хоста - случайно: dwi_9625ac2e275, dwi_9625ac2e275... хотя dwi меня убивают ;( сетевуха: VIA Compatable Fast Ethernet Adapter - хз что такое. виртугалка наверное. мак адреса случайны: 00-E0-4D-28-AE-B3, 00-E0-4D-28-A7-92, хотя и предсказуемы IP-адреса случайны: 172.16.1.230, 172.16.1.242 (ну в пределах подсети - случайны) а вот шлюз постоянен: 172.16.1.200 хотя там так же стоит XP Service Pack 2 (билд 2600), а текущая директория - C:\ Colibri > а как ты пронюхал об этом? написал программу и просканил. > о текущей директории и прочем? вывод инфы в имена файлов )) ну можно было и в реестр... но в имена файлов проще... > у тебя есть непосредственно программа? нет, конечно у меня нет ни хрена, только web-интерфейс, как у всех... > или ты сам писал в реестр текущую директорию, мак и т.л., > а потом отслеживал? запустил ipconfig.exe /all и усе. кстати, sandboxie никто не юзает?! довольно рульная песочница, типа VMWare, только халявная и занимает всего ~300 Кб. http://www.sandboxie.com/SandboxieInstall.exe
Загрузил в анубиса файл, создаюший себя многократно, в итоге получил: http://anubis.iseclab.org/result.php?taskid=6501e043cf1ec214cde40f5786d2f461&refresh=1 причём тут ntvdm непонятно.
