# есть кто из рестона или его окрестностей?

Clerk
другими словами для запуска твоих джинов нужно потереть лампу - самому ручками запустить exe-файл в котором он прячется ???

 

Rockphorr
как будто мало народа скачивает хзчто с торрентов и левых сайтов %)
если оно действительно не палится, можно и полезную прогу заразить

 

> ... никто не требует от меня остановить _все_ атаки. достаточно того, что ловится хотя бы часть 0day атак
> ...exe файлы сильно неинтересны

Сдесь противоречие. Если ваша баррикада дает течь то вы должны хотя бы лужи канализации собирать...

 

Rockphorr

> для запуска твоих джинов нужно потереть лампу - самому ручками запустить exe-файл в котором он прячется ???

Пейсатели руткитофф до сих пор переживают по этому поводу - приходицца устанавливать.

 

я качаю лишь исходники и порнуху все остальное просто впадлу ждать пока зальется да и на двд запишется
качают и запускают не весть что прямо на железе только блондинки - так круто разбираться в архитектуре системы чтобы быть королем блондинок ???

 

Rockphorr
>я качаю лишь исходники и порнуху
что из двух используется для онанизма?

 

Rockphorr
ты еще скажи что у тебя линукс и ты не знаешь что такое .exe
про двд вообще не понял

 

PSR1257
exe файлы в настоящий момент распознаются в http трафике по даунлоду и вложениях в письмах (при услови, что это не rar с опцией шифровать имена файлов). если же это exe, то есть опция его блокирования. без проверки. ибо как уже тыс. раз говорилось кривые exe (не малварь) зачастую доставляют еще больше проблем приводя к нестабильной работе системы или просто ее ложат намертво, что в случаи винды можно сделать даже из юзера без прав админа и потом систему проще заново развернуть, чем фиксить последствия кривого инсталла.

 

kaspersky
Немнога иначе. Эксплойт пробил и скачал. Он может скачть и EXE (все EXE блокируюцца? но может и немного более чем просто проксоренную EXE и поставит ее в систему. Поскольку (выше) вы все иксплойты даже еврестически не детектите, остаеццо скан. Скан всех файлофф. И тут уже заиграет то что было упомянуто выше.

 

Clerk
Все намного проще. Просто на девайсе стоит линуха(так бесплатная). Линуха - обрезаное ядро, которая обеспечивает сетевое соеденение. На винде(или любой другой ОСи) написано пару дров, которые работают с этим устройством(для обеспечение сети и там еще чего). Так вот, на Линухе стоит фаервол, и сканер файлов, то и есть, сканируются все архивы, pdf файлы на уязвимости(насколько мне известно часто попросту перегенерируют pdf файлы). После чего, передается на винду(usb?? pci?? ).
kaspersky
У вас наверное еще есть протектед браузер(проверяете скрипты??? )??

П.С К стати, интересто сканирование exe файлов происходит статически???

 

PSR1257
как раз основной упор и делается на детекцию сплоитов. они детектятся разными путями. в основном по сигнатурам (+ спец. модули для обработки сложных ситуаций). эвристический модуль в основном преследует цель разгрузить писателей сигнатур, т.к. если 0day атака пропаливается эвристикой, можно не торопясь писать нормально работающую сигнатуру (сигнатуры написанные в спешке как правильно закрывают только половину дыры и содержат кучу ошибок).

тот факт, что мой модуль стал ловить атаки, о которых вообще никому и ничего не было известно, т.е. атаки, направленные на совершенно новые дыры, вызвало удивление и стало дополниительным козырем в пользу эвристики, но эвристика это что-то вроде запасного парашута, на случай если не сработает основной.

 

все используется для взятия на вооружение "прогрессивных идей"
двд - каже без DVD болванок то у меня жесткие диски не резиновые и достаточно старые 20г и 40г
я пишу на локальном компе под вин95
для инета дома пень 3 с xpsp3

 

kaspersky
Сколько всего ваших девайсов используется ?
1:10^6.., юзается кемто кто использует инет только для чтения доков ?
Такая популярность нам не нужна. Все юзеры качают пачками драйвера и софт, большая часть из них лазит по порнухе и инфицировано. Они цель, а не те десятки/сотни машин в мире которые юзают это устройство. Поэтому не про то тема, должно было рассматреть ваш програмный авер(вероятно распространён широко), а не аппаратный. Некоторые из под вари в инет ходят, в данном случае это решение гораздо лучше всяко девайса.

 

дрова качают с сайтов производителей, клиент торрента тоже, как заразиться читая avi или wmv ?? переполнением буфера - но этож не ваша тема

инфицирована только та часть что запускает у себя exe - тобишь всякие там флеш стебы аля масяня или еще что - насколько она велика я не знаю
еще заметил такую тему что нормальные чистые флеш мульты идут под 95 а всякие с заразой просто тупо падают - "устройство не подключено" или "приложение нарвалось... и будет закрыто"

 

Clerk
> Сколько всего ваших девайсов используется ?
хз. это ж не меня, а манагеров по продажам надо спрашивать. конкретно если только наших - счет идет на тысячи я думаю, но мы так же поставляем решения для cisco, dlink и все крупные провы юзащие циску так или иначе юзают и наши девайсы. а какой процент юзеров сидит за провами?

> Такая популярность нам не нужна. Все юзеры качают пачками драйвера и софт,
> большая часть из них лазит по порнухе и инфицировано.
просто мы говорим о разых вещах. защита SOHO и защита даже мелкого банка это ж совсем разные уровни защиты. и подходы там разные. мы поставляем решения для защиты крупных систем.

> Поэтому не про то тема, должно было рассматреть ваш програмный авер
> (вероятно распространён широко), а не аппаратный. Некоторые из под
> вари в инет ходят, в данном случае это решение гораздо лучше всяко девайса.
а вот такая типичня ситуция. допустим ты HRM и тебе скидывают резюме куча людей. и кому-то очень интересно получить доступ к этой информации. или хотя бы вытащить адресную книгу. надеюсь, ты не будешь отрицать, что одна сессия на получение одного мыла никак не катит, а дырявый отутглюк даже запущенный под варей при успешной атаке даст полный доступ к адресной книге, поскольку он по статусу имеет к ней право доступа и право это неотъемлимое.

 

Clerk

Ага, и то только с правами пользователя.

 

Ox8BFF55
> Все намного проще. Просто на девайсе стоит линуха(так бесплатная).
> Линуха - обрезаное ядро, которая обеспечивает сетевое соеденение.
> На винде(или любой другой ОСи) написано пару дров, которые работают
все еще проще. в железке две дырки. в одну трафик втекает, а из другой вытекает (если не заблокирован). так что юзеры которые сидят за железкой (вы в некотором роде тоже за ней сидите, т.к. она стоит у многих ISP), даже не подозревают, что их вообще кто-то защищает.

ну а статистику по атакам можно получить через веб-морду, подключившись к железке. или через телнет.

> Так вот, на Линухе стоит фаервол, и сканер файлов, то и есть, сканируются
> все архивы, pdf файлы на уязвимости(насколько мне известно часто попросту
> перегенерируют pdf файлы). После чего, передается на винду(usb?? pci?? ).
архивы - это в основном gzip для http, ну там еще немного до кучи. а так они проверяются уже на майл-сервере.

> У вас наверное еще есть протектед браузер(проверяете скрипты??? )??
эээ... нет. просто анализируется http траффик. JS ес-но проверяются очень тщательно. чисто для прикола в последней версии своего детектора поддержал питон. понятное дело, что _непосредственно_ питон скрипт через web атаковать никого не может. но тот факт, что человек его скачивает -- это ж интересно! (спец. службам точно интересно: а зачем он его скачивает?).

> П.С К стати, интересто сканирование exe файлов происходит статически???
по возможности да, ибо так быстрее. виртуализация врубается только когда в ней возникает потребность. но тут я не совсем в курсе, т.к. меня сейчас больше сплоиты интересуют. exe файлами занимаются другие люди.

 

Rockphorr
> дрова качают с сайтов производителей, клиент торрента тоже, как заразиться
> читая avi или wmv ?? переполнением буфера - но этож не ваша тема
ага. переполнение. причем и под вынь, и под линь, и под мак, и под айпхон, и не только видео, но и mp3 тоже. причем, видео качают более охотно чем запускают exe. а уж как музыку слушают. кстати, в домодедово подцепил червяка который заразил мой mp3 плеер, наглухо его повесив. и заразил таки через mp3.

"как страшно жить" (с)

 

Rockphorr
Классический юзер он вип, пишет в контакте, играет в страйк и гуглит постоянно.. к примеру сколько пользователей используют античиты ?
Огромное их число. Вот инфицируем какуюнибудь тулзу, пусть для тогоже античита, или крякми/кейген и выкладываем это дело на паблик(без апдейта), на десяток форумов, пусть тотже торрентс.ru, спустя время мы поимеем миллионы запусков нашего приложения. И никого не будет интересовать что какойто кулцхакер гдето в недрах венды обнаружил после запуска странный код.

 

Clerk
вот не любил я вас за совсем приземленые посты, но тут на 200% согласен. Тут какае-то защита от "сферического хакера в вакуме"