Как KIS определяет опасность exe?

Sun07 · 3 май 2009

почему KIS запускает мои exe, просто награждая их слабыми ограничениями, а вир у меня был во временных файлах инета, он предупредил где-то так "Запускается процесс name.exe", т.е. блокирует выполнение, ожидая реакцию юзера. Он определяет опасность exe по печати Баала или как?

ohne · 3 май 2009

Он определяет опасность exe по печати Баала или как?
Нажмите, чтобы раскрыть...

че еще за печать )

MSoft · 3 май 2009

Дык может потому и предупредил, что тот запускался из временных файлов? Вообще, кис по моим наблюдениям анализирует обстановку и реагирует в случаях, приближенных к вирусным. Например, копирование в системную папку и запись в автозагрузку - ахтунг. А вот запись в автозагрузку и только потом копирование в системную папку - это чисто Т.к. так вирусы не делают. Аналогично он мог проверить, что файл запускается эксплорером из временной папки - ессно это похоже на ахтунг. Вообще, все признаки до одного тебе никто не перечислит. Могут только выдать предположения по типу моего.

Sun07 · 3 май 2009

ну так вир мог записаться в другую папку и антивир его пропустит? А какая разница инсталлятору вира, что сперва делать - запись в автозагрузку или копирование файлов? Антивир вообще ругается кейлоггером на отлов Ctrl+Key для активации главного окна в моей проге - бред какой-то!!!

Sun07 · 3 май 2009

а, всё, понял, чего он ругается на Ctrl+Key - сам виноват

newbie · 3 май 2009

там есть примерное алго расчёта опасности файла

newbie · 5 май 2009

Скачано: 41 и никто не отписался

Hellspawn · 5 май 2009

вообще занятный док, но некоторые моменты)))

«Отсутствие version info» как критерий в эвристиках – это просто заглушка (пока нет нейросети), чтобы снизить вероятность фалсов на легальные файлы. В реальности не стоит полагаться на этот критерий, потому что VI часто присутствует у вредоносов.
Нажмите, чтобы раскрыть...

убило.

JCronos · 5 май 2009

Firsov Nikolay

newbie · 5 май 2009

_нейросетью_ будут version info распознавать, а так же искать строку :*:Enabled в бинаре. Это успехъ!

K10 · 5 май 2009

Жесть

Источники оценки – вердикты PDM и дополнительные эвристики:
наличие любого вердикта (кроме красных) автоматически помещает сампл в группу Untrusted,
(размер файла <5kb) && (нет version info) -> Untrusted
(Упакованный файл) && (отсутствует version info) -> Untrusted или просто (Упакованный файл) -> Untrusted
(размер файла >2mb) && (есть version info) -> Trusted
(размер файла <20kb) && (UrlDownloadToFileA || урл в теле файлы) && (CreateFileA || ShellExecute) -> Untrusted
(Строчка “:*:Enabled” в теле файла) && (отсутствие version info) -> Untrusted
(SetWindowsHook) && (отсутствие version info) -> Untrusted.
(Импорт KeServiceDescriptorTable из драйвера) -> Untrusted.
(Отсутствие видимого окна) && (отсутствие version info) -> Untrusted.

(Имеется valid&trusted цифровая подпись) ->Trusted (Known good?!)
Нажмите, чтобы раскрыть...

K10 · 5 май 2009

(размер файла >2mb) && (есть version info) -> Trusted
Нажмите, чтобы раскрыть...

Будем делать малварь 2МБ

planet · 6 май 2009

Будем делать малварь 2МБ
Нажмите, чтобы раскрыть...

мало, лучше 101 ) некоторые ав такие файлы пропускают плюс юзеры задолбаются слать большие тушки в вирлабы.
з.ы: newbie купил сорцы kis?)

noonv · 6 май 2009

а ещё момент примечателен момент с

Код (Text):

version info

)

Clerk · 6 май 2009

noonv

http://noonv.h1.ru
Нажмите, чтобы раскрыть...

Ну и что это за гуан там ?

PaCHER · 7 май 2009

newbie
Забавная дока, если не секрет откуда стянул?

PaCHER · 7 май 2009

И кстати что интересно если обьеденить топ 8 и топ 11 в критериях оценки почти во всех пунктах идет привязка на вершен инфо, ни в примечании говорится что вершен ифо заглушка. Получается ересь какаято даже с етого пункта • (Строчка “:*:Enabled” в теле файла) && (отсутствие version info) -> Untrusted

И что означает самый первый пункт:
• наличие любого вердикта (кроме красных) автоматически помещает сампл в группу Untrusted,

newbie · 7 май 2009

planet, нет, не покупал
PaCHER, секред :P

MSoft · 7 май 2009

newbie
так вот кто сорцы киса на продажу выставил )))

newbie · 7 май 2009

для танкистов - не покупал и не продавал
сорцов киса у меня нету

Войти или зарегистрироваться

Как KIS определяет опасность exe?

Sun07 New Member

ohne New Member

MSoft New Member

Sun07 New Member

Sun07 New Member

newbie New Member

newbie New Member

Hellspawn New Member

JCronos New Member

newbie New Member

K10 New Member

K10 New Member

planet New Member

noonv Member

Clerk Забанен

PaCHER New Member

PaCHER New Member

newbie New Member

MSoft New Member

newbie New Member

Войти или зарегистрироваться

Как KIS определяет опасность exe?

Sun07 New Member

ohne New Member

MSoft New Member

Sun07 New Member

Sun07 New Member

newbie New Member

newbie New Member

Hellspawn New Member

JCronos New Member

newbie New Member

K10 New Member

K10 New Member

planet New Member

noonv Member

Clerk Забанен

PaCHER New Member

PaCHER New Member

newbie New Member

MSoft New Member

newbie New Member

Быстрый поиск