Написал сёня обычный инфектор PE, запись в последнюю секцию, поиск адресов API,вобщем стандарт вируса ))) Заразил файл,протестил..хоть бы один из Rus AVP пукнул в сторону это файла ), зато отдуши проперделись все забугорные антивири особенно громко NOD32 и Panda,для чего спрашивается столько весит kaspersky и жрёт половину оперативки? и сколько слышал что у DrWeb какая то там неземная эвристика с какойто там глубиной сканирования, помоему как добовлять сигнатуры в свои базы они ничё не могут, и люди ещё деньги за этот оцтой платят...
вот так и получается. я же говорю, еще во времена дос'а мной был написан авирь, который хавал подавляющее большинство неизвестных ему резидентных вирей простой трассировкой int13/int21 и анализом способа "посадки" в память, вирусы имееют довольно хакакретный способ посадки. тоже самое и с PE/ELF. в подавляющем большинстве случаев внедрение легко распознать без всякой эвристики, которая пол-часа сканит каждый файл. вопрос - почему же это до сих пор не взяли на вооружение авторы аврирей открыт. не знать/не уметь/не догадываться они не могут, этот вариант даже не рассматривается. выходит только одно - им не выгодно, чтобы однажды написанный аврирь все ловил и не требовал обновлений
n2k Без обид. Просто интересно. Если вы такой умный и так все просто, то почему не напишите универсальный мега-антивирус и не заработаете миллион баксов? Leroy , и люди ещё деньги за этот оцтой платят... Люди еще и не за такое платят
nobodi>то почему не напишите универсальный мега-антивирус Я себе написал простой сканер файлов с crc, и теперь за дистрибутив не опасаюсь. А антивирусы- дерьмо.
nobodi чтобы что-то написать, должна быть хорошая мотивация. а иначе всё заканчивается на стадии исследования и проб некоторых приёмов. а какая может быть мотивация? "миллион баксов"? хе. доказать "всему миру" антивирусников, что ты — лучший, и оставить их в символическом иероглифе? возможно, но стоит ли?
Фи, какой-то старушкинско-скамеечный базар. Или стариковско-доминошный. Leroy хоть бы один из Rus AVP пукнул в сторону это файла ), зато отдуши проперделись все забугорные антивири особенно громко NOD32 и Panda Как известно, есть "ошибки первого рода" - когда здоровый считается больным, и есть "ошибки второго рода" - когда больной ошибочно считается здоровым. От них не избавиться, они были, есть и будут всегда. Вопрос - как ситуацию разруливать. Наши антивири традиционно предпочитают "презумпцию невиновности", забугорные - наоборот. В принципе, я на стороне наших. Пусть лучше а/в сегодня пропустит какого-нибудь нового виря (я его сам глазками найду и отправлю аверам), чем подымет кипеш на ровном месте (а это просто характерный для буржуев способ вытягивания бабла и накруток "потерь от вирусов", которые они там у себя муллиардами баксов считают). n2k я же говорю, еще во времена дос'а мной был написан авирь, который хавал подавляющее большинство неизвестных ему... Крис, ну децкий же сад. Это все было сто раз пройдено лет 15 назад десятками и сотнями аверов во всеам мире. В результате остались только реально жизнеспособные решения и технологии. "Простая трассировка int13/int21" - это как раз тупиковая ветвь, потому что "хакакретный способ посадки" - как раз не характерный. Десятки реальных приложений, не только системные утилитки, но и многие крупные коммерческие приложения садились в память аналогичным образом. А еще необходимость не гавкать на многочесленные вполне легальные навесные защиты от НСК. А еще необходимость одинаково надежно работать во всех версиях МС-ДОС, ДР-ДОС, Физтех-ДОС. А еще необходимость экономить ресурсы в условиях, когда из за нехватки всего одного килобайта нужая прога не запускается. А еще, а еще, а еще... "Простая трассировка" - это решение для одного-единственного конкретного юзера, причем для такого, которому оно на самом деле нафик не нужно. тоже самое и с PE/ELF. в подавляющем большинстве случаев внедрение легко распознать без всякой эвристики, Расскажи об этом бухгалтерше в поликлинике или секретутке в офисе. им не выгодно, чтобы однажды написанный аврирь все ловил и не требовал обновлений Даже если бы это было им выгодно, они все равно не смогли бы сделать это. yureckor А антивирусы - дерьмо. Давай представим ситуцию - на твоем компе 1000 прог заражены Вынь.Чихом, или 1000 документов каким-нибудь Макро.Офис.Провербом. Твои действия? Раз оно дерьмо, то дерьмом - не пользоваться! Ы?
Интересно, как велик процент таких вирусов. IMHO, сейчас больше троянов на языке высокого уровня. И вся эта эвристика просто не нужна. Нужен своевременный апдейт баз, причем география распространения вируса, а следовательно и присутствие в базах, тоже важна. Например, проверено, что присланный вирус DrWeb не появился в базах Kaspersky. А если говорить о предприятиях, то от целевых штучных вирусов, троянов и прочего вредоносного ПО антивирусы бессильны.
Интересно, какой-нибудь AV ругается на файлы вида important.txt.exe с иконкой от notepad в ресурсах ?
2S_T_A_S_ интересно, как ты себе это представляешь? ) у AVZ (z-oleg.com) есть настройка на выдачу предупреждений при маскировании расширения, но вот проверять, что иконка в ресурсе принадлежит notepad-у - этого я что-то не встречал ) ,тем более есть ещё иконка от wordpad-а )
Можно проверять все иконоки от распространённых приложений просто сравнивая побайтно. Конечно, это легко будет обойти, чуть подрихтовав рисонок, но тогда уже можно и "интеллектуальные" проверки делать на похожесть картинок.
Особенно забавно, как кто-нибудь поставит AV Norton, ну и конечно весь софт у него не лицензионный. А потом бегает как ошалелый, после того как ему скажут, что это наверное чернобыль.
2S_T_A_S_ т.е. встроить в антивирус распознаватель образов? ))) я так и вижу ленту новостей: компании ABBY и Kaspersky AV объявляют о совместной разработке =))))) впрочем некоторый смысл в этом есть хотя как должно будет выглядеть сообщение об ошибке? "Иконка программа XXX очень похожа на иконку notepad-a!"
да. не сочтите за флуд, но название темы ОЧЕНЬ некорректно. можно было написать - "Российские антивирусы".
Имхо нужна только программа которая перехватывает обращения к файлам и ведет лог попыток записи в исполняемые файлы, она обнаружит почти 100% вирусов без всяких баз. Если вирус обнаружен, то лечить его можно любым антивирем который может это делать. И вообще, все антивири говно, лучший антивирь это голова и прямые руки.
iamlamer > Крис, ну децкий же сад. Это все было сто раз > пройдено лет 15 назад десятками и сотнями аверов так я на первооткрывателя и не претендовал, напротив, говорил, что все очень просто > "Простая трассировка int13/int21" - это как раз > тупиковая ветвь, потому что "хакакретный способ > посадки" - как раз не характерный. Десятки реальных в действительности, она не совсем "простая", но суть не в этом. под MS-DOS существует только один способ легального редиденства, причем для вирусов этот способ неприемлим и практически никто из них его не практиковал. с другой стороны, появление нового резидента, которого вы не устанавливали, наводит на некоторые размышления, особенно если он перехватывает нехорошие прерывания. > приложений, не только системные утилитки, но и многие > крупные коммерческие приложения садились в память > аналогичным образом. большой класс вирей садился наверх памяти, либо убирая себя из MCB-блоков, либо указывая владельца 8 вопрос - сколько легальных программ юзало такой способ? опять-таки,если говорить про DOS,а мы про нее и говооим, сколько существовало вирей, а сколько резидентов? лично я вел базу не вирей, а легальных резидентов и этот способ себя оправдал. мои знакомые, тестирующий сей аврирь, были благодарны. > А еще необходимость не гавкать на многочесленные вполне > легальные навесные защиты от НСК. резидентные? а чтобы не гавкнуть, чтобы юзер не снес их куда подальше от конфликтов и глюков. > А еще необходимость одинаково надежно работать во всех > версиях МС-ДОС, ДР-ДОС, Физтех-ДОС. все это решаемо. > А еще необходимость экономить ресурсы в условиях, когда > из за нехватки всего одного килобайта нужая прога не что-то я не понял. авирь вместе с тектовыми строкам занимал 4 кб или около того. причем сам он резидентом не был. полное сканирование занимало меньше секунды на 386... ладно, глупый это разговор...
Ms Rem Вчера бился с одним гадом пришёл домой, вставил falsh с фотками, и увидел на нём 3 файла folder.htt, desktop.ini и winfiles.exe с иконкой как у папки... Огорчился - "гада" увидел. Дальше как в спортивном армрэслинге я их удаляю, а они "прут на свет" )) Совсем огорчился, тем более антивирь сказал, что ключик истёк во времени. Ну пришлось заглянуть в потроха winfile.exe там в начале стоят команды Код (Text): push "String" call MSVCRT.... Ну, тут меня вообще взбесила наглость этого "гада" - макросовый, фу мерзость какая... Решение проблемы было очевидным... Загрузился с дискетки, ну и перенёс из системной папки файл msvcrt.dll в папку temp )) перезагружаюсь и.... "гад" вывалил окно, типа "батенька, а где же моя жирная да глупая dll я же без неё жить не могу ((" и копыта отбростл )) Затем я выбил его из автозапуска и вообще прошерстил *.htt и возвратил назад dllину. После перезагрузки "гад" не появлялся )) Вот такая короткая история битвы с "гадом" Вывод - голова не только, чтобы шапку носить. Т.Таненбаум "современные операционные системы" 2-е издание стр. 34
apple И вся эта эвристика просто не нужна. Почитай последнюю аналитику на www.viruslist.com. Да, win32-вири составляют доли процента от всяческих червяков и троянов. Но эти "доли процентов" - десятки тысяч заражений по миру. Так что эвристика нужна, и сейчас кстати гораздо важней, чтобы она была не на домашних компах, а на тырнетовских серверах. Ms Rem Имхо нужна только программа которая перехватывает обращения к файлам и ведет лог попыток записи в исполняемые файлы, она обнаружит почти 100% вирусов без всяких баз... лечить его можно любым антивирем... Т.е. нужно два разных антивиря? Современные российские а/в-комплекты, которые говно, тем не менее умеют делать и то и другое. Может, дело в том, что не все ими правильно пользуются? n2k под MS-DOS существует только один способ легального редиденства, причем для вирусов этот способ неприемлим и практически никто из них его не практиковал. "Нэ так это било". (с) тов. Сталин. Для вирусов этот способ очень даже приемлим, и практиковали его многие зверюшки. Достаточно посмотреть, например, в текстовый вирлист Данилова, где есть табличка с формализованными вирусными признаками. с другой стороны, появление нового резидента, которого вы не устанавливали, наводит на некоторые размышления, особенно если он перехватывает нехорошие прерывания... большой класс вирей садился наверх памяти, либо убирая себя из MCB-локов, либо указывая владельца 8 . Вопрос - сколько легальных программ юзало такой способ? Кстати, еще вири садились в таблицу векторов прерываний. А еще они расширяли чужой блок памяти и вписывались в получившуюся каверну. Хороший контрпример - дискменеджеры от Онтрек. По этим критериям - галимые вири, хотя это очень даже не так. причем сам он резидентом не был. Ну я-то сначала понял наоборот. Хотя всего, мной сказанного, это не отменяет. ладно, глупый это разговор... Ну в общем, да. Весь базар вырос из тезиса: "вопрос - почему же это до сих пор не взяли на вооружение авторы аврирей" . Дык, взяли же! Все это было! В частности, в том же КАВ (тогда он был АВП, а еще раньше Доктор Касперский) , и в ДырВебе. Выводились предупреждающие мессаги: "по адресу ХХХХ, возможно, присутствует резидентный вирус", етс. SteelRat Не Redlof случайно? All Вообще, абсолютно беспредметный базар. И без того понятно, что сканеры-фаги не справляются со своей задачей. Но если и перетирать эту тему, то с конкретными фактами, может быть, даже с анализом антивирусного кода. Вот Z0mbIE, например, очень убедительно обсирал антивирусные эмуляторы, реверсироваа процедуры эмуляции команды (не помню, кажется) IDIV. И это нормальный уровень обсуждения. А то, что АВП "не пукнул", дак, может быть в нем галка какая-нибудь была неправильно поставлена, или ключ устарел, или сам вирь не жилец. Все равно "не пукает"? Разберись, почему. На всех "пукает", на тебя нет - может ты какой-нибудь новый способ обхода эвристики случайно изобрел. Короче, сказать что а/в дерьмо проще простого. А нужны доказательства. И нужны выводы. Все имхо.
Люди, вы где вирусов берёте? Как переставил хрю в марте, до сих пор ни одного не видел Никаких антивирей не стоит, единственно файрвол блэкайс. Ms Rem правильно заметил: лучший антивирь это голова и прямые руки. От себя можно добавить: если есть голова, то и руки можно чуть кривоватые иметь А про изготовителей антивирей есть особое мнение: большая часть вирей (серьёзных) и пишется если не с их подачи, то как минимум при молчаливом покровительстве. Иначе кому бы они были нужны, эти ихние антивири.
iamlamer если интересно, то вот неполный список методов, которые ловил мой авирь 1586352398__README.zip