ВирусБлокАда что за зверь и где работает Инде ?

Хочу сразу извинится за тему, не относитесь серьезно, просто пофлудить, т.к. тут много обсуждений на эту тему.

Если нарушает какие-то правила форума, то можно удалить.)))

Мне стало интересно, было время серьезно интересовался всякими антивирусами, файерволами и т.д. под винду, но больше на уровне администратора, нежели кодера, тестил реакции на вирусы, проверял разные настройки и т.д.

Так-вот про эту блокаду услышал только недавно, хотя на рынке они аж с 2004 года.

Просто интересно за счет чего они живут ?

Гос. закупки в Белоруссии ? Так посмотрел сайт, даже по описанию технологии 2004 года, что-то интересного и не нашел, даже ставить как-то стремно.

Просто многие весьма неплохие антивирусы к 2020 умерли, например тот-же отпост, если такой кто помнит, а вот Блокада до сех-пор жива, почему не понимаю ?)

Ну и второй вопрос, если серьезно то не думаю что Инде там работает, может конечно быть но врядли.

Кстати а почему именно Блокада ? Есть-же в Белоруссии и по круче фирма, например https://searchinform.ru/

Почему-бы Инде там не работать ?)))

Еще раз скажу тема просто для обсуждения, не более того.)

 

Ну они довольно известные в рб, да и в рф тоже, я слышал о них еще году так в 2007 наверное. Да, скорее всего их софт ставят на гос предприятия в рб.

--- Сообщение объединено, 14 авг 2020 ---

Хотя я не шарю, это лучше у Инде узнавать, чтобы он инсайдерской инфой поделился, так сказать.

--- Сообщение объединено, 14 авг 2020 ---

Аутпост был же скорее фаерволлом, нежели авером, или я путаю? Просто его нишу стали покрывать аверы и в нем перестала быть необходимость.

 

У них три продукта было:

- Антивирус.
- Файервол.
- Комплексный продукт, там еще антиспам был и т.д.

Также были корпоративные продукты, защита серверов для винды.

Потом их продали Яндексу и типо часть этих наработок сейчас в Яндекс браузере.

Мне нравилась компания, как и продукты, все гибко настраивалось, в антивирусах сейчас все скрыто, в том-же Каспере хрен там что настроишь нормально.

 

Да, щас еще очень многое улетает в облако. Я канеш понимаю, что обычных людей это не должно особо волновать. Но допустим, если ты разрабатываешь что-то, что составляет коммерческую тайну, а у тебя с компа в облака летят сорсы этого или какая-то техническая документация, то это уже не есть хорошо. Надо либо облако отключать (но тогда безопасность страдает), либо разрабатывать на компах без интернета (но это существенно усложняет современную разработку, тк все библиотеки из интернета качаются автоматом обычно, с того же нугета, или пайпи, или энпиэма, или мейвена, ну и тд).

--- Сообщение объединено, 14 авг 2020 ---

Ну вот этого я не видел, ну или не помню уже.

 

Сейчас на десятке есть виндеф, который круче 99% аверов. Понимаю, что многие не согласятся, но факт есть фактом.

А ВБА вроде неплохой авер, если не ошибаюсь, именно их спецы обнаружили stuxnet.

 

Там кстати тоже сейчас облако есть. Канеш облако облаку - рознь, но все же.

 

Rel, да, есть; и автоотправка семплов. Просто на всех форумах постоянно вижу треды "как обойти виндеф???", в плане говномалварщики пишут, значит авер неплохой.

А на корп компах стоят софос, симантек и какой-то новый сентинел, там ML детекты , и это реально круто. Тупо ни 1 криптор не проходит их. Собственно, как и сканер памяти от нода..

--- Сообщение объединено, 14 авг 2020 ---

Вообще, аверы не в ту сторону развиваются, эвристика эта и сигнатуры - бред полный давно; нужны проактивки (ловит 100% говномалвари), ну и сканер памяти , чтоб не криптовали (тут уже можно сигнатуры).
А машинное обучение - видел какие-то треды, типа можно обойти, загрузить фолс позитивами , но это в теории на конфах блэкхат, а в реале - нет.

 

Не, ну то, что мелкомягкие наконец стали встраивать себе в систему приемлимого авера - это прекрасно для пользователей. Хотя вероятно, что в долгосрочной перспективе это ударит по карманам сторонних аверов, что в и итоге приведет к сокращению штата.

Ну канеш МЛ - это сейчас знатный баззфорд, как и блокчейн, но по сути эта такая неведомая штука, которую в теории достаточно легко должна обходится, поскольку она обучается на уже известных семплах. Зависит от алгортма канеш, я думаю, что в итоге ее допилят до нормального состояния.

--- Сообщение объединено, 14 авг 2020 ---

Я на Дамаге уже вкинул идею, мол делать генератор мусорного кода, который бы обучался на семплах реального софта. Шутка канеш в общем то, но тоже может быть забавно, если сделать прямыми руками.

 

Вот этот чтоли?

Он в плане фалс позитивов через запятую с самым низкопробным гавном. Даже вирусблокада постеснялась семпл вредоносом признать. Файл заведомо невредоносный, сам писал и знаю.

 

Дефендер тяжело обойти, т.к. он хз. как детектит.)

Баловался с крипторами, короче доигрался, что он у меня начал детектить даже пустую программу.)))

Видно они добовляют в базы какую-то инфу в сборке, короче жесть там.

Про облака, дык в облака вроде не отправляются документы, сорцы и т.д. Там максимум могут отправить бинарник, ну либо какую-то инфу, типо каких-то хешей и т.д.

Я так понимаю облака, поэтому секретные данные не должны туда попадать, но что реально отправляет никто незнает конечно.)

 

Вообще то нет, pdf'ы и всяческие офисные форматы улетают, видимо потому, что могут в себе содержать сплойты или макросы или еще какое-нить исполняемое содержимое.

 

Ага, интересно в википедии:

Ну тогда может и не плохая компания, просто про них как-то незнал.
А увидел их сайт, подумал вообще что вообще ничего не умеют, все-же сайт лицо компании сейчас, гляньте сайты других АВ и сравните, да тот-же сёрчинфо например, ну и рекламы им нехватает.

 

f13nd, а остальные детекты не смущают? БитДефендер, на минутку, топовейший авер современности, Софос, Симантек и Сентинел тоже стоят у корпов, причем стоят , выражаясь языком Rel'а, как зарплата авера в Беларуссии за 10 лет;

а вообще, аверы давно уже палят любой софт на асме и т.п., я этому удивлялся тоже, как начинал учится кодить, и все мои хелловорлды автоматом летели в треш..

--- Сообщение объединено, 14 авг 2020 ---

Конечно. Теперь уже нет систем без аверов, т.е. говномалварщики должны , как минимум, изобретать хотя бы 1 "опход". А что сторонних аверов это уберет - так и вообще, за это Майкрософту надо памятник ставить. Помню видел вой каспера в 2017, и других аверов про "монополию". Правильно, пусть будет 1 авер, и пусть МС запретит в ядре все эти минифильтры или что там юзают аверы всем, кроме себя. Чтоб наконец-то это бесполезные разжиревшие аверлабы оказались не у дел, шли улицы подметать или ассенизаторами работать.

 

Я обычно сверяюсь с касперским, пока не сталкивался с тем, что у него был хоть один фалс позитив или наоборот. Как-то у них без топовости такое получается. Топовеший авер современности - очевидно настолько же топовейший как майкрософтовский.

 

f13nd, ну я данные не из потолка взял, посмотрите стату по аверам; аваст и авг тоже кривые, но стоят на большинстве юзерских компов. А у дяди Жени неплохие спецы, по крайней мере регулярно зиродеи находят .

 

У премиум версии аваста есть фича, против стиллеров и криптолокеров неплохая.)

Например он не дает считать базу хрома/мазиллы, также там фильтры на какие-то апи против криптолокеров, правда иногда это ложные срабатывания дают, но не плохо в целом.)))

 

X-Shar, у виндефа давно есть контролируемый доступ к папкам.

 

99.9 процента, что если это сделать из контекста самой лисы или хромого, никакого детекта или блокировки не будет.

Я помню Зомба за что-то ненавидел дядю Женю, ну и соответственно Индий тоже по инерции. Никто не помнит за что именно?

У него раньше были фалс позитивы на официальный установщик компилятора DMD, вроде больше нет, тк они наконец сподобились его подписывать.

--- Сообщение объединено, 14 авг 2020 ---

По хорошему сама операционная система должна быть нормально сделана, чтобы в принципе исключать всяческую малварь. А насчет аверов - ну чтож, каждый делает деньги, как умеет.

 

M0rg0t,

> ну и сканер памяти , чтоб не криптовали (тут уже можно сигнатуры).

Остаьное мнение разных людей двоякое, но вот это утверждение - полный бред. Реализация для ав невозможно, тк данная задача решения не имеет; очень старая тема по отличи кода от данных. Сканер памяти работает в более привилег моде, он не выполняет прямую выборку, а это значит что можно реализовать область памяти которую сканер видеть не будет. Для него это будет область N/A. Всякий криптор скрывает исходный образ, обычно то загрузчики из памяти. Конечно когда криптор отработает в памяти будет оригинальный образ и его найдёт сканер, обнаружит сигнатуру прочитав память из иного мода.

Софт анклавы это техника скрытия выборки. Что это значит - для иного мода область не существует, так как нет самой выборки. Весь образ скрыть нельзя, тк у ядра прямая выборка на константы/строки и тп. Но всегда можно собрать апп без выборок ядра, а это значит что образ можно полностью скрыть от сканера. Вся проблема в профайле - нельзя всё апп эмулировать в юзер, профайл упадёт. Но это так же имеет решение - скан асинхронен и можно некоторые части апп выполнять напрямую и это сканер врядле поймает. Даже если рандомом довести половину тела апп до исполнения, то скан врядле поймает, тк это крайне тяжёлая ядерная операция.

--- Сообщение объединено, 14 авг 2020 ---

M0rg0t,

Не нужно далеко ходить, вот рядом тема в конце поста линк на видос https://wasm.in/threads/krehklab-byl-prodan-averam.33831/page-16#post-421138

- как это работает ?

Отладчик читает юзер память как и сканер памяти аверский(те же сервисы ntreadvm или проход по vad никакого значения не имеет тк нет выборки прямой), находит там обнулённый блок. А приложение продолжает работать, локально для него блок заполнен данными. Думаешь это чудо - нет это старый добрый софт анклав. И такую область не только сканер не видит но и авер вирта.

 

Мне кажется, что у Инде на левой ягодице есть татушка, где красивым курсивным шрифтом написано "SGX".