Вирусная аналитика

Тема в разделе "WASM.HEAP", создана пользователем Luis, 20 сен 2010.

  1. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Clerk
    и что ж мешает воплотить в реальность?:)
     
  2. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    UbIvItS
    Это к аверам вопрос. Почему у них всё так примитивно я не знаю.
     
  3. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    ну и вот я щас вазьму и напишу инфектор лоадера зарелизю ег а толку то ? кому нужно сами напишут каму не нужно если вдруг напейшу с###ят а аверы новое семейство припишут и говна разведут сотнями .. одумайтесь
     
  4. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Это, наверное, потому что нам на$рать на такие вот комментарии =)

    Клерк, ты (видимо!) никогда не поймешь, что такое продавать продукт. Какие методы можно использовать, а какие нельзя.

    P.S. BSOD'огенераторы не покупаются как горячие пирожки. Факт.
     
  5. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    где же itw smm/bios малвара? :)
    за 3-4 года уже можно было написать.
    Может быть потому что это не оправдывает?
     
  6. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    n0name
    Да написано. Просто это лабораторные образцы, работающие на определенном железе, которое есть у 1-2% населения планеты. Да еще и залатаное в последних ревизиях биоса. О чем и речь.
    И я всегда улыбаюсь когда слышу "Да вы просто не видите, оно так хорошо скрывается".
     
  7. CrystalMS

    CrystalMS New Member

    Публикаций:
    0
    Регистрация:
    20 сен 2010
    Сообщения:
    51
    http://www.kernelmode.info/forum/viewtopic.php?f=16&t=318

    не?
     
  8. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    sww_
    Вот и аверы подтянулись. Почему же бсодогенератор ?
    Если с умом делать, то будет работать всё стабильно. А технологии в техже ваших сигнатурных детекторах ну просто отсталые. В протах тоже самое. Детекторов руткитов вобще не существует.
     
  9. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Да, редко я сюда заглядываю, школоты тут много :)

    Про бсодогенераторы:

    Потому что если уходить глубоко в ядро, то:

    1) Унылые зависимости, несовместимости и прочей хардкод(р).
    2) Бсодогенераторы.

    Насчет детекторов руткитов - это ты о чем конкретно? Нет детектора аномалий (хуки, подмены и прочее)? И не будет. Не несет смысловой нагрузки для пользователя.

    Детектирование скрытых/"подмененных" объектов, например, файлов или секторов (MBR/зараженные дрова) - мы об этом в ЛК думаем, все для этого давно уже есть. Опять же, что несет в себе информация о скрытых ветках реестра или подмененных указателях в SDT/GDT/IDT и т.п.? Что НАМ с этим делать? Что делать юзерам, в большинстве своем домохозяйкам? Ы?

    В чьих ваших? Сигнатурный детект - это УГ, я так считаю :)
     
  10. CrystalMS

    CrystalMS New Member

    Публикаций:
    0
    Регистрация:
    20 сен 2010
    Сообщения:
    51
    I did it for LULZzz!
     
  11. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    sww_
    У меня руткит основан кстати на этой самой бсодогенерации. Интересно что статический детект перехватов не возможен при использовании этой технологии.
    Допустим обнаружили вы изменённый дескриптор - можно ведь раскрыть ISR, выполнить эмуляцию или даже протрассировать его. Это позволит не только идентифицировать малварь такого уровня, но многие иные вещи, как например снятие логов.
     
  12. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Это вообще не проблема, пойми ты, все эти технологии есть :) Ну и что нам даст получение точки в образе в памяти (без имен, без путей, без всего)? Что нам дадут логи? Что делать дальше? :) Сигнатуры по памяти не предлагать. К тому же они дают лишь детект и все.
     
  13. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    > Если с умом делать, то будет работать всё стабильно
    под каждую ось свой билд? :)
    > мы об этом в ЛК думаем, все для этого давно уже есть.
    btw, немножко копаю для интереса простенький криптор, у вас какой-то не очень могучий эмулятор, без всякой антиэмуляции затухает.
    и эвристик как-то странно ведёт себя, крайне подозрительный файл - здоровая энтропия, секции rw с рандомными названиями, мусорный импорт. И всё это проходит мимо.
     
  14. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    sww_
    Например можно отследить кто попытается изменить туже сст, тоесть найти источник. Для большинства малварей это сработает, так как там всё тривиально сделано. Это будет работать для не известных малварей :)
     
  15. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Нууу, не считаю, что эвристик должен орать на энтропию и рандомные имена секций и даже на мусорный импорт.

    Насчет эмулятора - хз, может все проходит. Можешь прислать файло? :)
     
  16. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Предположим, что мы ставимся на зараженную машину. Никто уже не пытается ничего изменить, все уже давно захучено. Что дальше? :)
     
  17. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    > Насчет эмулятора - хз, может все проходит. Можешь прислать файло? :)
    я любитель, поэтому тестирую на ВТ :)
    оригинальный зараженный файл:
    http://www.virustotal.com/file-scan/report.html?id=f027441e9d916184e2227087310352602b0160fd95a7060f31b3915e1ae8572f-1241355024
    http://dl.dropbox.com/u/11808910/ORIGINAL.test

    пожатый:
    http://www.virustotal.com/file-scan/report.html?id=0e29da78235559dfecbc59a2b663630e7bf98c3dfbeea1c0955ead87b3a2bdfe-1284958385
    http://dl.dropbox.com/u/11808910/packed_simple.test

    Обратите, кстати, внимание на nProtect. Оригинал не распознаёт, а вот упакованный вполне :)
     
  18. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    Что надо сделать, чтобы тебя назначили начальником всех антивирусов? :) Я на каком хочешь сайте проголосую за ав с таким подходом :) А если еще скажешь, что детектить по порядку вызова апишек нельзя, то я твой портрет у себя в спальне повешу :)
     
  19. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Можно детектить некие (условно назовем) паттерны вызова мусорных АПИ. 1000 раз GetDC() + еще что-нить или типа того. Это ненормально для "хороших" программ.
     
  20. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Наоборот, не детектируется упакованный nProtect'ом. Гляну чо там, перешлю кому надо, если что. Странно, эмулятор вообще-то мощный.