ну и вот я щас вазьму и напишу инфектор лоадера зарелизю ег а толку то ? кому нужно сами напишут каму не нужно если вдруг напейшу с###ят а аверы новое семейство припишут и говна разведут сотнями .. одумайтесь
Это, наверное, потому что нам на$рать на такие вот комментарии =) Клерк, ты (видимо!) никогда не поймешь, что такое продавать продукт. Какие методы можно использовать, а какие нельзя. P.S. BSOD'огенераторы не покупаются как горячие пирожки. Факт.
где же itw smm/bios малвара? за 3-4 года уже можно было написать. Может быть потому что это не оправдывает?
n0name Да написано. Просто это лабораторные образцы, работающие на определенном железе, которое есть у 1-2% населения планеты. Да еще и залатаное в последних ревизиях биоса. О чем и речь. И я всегда улыбаюсь когда слышу "Да вы просто не видите, оно так хорошо скрывается".
sww_ Вот и аверы подтянулись. Почему же бсодогенератор ? Если с умом делать, то будет работать всё стабильно. А технологии в техже ваших сигнатурных детекторах ну просто отсталые. В протах тоже самое. Детекторов руткитов вобще не существует.
Да, редко я сюда заглядываю, школоты тут много Про бсодогенераторы: Потому что если уходить глубоко в ядро, то: 1) Унылые зависимости, несовместимости и прочей хардкод(р). 2) Бсодогенераторы. Насчет детекторов руткитов - это ты о чем конкретно? Нет детектора аномалий (хуки, подмены и прочее)? И не будет. Не несет смысловой нагрузки для пользователя. Детектирование скрытых/"подмененных" объектов, например, файлов или секторов (MBR/зараженные дрова) - мы об этом в ЛК думаем, все для этого давно уже есть. Опять же, что несет в себе информация о скрытых ветках реестра или подмененных указателях в SDT/GDT/IDT и т.п.? Что НАМ с этим делать? Что делать юзерам, в большинстве своем домохозяйкам? Ы? В чьих ваших? Сигнатурный детект - это УГ, я так считаю
sww_ У меня руткит основан кстати на этой самой бсодогенерации. Интересно что статический детект перехватов не возможен при использовании этой технологии. Допустим обнаружили вы изменённый дескриптор - можно ведь раскрыть ISR, выполнить эмуляцию или даже протрассировать его. Это позволит не только идентифицировать малварь такого уровня, но многие иные вещи, как например снятие логов.
Это вообще не проблема, пойми ты, все эти технологии есть Ну и что нам даст получение точки в образе в памяти (без имен, без путей, без всего)? Что нам дадут логи? Что делать дальше? Сигнатуры по памяти не предлагать. К тому же они дают лишь детект и все.
> Если с умом делать, то будет работать всё стабильно под каждую ось свой билд? > мы об этом в ЛК думаем, все для этого давно уже есть. btw, немножко копаю для интереса простенький криптор, у вас какой-то не очень могучий эмулятор, без всякой антиэмуляции затухает. и эвристик как-то странно ведёт себя, крайне подозрительный файл - здоровая энтропия, секции rw с рандомными названиями, мусорный импорт. И всё это проходит мимо.
sww_ Например можно отследить кто попытается изменить туже сст, тоесть найти источник. Для большинства малварей это сработает, так как там всё тривиально сделано. Это будет работать для не известных малварей
Нууу, не считаю, что эвристик должен орать на энтропию и рандомные имена секций и даже на мусорный импорт. Насчет эмулятора - хз, может все проходит. Можешь прислать файло?
Предположим, что мы ставимся на зараженную машину. Никто уже не пытается ничего изменить, все уже давно захучено. Что дальше?
> Насчет эмулятора - хз, может все проходит. Можешь прислать файло? я любитель, поэтому тестирую на ВТ оригинальный зараженный файл: http://www.virustotal.com/file-scan/report.html?id=f027441e9d916184e2227087310352602b0160fd95a7060f31b3915e1ae8572f-1241355024 http://dl.dropbox.com/u/11808910/ORIGINAL.test пожатый: http://www.virustotal.com/file-scan/report.html?id=0e29da78235559dfecbc59a2b663630e7bf98c3dfbeea1c0955ead87b3a2bdfe-1284958385 http://dl.dropbox.com/u/11808910/packed_simple.test Обратите, кстати, внимание на nProtect. Оригинал не распознаёт, а вот упакованный вполне
Что надо сделать, чтобы тебя назначили начальником всех антивирусов? Я на каком хочешь сайте проголосую за ав с таким подходом А если еще скажешь, что детектить по порядку вызова апишек нельзя, то я твой портрет у себя в спальне повешу
Можно детектить некие (условно назовем) паттерны вызова мусорных АПИ. 1000 раз GetDC() + еще что-нить или типа того. Это ненормально для "хороших" программ.
Наоборот, не детектируется упакованный nProtect'ом. Гляну чо там, перешлю кому надо, если что. Странно, эмулятор вообще-то мощный.
