-
Теоретический вопрос.
У меня вот идея появилась,ток не знаю реальна ли она.
Итак,как Вы счиатете,реально ли написать программу,которая будет имитировать опрерационную систему и при этом выдавать детальные дейтсивя то или иной прогарммы которую мы как бы в эту сиситему поставим?То есть,имеем например Loo2Me или еще что то очень зловредное и мало поянтное как оно рабоет и что нон делает,где когда и как.Вставляем вирус эту программу,вирус думает что это операционная система,и начинает работать.Потом Вам выдается как бы лог,если угодно то алгоритм его дейтсвий,то есть сначала он прописался в реестр под таким то и таким ключем,потом повис как скрытый процесс и то то и то то так далее.Так вот реально ли что то такое написать,создать?Ведь тогда в ручную по крайней мере их отлавливать будет почти элементарно,да и антивирусные компании будут действовать гораздо быстрее.Фантастика ли это или же уже что то такое есть?Ваши мнения господа!
-
Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.
-
[QUOTE=Xen]Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.[/QUOTE]
Крута!А как называется,где его заиметь почему тут его не используют?Имхо тут его самое то использовать?Многоуважаемому Олегу точно...
А как хорошо они работают?
-
:) Один из них можно заметить на этом форуме [url]http://virusinfo.info/showthread.php?t=3392[/url]
-
[QUOTE=anton_dr]:) Один из них можно заметить на этом форуме [url]http://virusinfo.info/showthread.php?t=3392[/url][/QUOTE]
Неее...это не то, это работает с системой.То есть есть риск что будет нанесен какой никакой вред.А я говрю о том что зверь сидит как бы в банке но при этом ощющяет себя на поле.
-
В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас :).
-
VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми :)
-
[QUOTE]В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас .[/QUOTE]
Почитал вот немного об этих программах не то это.Я говорю что программа будет делать вид будто она операционаая система,она совершенно не обязательно должна уметь делать все что делает выше упомятнутая,основные элементы чтоб были что можно было "что то сделать"и норм,хватит.Вот вы упомянукли примочки,скажи пожалуйста что это за примочки если не трудно?
[QUOTE]VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми [/QUOTE]
Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.
-
[quote=Dark_Blaze]
Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.[/quote]
Есть методы маскировки,кажется..
А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..
А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам
-
Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)
-
[QUOTE]Есть методы маскировки,кажется..
А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..
А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам[/QUOTE]
Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
[QUOTE]Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)[/QUOTE]
А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
-
[quote=Dark_Blaze]Маскировки чего,кого,от кого?[/quote]
Маскировки от обнаружения того, что машина - виртуальная.
[quote=Dark_Blaze]Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....[/quote]
Во-первых, это ТЕСТОВЫЙ комп - какой еще риск? А во-вторых... Не думая - можно только "вотка пить и грязь валяцца" :)
[quote=Dark_Blaze]А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?[/quote]
Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет :)
PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих
-
[quote=MedvedD]Маскировки от обнаружения того, что машина - виртуальная.
[/quote]
Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...
[quote=MedvedD]
Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет :)
PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих[/quote]
Лень - двигатель прогресса :) У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек
-
[QUOTE=Dark_Blaze]Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?[/QUOTE]
1. virustotal не рассказывает что делает программа
2. Скачать себе на комп Normana и бедет тебе стационарная система ж)
-
Кстати, дайте линк на Sandbox. Переискал всё - не нашёл, а искал на многих рыбных местах..
-
[url]http://www.norman.com/Download/Full_versions/nvc/en[/url]
и Live
[url]http://sandbox.norman.no/live_4.html[/url]
-
[QUOTE]1. virustotal не рассказывает что делает программа
2. Скачать себе на комп Normana и бедет тебе стационарная система ж)[/QUOTE]
1.Я знаю,вирустотал ток говрт зверь это или нет.
2.А что вы имеет ввиду?
[QUOTE]Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...[/QUOTE]
Неужели на это нет противоядия?
[QUOTE]Лень - двигатель прогресса У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек[/QUOTE]
Дык я и говорю,что прогармма только скажет,где,когда,как,каким образом и т.п. т.д. грубо говоря,очень грубо,ФАК по этому вирю,мини фак,а дальше уже человек...важен сам факт,что програмаа это будет делать,ненужно дуумать,ломать голову где оно как оно прячется...выщитывать вес файлов и т.п. и т.д....я так думаю.
-
[quote=WaterFish][URL="http://www.norman.com/Download/Full_versions/nvc/en"]http://www.norman.com/Download/Full_versions/nvc/en[/URL]
и Live
[URL="http://sandbox.norman.no/live_4.html"]http://sandbox.norman.no/live_4.html[/URL][/quote]
Ах, это.. :( Скачал,ставил, удалил.. Антивир обычный, sandbox включает ТОЛЬКО на подозрительные с его точки зрения файлы..
-
[QUOTE=MedvedD]Ах, это.. :( Скачал,ставил, удалил..[/QUOTE]
Я тоже: 3 месяца тестил (бесплатно), потом выкинул.
[QUOTE]Антивир обычный[/QUOTE]
Хуже, чем обычный: куча false positives, куча работающих процессов, детектирование слабое...
-
Народ значит нет такой проги?А то фсе малчат....
Page generated in 0.00157 seconds with 10 queries