SuperBrat а вы не находите что в моем ответе была доля сарказма?
Printable View
SuperBrat а вы не находите что в моем ответе была доля сарказма?
[QUOTE=Зайцев Олег;149840]У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы...
...исполняемый файл будут криптоваться случайно выбираемым пакером...
[/QUOTE]
Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.
[quote=aintrust;150082]Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.[/quote]
Так методика то от этого не изменится ! Т.е. получается следующий алгоритм - имеется робот, задача которого состоит в том, чтобы запускаться по крону через заданный интервал времени и по некоему алгоритму собрать дистрибутив AVZ, архивировать его и укладывать куда следует. Далее рассматриваем методики, по которым зверь может понять, что это AVZ. Их можно поделить на:
1. Методы поиска статических признаков файлов (на момент их открытия или запуска) - это имена файлов, копирайты файлов, их размер и CRC, характерные сигнатуры. До сигнатур дело видимо не дойдет, обычно идет лобовая блокировка по имени файла. Методы защиты - переименовать файлы, пересобрать EXE ...
2. Методы поиска статических признаков процесса. Аналогично для процесса - поиск имени/класса окна, характерных имен чего-то в интерфейсе, характерные строки в памяти процесса и т.п. Обычно реализации опять-же простейшие - типа поиска окна с заданными параметрами
3. Методы поведенческой блокировки - защищают зловред не от конкретного продукта, а от конкретных действий - открытия его процесса, убиения процесса и т.п. Известны методики на основе ловушки - например, создать маскируемый процесс и убивать всякого, кто попробует его открыть или убить
Олег, ты для кого это пишешь? =) Ведь с методикой все было ясно еще два (или даже более) года назад, когда появились первые "опыты" по борьбе с AVZ, в том числе и мои. Сейчас уже вполне можно обсуждать конкретику реализации тех или иных вещей, и особенно того, что идет под 3-м пунктом.
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?
[QUOTE]Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.[/QUOTE]
ой не хватит
Зайцев верно написал, если еще и по сигнатурам будут авз палить то придется выдумывать криптовку
а еще можно по последовательности вызовов апи спалить )))
[QUOTE='[500mhz];150121']
... если еще и по сигнатурам будут авз палить ...
[/QUOTE]
Ключевое слово тут - "если". Вот [U]если[/U] начнут "палить", тогда и... =)
aintrust
PoC написать? )))
PoC написать может любой школьник, начавший программировать пару месяцев назад. Я сейчас говорю не о PoC-ах, а о реальной жизни. [U]Если[/U] (или [U]когда[/U]) появятся (более-менее массово) зловреды, "палящие" AVZ по сигнатурам, тогда и будет иметь смысл что-то в этом плане делать.
хочется как лучше а получается как всегда
"гром не грянет, мужик не перекрестится" )))
зачем исправлять последствия если можно изначально прибить причину?
[QUOTE=aintrust;150117]
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?[/QUOTE]
+1
господа!
никто не говорит о том что Зайцев должен все бросать и начинать релизить модуль самообороны, мы же рассуждаем не так ли?
на то форумы и нужны что бы люди высказывались и мнениями обменивались
а однобокая позиция "нафик надо все равно это еще никто не использует" приводит к смешной ситуации схожей в противостоянии КИСЫ и автокликеров
[QUOTE='[500mhz];150156']господа!
на то форумы и нужны что бы люди высказывались и мнениями обменивались
[/QUOTE]
Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)
[quote=aintrust;150180]Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)[/quote]
Поддерживаю. Критика, ежели она по делу и конструктивна, равно как и полезные предложения по поводу того, что и где следует делать - это полезно и очень хорошо. Это же не означает, что следует все бросить и кинуться это делать - достаточно просто взять на заметку, продумать, затем можно провести какие-то опыты в данном направлении ...
По поводу XML анализатора и прочих анализаторов/исправляторов и т.п. - как раз реализацией анализа системы я сейчас и занимаюсь ...
Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.
[quote=Geser;150215]Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.[/quote]
Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны
[QUOTE=Зайцев Олег;150218]Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны[/QUOTE]
Возможно стоит вынести их в конец лога.
Кроме того, как на счет того что бы по каждому файлу выводить состояние
1. Отсутствует на диске
2. Присутствует доступ невозможен.
3. Присутствует доступ возможен
Я думаю будет [B]очень[/B] полезно.
Гесер опередил, я тоже хотел предложить ;)Идея очень полезная.
Не забудь пожалуйста в рубрике " о программе " сделать тоже самое как на сайте по количеству зловредов.
Также перед сканированием или открытия рубрики скриптов - AVZ должен проверить дату на компьютере и дату своих антивирусных баз , при разногласии - большой жирный pop-up со ссылкой на обновления.
Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.
[quote=XL;150335]Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.[/quote]
Удаление файлов по маске реализовать несложно, но представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!
[QUOTE=Зайцев Олег;150617]представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?![/QUOTE]
Ну, разве это причина для того, чтобы не реализовывать удаление по маске?
Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
[I]DeleteFileMask(папка, маска, удаление_в_подпапках, ...)[/I]
Тогда приведенная выше команда будет выглядеть так:
[I]DeleteFileMask('C:', '*.*', 'yes', ...)[/I]
Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой.
Кстати, есть такая команда, [I]DeleteDirectory(папки)[/I]. Почему у тебя не было сомнений в ее реализации, ведь с ее помощью тоже можно прибить систему всего лишь одной "неловкой" командой?