-
SuperBrat а вы не находите что в моем ответе была доля сарказма?
Последний раз редактировалось anton_dr; 13.11.2007 в 14:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-

Сообщение от
Зайцев Олег
У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы...
...исполняемый файл будут криптоваться случайно выбираемым пакером...
Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.
-
-

Сообщение от
aintrust
Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.
Так методика то от этого не изменится ! Т.е. получается следующий алгоритм - имеется робот, задача которого состоит в том, чтобы запускаться по крону через заданный интервал времени и по некоему алгоритму собрать дистрибутив AVZ, архивировать его и укладывать куда следует. Далее рассматриваем методики, по которым зверь может понять, что это AVZ. Их можно поделить на:
1. Методы поиска статических признаков файлов (на момент их открытия или запуска) - это имена файлов, копирайты файлов, их размер и CRC, характерные сигнатуры. До сигнатур дело видимо не дойдет, обычно идет лобовая блокировка по имени файла. Методы защиты - переименовать файлы, пересобрать EXE ...
2. Методы поиска статических признаков процесса. Аналогично для процесса - поиск имени/класса окна, характерных имен чего-то в интерфейсе, характерные строки в памяти процесса и т.п. Обычно реализации опять-же простейшие - типа поиска окна с заданными параметрами
3. Методы поведенческой блокировки - защищают зловред не от конкретного продукта, а от конкретных действий - открытия его процесса, убиения процесса и т.п. Известны методики на основе ловушки - например, создать маскируемый процесс и убивать всякого, кто попробует его открыть или убить
-
-
Олег, ты для кого это пишешь? =) Ведь с методикой все было ясно еще два (или даже более) года назад, когда появились первые "опыты" по борьбе с AVZ, в том числе и мои. Сейчас уже вполне можно обсуждать конкретику реализации тех или иных вещей, и особенно того, что идет под 3-м пунктом.
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?
-
-
Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.
ой не хватит
Зайцев верно написал, если еще и по сигнатурам будут авз палить то придется выдумывать криптовку
а еще можно по последовательности вызовов апи спалить )))
-

Сообщение от
[500mhz]
... если еще и по сигнатурам будут авз палить ...
Ключевое слово тут - "если". Вот если начнут "палить", тогда и... =)
-
-
aintrust
PoC написать? )))
-
PoC написать может любой школьник, начавший программировать пару месяцев назад. Я сейчас говорю не о PoC-ах, а о реальной жизни. Если (или когда) появятся (более-менее массово) зловреды, "палящие" AVZ по сигнатурам, тогда и будет иметь смысл что-то в этом плане делать.
-
-
хочется как лучше а получается как всегда
"гром не грянет, мужик не перекрестится" )))
зачем исправлять последствия если можно изначально прибить причину?
-

Сообщение от
aintrust
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?
+1
-
-
господа!
никто не говорит о том что Зайцев должен все бросать и начинать релизить модуль самообороны, мы же рассуждаем не так ли?
на то форумы и нужны что бы люди высказывались и мнениями обменивались
а однобокая позиция "нафик надо все равно это еще никто не использует" приводит к смешной ситуации схожей в противостоянии КИСЫ и автокликеров
-

Сообщение от
[500mhz]
господа!
на то форумы и нужны что бы люди высказывались и мнениями обменивались
Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)
-
-

Сообщение от
aintrust
Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)
Поддерживаю. Критика, ежели она по делу и конструктивна, равно как и полезные предложения по поводу того, что и где следует делать - это полезно и очень хорошо. Это же не означает, что следует все бросить и кинуться это делать - достаточно просто взять на заметку, продумать, затем можно провести какие-то опыты в данном направлении ...
По поводу XML анализатора и прочих анализаторов/исправляторов и т.п. - как раз реализацией анализа системы я сейчас и занимаюсь ...
-
-
Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.
-
-

Сообщение от
Geser
Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.
Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны
-
-

Сообщение от
Зайцев Олег
Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны
Возможно стоит вынести их в конец лога.
Кроме того, как на счет того что бы по каждому файлу выводить состояние
1. Отсутствует на диске
2. Присутствует доступ невозможен.
3. Присутствует доступ возможен
Я думаю будет очень полезно.
-
-
Гесер опередил, я тоже хотел предложить
Идея очень полезная.
Не забудь пожалуйста в рубрике " о программе " сделать тоже самое как на сайте по количеству зловредов.
Также перед сканированием или открытия рубрики скриптов - AVZ должен проверить дату на компьютере и дату своих антивирусных баз , при разногласии - большой жирный pop-up со ссылкой на обновления.
-
-
Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
-
-

Сообщение от
XL
Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.
Удаление файлов по маске реализовать несложно, но представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!
-
-

Сообщение от
Зайцев Олег
представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!
Ну, разве это причина для того, чтобы не реализовывать удаление по маске?
Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
DeleteFileMask(папка, маска, удаление_в_подпапках, ...)
Тогда приведенная выше команда будет выглядеть так:
DeleteFileMask('C:', '*.*', 'yes', ...)
Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой.
Кстати, есть такая команда, DeleteDirectory(папки). Почему у тебя не было сомнений в ее реализации, ведь с ее помощью тоже можно прибить систему всего лишь одной "неловкой" командой?
-