по выводу #2:
Простое присвоение файлу, не находящемуся в базе чистых AVZ, имени "чистого" файла не приводит к его "узнаванию" и исчезновению из протокола исследования.
по выводу #2:
Простое присвоение файлу, не находящемуся в базе чистых AVZ, имени "чистого" файла не приводит к его "узнаванию" и исчезновению из протокола исследования.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Естественно - это следует уже хотя бы из того факта, что при добавлении файла в базу "чистых" его имя вообще никак не учитывается! И мой вывод #2, само собой, совсем не про это - т.е. не про подмену "по имени файла" - это вообще в данном случае не имеет смысла (!!!), а про подмену именно "новым (чистым) содержанием, но со старым именем"! Это, согласитесь, совсем разные вещи!Сообщение от HATTIFNATTOR
Давайте еще раз уточним.
1) Стартует и грузится в память компьютера "грязный" файл trojan.exe (не принципиально, каким образом);
2) Затем этот "грязный" файл переименовывается - делается это процессом trojan (инициированным исходным файлом trojan.exe) - и совсем не важно, в какое имя (к примеру, в 1234.exe) - лишь бы троян о нем знал для дальнейшего использования;
3) Затем в каталог, где лежит этот "грязный" переименованный файл, переписывается (опять же, процессом-трояном) заведомо "чистый" файл (любой системный, например notepad.exe), и ему дается старое имя "грязного" файла-оригинала, т.е. trojan.exe.
"Подмена" как раз в том и состоит, что в памяти мы имеем загруженный trojan.exe, а на диске под его именем скрывается notepad.exe - и этого достаточно, чтобы AVZ начал считать этот "грязный" процесс (и соответствующий ему файл) в своих отчетах "чистым" (что, естественно, не так!).
Все это м.б. описывается сложно, но реализуется зато совершенно элементарно - такой троян пишется в течение 20 минут!
Посмотрите более внимательно на тот пример, что я привел в качестве иллюстрации (скриншот #4) - там в качестве исходного "грязного" файла и процесса, ему соответствующего, выступает winampa.exe.
Последний раз редактировалось aintrust; 12.03.2006 в 22:14.
to aintrust
для трояна такая методика слишком сложна, хотя от эксплоита до реального трояна один шаг. Вывод - надо думать, как быть.
Проверка объекта в памяти - нереально, я об этом думал уже:
1. Релокейшены и загрузка по разным адресам (положем, это мелочь-у AVZ хороший анализатор PE, он это учтет, равно как выравниванеи секций и прочую дребедень)
2. Пакеры, криптеры, протектеры. Особенно разные протектеры - при их применении возможна расшифровка программы по частям и прочие чудеса
3. Модификации кода программы самой программой. Часто это результат 2 или результаты деятельности самопальных защит
4. Руткиты UserMode и прочие программы мониторинга и анализа, которые патчат свой код программ.
----
Вывод - анализ в памяти возможен инаверное нужен, но это отдельная "база образов чистых объектов" и отдельный подход
Второе - как сейчас AVZ проверяет процесс по базе чистых. Он ищет файл по полному имени на диске. Если не нашел или не смог открыть - файл автоматом считается "грязным" (логика там повсюду такова - файл "грязный", пока не доказано обратное). Если нашел - файл открывается, анализируется его содержимое, проверяется по базе. Попали - чистый, промах - грязный. Имя файла при этом нигде не участвует, исключение - мой стационарный анализатор, в его базах хранятся данные о имени каждого имеющегося в базе чистых файле - чтобы найти его в коллекции в случае чего.
Естественно, что если запустить процесс, затем переименовать его файл и создать чистый файл с таким именем, то систему можно обмануть - она проанализирует чистый файл. Аналогично - перехват CreateFile|OpenFile и открытие чистого файла в место "зверя" для его проврки. Проще всего это видеть на драйвере - его можно легко переименовать или стереть после запуска.
Угу, сообразил, - просто из первого объяснения это явным образом не следовало.
мы и правда говорим о чистых файлах???
сколько микрософтовских файлов упакованы, декриптуют или патчат себя? ноль!
да и вообще среди файлов из базы чистых будут единицы, удовлетворяющие пунктам 2-4.
Да, каюсь... пальцы отставали от мыслей... или наоборотУгу, сообразил, - просто из первого объяснения это явным образом не следовало.Ну, в общем, я в своем первом сообщении (да и во втором тоже) все подправил - теперь не должно быть непонимания!
Ну, в реальных троянах я не настолько силен, как ты - тебе виднее, конечно. Но эксплойт (или PoC) действительно пишется за 20 минут - впрочем, ты и сам это понимаешь...
Согласен абсолютно - что-то с этим надо делать, да и такой анализ не только "возможен и нужен" - по хорошему он просто необходим.
2 oleg bql o4en rad uviden serioznqe obnovleniay v avz, NO 1 no correct fonts v winxp eng lish 4asti4no oni korrektq k primery vso na rusike ok a vot posle vklu4enia avzguard , kogda mena prispi4lilo zakrqt avz ona mne vqdala okno tipa text karakulami i vnizy DA NET ny ya vqbral DA , v itoge vse zalo4eno daze sama avz i daze task manager , koe kak sdelal safe shutdown , toze tormozilo prosto vstalo vse , a ved u mena fat32 power reset protivopokazan, i eto sledstvie kak minimum ne korektnqh fonts oni u vas bqvaut ot versii k versii odna rabotaet bez glukov s fonts drugaya kankretno v karakulah, ,, -- ok no eto pol dela , posle prezagruzki u mena poyavilsa new hardware )) kogda ?OTKUDA ?) kogda ya posmotrel 4to za hardvare iz opisania tolko uznal 4to to tipa AVZ/LEGACY 4to to tipa tak , KANKRETNQY GLUK !! krome pro4ego do zapuska AVZ u mena ram memory use 90mb posle zapuska vse 168-170mb , veroyatno ona zapuskaet vse servisq 4to tolko moget zapustit , ,,3 zame4eno bolee medlenaya reakcia 4em v preznih versiah , uze ne momentalno vsplqvaut okoshki avz ..s4itau dolgom soobshit ob etih glukah -- zelau vsa4eskih uda4 -respect
2oleg )) ne unqvai vse ok , ya tut uvidel 4to krupnqe rqbq na teba zubq skalat ,, monitor nakonec postavil v avz a eto perevodit teba v razrad pramqh KONKURENTOV - dla vseh ostalnqh programerov KASPER ? fuck em , AVZ ne gruzit sistemy it all i need )na danqy moment sredi vseh antispyware 4to ya testil a eto okolo 15 raznhqh AVZ rulit , vnedrenie real time protect eto to 4to davno bqlo nuzno ya dla real protect ispolzuu poka AD AWARE poka segodna ne uvidel new version s avzguard , 4toz podozdem poka new version dovedut do uma i ad aware uletit v korziny )
toze tormozilo prosto vstalo vse - а еще говорят XP не подвесишь
тема)
например я ваще этот guard включить не могу.
как сканер прошелся и все- В меню он выключен.
А какая версия операционки ?тема
например я ваще этот guard включить не могу.
как сканер прошелся и все- В меню он выключен.
Вышло обновление баз: 21076 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения (база от 24.03.2006 17:30)
Микропрограммы эвристики: 357
Цифровые подписи безопасных файлов: 48167
---
Обновление доступно через встроенный автоапдейт
У AVZ новый офсайт,я наконец довел его до ума http://z-oleg.com/secur/
Симпатично
Неработает RSS в новостях. В описаниях работает.
Еще бы стили прикрутить, избавиться от Таймс в текстах
Стили там прикручен ... просто текстовка статей и части иных материалов импортирована из Word, и при этом в каждом абзаце тащится его мусор. Я это вычищаю по мере наличия времени и перевожу на стили сайта ... - в течение недели я все это причешу.
to Shu_b
Да, ошибочка вышла - я нечаянно файлик один прибил. все отремонтировано.
Есть вопрос по APS.
(Стоит OC - Win98SE)
При загруженной программе не работает IE (v5.5)
При выходе из проги, IE опять работает, станицы грузятся.
Что не так?
И второй:
При одновременном запуске APS и AVZ, в AVZ возникает большое количество "красных" портов. Это нормально?
1. На Win98 APS действиетльно может помешать работе программ в инет. Можно конечно попробовать обновить Winsock ...
2. AVZ - это APS наоборот. Т.е. APS слушает порты троянов и имитирут их наличие, а AVZ - ищет открытые порты троянов и пишет в логи. Базы у них практически одинаковые. Отсюда и реакция ...
А вот интересно, насколько актуально сейчас средство против port-listener'ов? ИМХО, технология вышла из моды очень давно ;-)
Ваши права в разделе
