Показано с 1 по 20 из 20.

Теоретический вопрос.

  1. #1
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71

    Question Теоретический вопрос.

    У меня вот идея появилась,ток не знаю реальна ли она.
    Итак,как Вы счиатете,реально ли написать программу,которая будет имитировать опрерационную систему и при этом выдавать детальные дейтсивя то или иной прогарммы которую мы как бы в эту сиситему поставим?То есть,имеем например Loo2Me или еще что то очень зловредное и мало поянтное как оно рабоет и что нон делает,где когда и как.Вставляем вирус эту программу,вирус думает что это операционная система,и начинает работать.Потом Вам выдается как бы лог,если угодно то алгоритм его дейтсвий,то есть сначала он прописался в реестр под таким то и таким ключем,потом повис как скрытый процесс и то то и то то так далее.Так вот реально ли что то такое написать,создать?Ведь тогда в ручную по крайней мере их отлавливать будет почти элементарно,да и антивирусные компании будут действовать гораздо быстрее.Фантастика ли это или же уже что то такое есть?Ваши мнения господа!
    I live to serve,and serve to live.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.

  4. #3
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    Цитата Сообщение от Xen
    Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.
    Крута!А как называется,где его заиметь почему тут его не используют?Имхо тут его самое то использовать?Многоуважаемому Олегу точно...
    А как хорошо они работают?
    I live to serve,and serve to live.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Один из них можно заметить на этом форуме http://virusinfo.info/showthread.php?t=3392

  6. #5
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    Цитата Сообщение от anton_dr
    Один из них можно заметить на этом форуме http://virusinfo.info/showthread.php?t=3392
    Неее...это не то, это работает с системой.То есть есть риск что будет нанесен какой никакой вред.А я говрю о том что зверь сидит как бы в банке но при этом ощющяет себя на поле.
    I live to serve,and serve to live.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас .
    http://www.softsphere.com - DefenseWall, DefencePlus

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми

  9. #8
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас .
    Почитал вот немного об этих программах не то это.Я говорю что программа будет делать вид будто она операционаая система,она совершенно не обязательно должна уметь делать все что делает выше упомятнутая,основные элементы чтоб были что можно было "что то сделать"и норм,хватит.Вот вы упомянукли примочки,скажи пожалуйста что это за примочки если не трудно?
    VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми
    Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.
    I live to serve,and serve to live.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    Цитата Сообщение от Dark_Blaze
    Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.
    Есть методы маскировки,кажется..
    А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..

    А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам

  11. #10
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  12. #11
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    Есть методы маскировки,кажется..
    А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..

    А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам
    Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
    Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)
    А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
    I live to serve,and serve to live.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    Цитата Сообщение от Dark_Blaze
    Маскировки чего,кого,от кого?
    Маскировки от обнаружения того, что машина - виртуальная.
    Цитата Сообщение от Dark_Blaze
    Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
    Во-первых, это ТЕСТОВЫЙ комп - какой еще риск? А во-вторых... Не думая - можно только "вотка пить и грязь валяцца"
    Цитата Сообщение от Dark_Blaze
    А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
    Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет

    PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от MedvedD
    Маскировки от обнаружения того, что машина - виртуальная.
    Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...

    Цитата Сообщение от MedvedD
    Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет

    PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих
    Лень - двигатель прогресса У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Цитата Сообщение от Dark_Blaze
    Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....

    А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
    1. virustotal не рассказывает что делает программа
    2. Скачать себе на комп Normana и бедет тебе стационарная система ж)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    Кстати, дайте линк на Sandbox. Переискал всё - не нашёл, а искал на многих рыбных местах..

  17. #16

  18. #17
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    1. virustotal не рассказывает что делает программа
    2. Скачать себе на комп Normana и бедет тебе стационарная система ж)
    1.Я знаю,вирустотал ток говрт зверь это или нет.
    2.А что вы имеет ввиду?

    Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...
    Неужели на это нет противоядия?
    Лень - двигатель прогресса У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек
    Дык я и говорю,что прогармма только скажет,где,когда,как,каким образом и т.п. т.д. грубо говоря,очень грубо,ФАК по этому вирю,мини фак,а дальше уже человек...важен сам факт,что програмаа это будет делать,ненужно дуумать,ломать голову где оно как оно прячется...выщитывать вес файлов и т.п. и т.д....я так думаю.
    I live to serve,and serve to live.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    Ах, это.. Скачал,ставил, удалил.. Антивир обычный, sandbox включает ТОЛЬКО на подозрительные с его точки зрения файлы..

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от MedvedD
    Ах, это.. Скачал,ставил, удалил..
    Я тоже: 3 месяца тестил (бесплатно), потом выкинул.
    Антивир обычный
    Хуже, чем обычный: куча false positives, куча работающих процессов, детектирование слабое...

  21. #20
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    71
    Народ значит нет такой проги?А то фсе малчат....
    I live to serve,and serve to live.

Похожие темы

  1. Теоретический вопрос ???
    От Kluni в разделе Сетевые атаки
    Ответов: 3
    Последнее сообщение: 15.08.2010, 23:58
  2. Динамический IP
    От kLen в разделе Общая сетевая безопасность
    Ответов: 9
    Последнее сообщение: 08.10.2009, 20:12
  3. Ваш биологический и психологический возраст
    От Bratez в разделе Спам и мошенничество в сети
    Ответов: 10
    Последнее сообщение: 30.05.2009, 07:43
  4. теоретический вопрос...
    От Илья в разделе Оффтоп
    Ответов: 6
    Последнее сообщение: 07.10.2006, 19:14
  5. Ответов: 9
    Последнее сообщение: 28.05.2006, 20:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00129 seconds with 19 queries