-
Junior Member
- Вес репутации
- 72
Теоретический вопрос.
У меня вот идея появилась,ток не знаю реальна ли она.
Итак,как Вы счиатете,реально ли написать программу,которая будет имитировать опрерационную систему и при этом выдавать детальные дейтсивя то или иной прогарммы которую мы как бы в эту сиситему поставим?То есть,имеем например Loo2Me или еще что то очень зловредное и мало поянтное как оно рабоет и что нон делает,где когда и как.Вставляем вирус эту программу,вирус думает что это операционная система,и начинает работать.Потом Вам выдается как бы лог,если угодно то алгоритм его дейтсвий,то есть сначала он прописался в реестр под таким то и таким ключем,потом повис как скрытый процесс и то то и то то так далее.Так вот реально ли что то такое написать,создать?Ведь тогда в ручную по крайней мере их отлавливать будет почти элементарно,да и антивирусные компании будут действовать гораздо быстрее.Фантастика ли это или же уже что то такое есть?Ваши мнения господа!
I live to serve,and serve to live.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.
-
Junior Member
- Вес репутации
- 72
Сообщение от
Xen
Есть такие программы, называются сендбоксы (sandbox), то есть песочницы. В том числе специализированный софт для анализа малваря.
Крута!А как называется,где его заиметь почему тут его не используют?Имхо тут его самое то использовать?Многоуважаемому Олегу точно...
А как хорошо они работают?
I live to serve,and serve to live.
-
-
-
Junior Member
- Вес репутации
- 72
Сообщение от
anton_dr
Неее...это не то, это работает с системой.То есть есть риск что будет нанесен какой никакой вред.А я говрю о том что зверь сидит как бы в банке но при этом ощющяет себя на поле.
I live to serve,and serve to live.
-
В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас .
-
-
VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми
-
-
Junior Member
- Вес репутации
- 72
В общем, для подобных целей обычно используется виртуализационный софт тина VMWare или VirtualPC + дополнительные примочки для снятия и сравнения состояния файлов и реестра. Так что всё уже украдено до нас .
Почитал вот немного об этих программах не то это.Я говорю что программа будет делать вид будто она операционаая система,она совершенно не обязательно должна уметь делать все что делает выше упомятнутая,основные элементы чтоб были что можно было "что то сделать"и норм,хватит.Вот вы упомянукли примочки,скажи пожалуйста что это за примочки если не трудно?
VMWare или VirtualPC - наш выбор! Только вот вирусы появляются, которые засекают, что они запущены в виртуальной машине, и прикидываются добрыми и пушистыми
Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.
I live to serve,and serve to live.
-
Сообщение от
Dark_Blaze
Так вот низзя чтобы вирус догнал что виртуальная машина...невкоем случае ибо теряется основной смысл.Более того я считаю,что нужно дать вирусу так,как будто владалец компа лох,и ваще комп голый...то есть таким образом узнать наихудший вариант.
Есть методы маскировки,кажется..
А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..
А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам
-
-
Visiting Helper
- Вес репутации
- 76
Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Junior Member
- Вес репутации
- 72
Есть методы маскировки,кажется..
А вирткомп будет голым настолько, насколько голую операционку мы на него поставим - хоть винду без единого СП.. хоть 98 винду..
А вообще в компаниях используют настоящие железные тестовые компьютеры - это всё же самый надёжный метод. Исследовал, перезалил образ винчестера, и комп опять чист и готов к новым вирусам
Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
Мдя.. и все пропустили самое главное - такая система есть и называется Norman Sandbox (в гоогле можно найти сайт для онлайн проверки малвари на нем)
А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
I live to serve,and serve to live.
-
Сообщение от
Dark_Blaze
Маскировки чего,кого,от кого?
Маскировки от обнаружения того, что машина - виртуальная.
Сообщение от
Dark_Blaze
Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
Во-первых, это ТЕСТОВЫЙ комп - какой еще риск? А во-вторых... Не думая - можно только "вотка пить и грязь валяцца"
Сообщение от
Dark_Blaze
А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет
PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих
-
-
Сообщение от
MedvedD
Маскировки от обнаружения того, что машина - виртуальная.
Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...
Сообщение от
MedvedD
Это плавное движение рук занимает много часов(дней) напряжённого думания. Дизассемблер, отладчики, логи из прокси, что куда лезет, файлмон, регмон... Автоматов НЕТ и НИКОГДА не будет
PS: "Компьютер должен работать, а человек - думать" (с)Ктото из великих
Лень - двигатель прогресса У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек
-
-
Visiting Helper
- Вес репутации
- 76
Сообщение от
Dark_Blaze
Маскировки чего,кого,от кого?Я повтоюсь...ненужен громоский,тяжелый и неповортливый вирт комп.Тяжко это...натсраивать...думать,лазить копатся и т.д. и т.п. нонсенс.Я абсолютно о другом говорю.Целый комп приходится посвещять еще и рискую при это....
А зачем нам онлайн проверка вирусов когда есть вирус тотал(который у меня кстате пахать отказался...)Я говорю о стационарной прогармме.Вот пришел человек с собраным карантином,описал ситуацию(карантн собран АВЗ)вот,многоуважаемый Олег берет все это из карантина,всталяет планым движением руки в прогу,запускает,наблюдает как вирь веселится,потом опять же планым движеним руки апдейтит АВЗ и помолимся за уопокоение виря.Просто.Кстате ссыль на этотого бокса бы...можно?
1. virustotal не рассказывает что делает программа
2. Скачать себе на комп Normana и бедет тебе стационарная система ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Кстати, дайте линк на Sandbox. Переискал всё - не нашёл, а искал на многих рыбных местах..
-
-
Full Member
- Вес репутации
- 69
-
Junior Member
- Вес репутации
- 72
1. virustotal не рассказывает что делает программа
2. Скачать себе на комп Normana и бедет тебе стационарная система ж)
1.Я знаю,вирустотал ток говрт зверь это или нет.
2.А что вы имеет ввиду?
Вот именно. Сейчас у многих троянов стоит проверка на то, что его запускают на эмуляторе ...
Неужели на это нет противоядия?
Лень - двигатель прогресса У меня часть вирлаба автоматизирована. Конечно, машина никогда не возьмет IDA и SoftICE и не начнет изучать файл и делать выводы. А вот автоматизировать базовое исследование, сбор поведенческих характеристик, сравнение изучаемого экспоната с известными, занесение в коллекции после классификации и т.п. можно и даже нужно автоматизировать. В моем случае машина делает многое, но нажать кнопку "Это зверь" всеравно должен человек
Дык я и говорю,что прогармма только скажет,где,когда,как,каким образом и т.п. т.д. грубо говоря,очень грубо,ФАК по этому вирю,мини фак,а дальше уже человек...важен сам факт,что програмаа это будет делать,ненужно дуумать,ломать голову где оно как оно прячется...выщитывать вес файлов и т.п. и т.д....я так думаю.
I live to serve,and serve to live.
-
Сообщение от
WaterFish
Ах, это.. Скачал,ставил, удалил.. Антивир обычный, sandbox включает ТОЛЬКО на подозрительные с его точки зрения файлы..
-
-
Сообщение от
MedvedD
Ах, это..
Скачал,ставил, удалил..
Я тоже: 3 месяца тестил (бесплатно), потом выкинул.
Хуже, чем обычный: куча false positives, куча работающих процессов, детектирование слабое...
-
-
Junior Member
- Вес репутации
- 72
Народ значит нет такой проги?А то фсе малчат....
I live to serve,and serve to live.