vaber

Password-protected-EXE

В этой теме 91 сообщений

ага. на любой exe вне списка известных файлов кричать "возможно вирус", вполне себе подход. в стиле.

Поведенческий анализатор "ругается" не на файлы, а на подозрительное поведение и как правило "по делу", по крайней мере если установить базовый вариант проактивной защиты.

хочешь сделаю что бы не ловил? причем не скрипт, а все что угодно. без скрипта. без ничего со стороны комостера пользователя? просто на apache с php или mod_perl? но тема совсем не интересная - ребенка любой обидеть сможет

Это обсуждалось уже не один раз. "Пробить" можно практически любую защиту.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ага. на любой exe вне списка известных файлов кричать "возможно вирус", вполне себе подход. в стиле.

Поведенческий анализатор "ругается" не на файлы, а на подозрительное поведение и как правило "по делу", по крайней мере если установить базовый вариант проактивной защиты.

у Вас какое-то очень однобокое восприятие информации

хочешь сделаю что бы не ловил? причем не скрипт, а все что угодно. без скрипта. без ничего со стороны комостера пользователя? просто на apache с php или mod_perl? но тема совсем не интересная - ребенка любой обидеть сможет

Это обсуждалось уже не один раз. "Пробить" можно практически любую защиту.

я уже сказал, видимо для доходчивости нужно повторить тема совсем не интересная, не о чем говорить.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у Вас какое-то очень однобокое восприятие информации

Не могли бы Вы пояснить в чем "однобокость" восприятия

Mr. Justice?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у Вас какое-то очень однобокое восприятие информации

Не совсем понимаю Вас john. Эвристик и поведенческий анализатор - это не одно и то же.

я уже сказал' date=' видимо для доходчивости нужно повторить тема совсем не интересная, не о чем говорить.[/quote']

Но тем не менее Вы о ней говорите.

Добавлено спустя 3 минуты 50 секунд:

Не могли бы Вы пояснить в чем "однобокость" восприятия

Mr. Justice?

Storm наверное john имеет в виду, что динамическая эвристика (эмуляция) чем-то напоминает поведенческий анализ. Да это так. Но это не означает тожественность этих понятий.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у Вас какое-то очень однобокое восприятие информации

Не совсем понимаю Вас john. Эвристик и поведенческий анализатор - это не одно и то же.

ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают) - лучший метод не допускать попадания файлов в систему из неоткуда, знать что там было вчера ;) (я так думаю что смайлики строго обязательны, местный контингент сам не в состоянии распознать)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно. Следует также иметь в виду, что понятия "эвристика" и "поведенческий анализ" являются составными частями понятия "проактивная защита". Однако толкование этого понятия также имеет свои спорные моменты. В частности некоторые специалисты и пользвоатели под проактивной защитой понимают о поведенческий анализ.

- лучший метод не допускать попадания файлов в систему из неоткуда, знать что там было вчера ;) (я так думаю что смайлики строго обязательны, местный контингент сам не в состоянии распознать)

К числу таких методов относится эвристический и поведенческий анализ. Согласны? Тогда о чем речь?.А на счет смайликов, да Вы правы 0 они не помешают, с учетом того, что Вы любите часто выражать свои мысли загадками. Не обижайтесь. Это - не критика...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно.

не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна. поведение полностью идентичное. структура тоже. только эвристическими методами можно попытаться распознать что есть что. одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна.

Если не учитывать вредоносные последствия, то результат действительно будет примерно одинаковым - произойдет инсталяция программы.

поведение полностью идентичное. структура тоже.

А вот поведение инсталятора легального ПО и троянской программы, полагаю, может существенно отличаться. В частности в отличие от легальной программы троянец, например, инсталирует вредоносный код скрытно и зачастую использует механизм внедрения кода в легальные процессы и rootkit - технологии и т.п.

только эвристическими методами можно попытаться распознать что есть что.

Вы сами себе противоречите john. Выше Вы говорили о том, что структура легального инсталятора и дроппера ничем не отличается.

Тогда каким образом эвристик распознает код? Может быть я опять что-нибудь недопонимаю?

одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Ну это характерно не только для постоянно критикуемого Вами творения. Более известный Вам продукт совсем недавно пытался распознать в инсталяторах известных антивирусов (KAV 5.0 и NAV 2006) backdoor. Справедливости ради отмечу, что это недоразумение довольно быстро устранили (потребовалось, если мне не изменяет память 1-2 недели. Кроме того, этот продукт продолжает очень часто неадекватно реагировать на другие легальные программы. Для того что бы убедится в этом достаточно пробежаться по известным Вам форумам. Кстати я не рассматриваю это как существенный недостаток этого продукта. Любая эвристика, как известно предполагает некоторое количество ложных срабатываний. Это - нормально явление.

По поводу критикуемого Вами продукта - ситуация аналогичная. Поведенческий анализатор то же может ошибаться. Поведенческий анализ реагирует на подозрительное поведение. Как Вы считатете может ли легальная программа подозрительно себя "вести"?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Ну это характерно не только для постоянно критикуемого Вами творения. Более известный Вам продукт совсем недавно пытался распознать в инсталяторах известных антивирусов (KAV 5.0 и NAV 2006) backdoor. Справедливости ради отмечу, что это недоразумение довольно быстро устранили (потребовалось, если мне не изменяет память 1-2 недели. Кроме того, этот продукт продолжает очень часто неадекватно реагировать на другие легальные программы. Для того что бы убедится в этом достаточно пробежаться по известным Вам форумам. Кстати я не рассматриваю это как существенный недостаток этого продукта. Любая эвристика, как известно предполагает некоторое количество ложных срабатываний. Это - нормально явление.

По поводу критикуемого Вами продукта - ситуация аналогичная. Поведенческий анализатор то же может ошибаться. Поведенческий анализ реагирует на подозрительное поведение. Как Вы считатете может ли легальная программа подозрительно себя "вести"?

я уже говорил об однобокости восприятия? ;) не нужно приписывать мне то что я не говорил.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер. вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я уже говорил об однобокости восприятия? ;) не нужно приписывать мне то что я не говорил.

john простите меня, но я не на протяжении всей нашей с Вами дискусии так и смог понять то, что Вы пытаетесь доказать или опровергнуть. По моему мы говорим с Вами на разных языках. Не исключаю, что в этом есть моя вина.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер.

Если принимать во внимание этимологию слова эвристика, то несомненно Вы правы. Eurisko - в переводе с древнегреческого - нахожу, открываю. Иными словами эвристика - это способность находить новое, неизведанное. Вместе с тем следует иметь в виду, что современное толкование этого термина несколько отличается от того, которое использовали в прошлом. О том, как понимается этот термин в современной практике антивирусной индустрии я писал выше.

вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

Того, что я написал разве недостаточно? Все критерии, я естественно не приведу. Этот вопрос следует адресовать специалистам.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я уже говорил об однобокости восприятия? ;) не нужно приписывать мне то что я не говорил.

john простите меня, но я не на протяжении всей нашей с Вами дискусии так и смог понять то, что Вы пытаетесь доказать или опровергнуть. По моему мы говорим с Вами на разных языках. Не исключаю, что в этом есть моя вина.

цитата: "они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают". с ней вы начали спорить.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер.

Если принимать во внимание этимологию слова эвристика, то несомненно Вы правы. Eurisko - в переводе с древнегреческого - нахожу, открываю. Иными словами эвристика - это способность находить новое, неизведанное. Вместе с тем следует иметь в виду, что современное толкование этого термина несколько отличается от того, которое использовали в прошлом. О том, как понимается этот термин в современной практике антивирусной индустрии я писал выше.

всмысле у ЛК? это далеко не вся индустрия.

вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

Того, что я написал разве недостаточно? Все критерии, я естественно не приведу. Этот вопрос следует адресовать специалистам.

ни одного критерия не увидил. но это, вобщем-то, совершенно не важно. помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно.

не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна. поведение полностью идентичное. структура тоже. только эвристическими методами можно попытаться распознать что есть что. одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Отличается в 1 параметре кардинально в 99% дропперов.

В каком публично сказать немогу.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
цитата: "они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают". с ней вы начали спорить.

Если быть точным, то дискуссия началась ранее.

всмысле у ЛК? это далеко не вся индустрия.

Согласен, что в указанные выше понятия могут интерпретироваться по-разному. Я говорил о том, как чаще всего понимаются эти термины. Если я Вас правильно понял в Dr. Web под эвристикой понимают любые превентивные меры, а поведенческий анализ следует понимать как разновидность эвристики. Хм...подход оригинальный...буду иметь это в виду.

ни одного критерия не увидил. но это, вобщем-то, совершенно не важно.

Какие критерии Вам нужны? Что Вы понимаете под объективными критериями? ОК, оставим это.

помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

Категорически не согласен!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие критерии Вам нужны? Что Вы понимаете под объективными критериями? ОК, оставим это.
помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

Категорически не согласен!

тогда не оставим. :) хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

john - просто прикинь сам Ж) Ты ведь в вирьлабе работаешь и софт ставишь.. Одно основное отличие - только называть его ненадо (плохо может кончится для пользователей)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда не оставим. :) хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

Я считал что таких критериев, по крайней мере на данный момент не существует. Но TiX заставил меня усомниться в моей позиции. Боюсь что моих знаний на сегодняшний день недостаточно чтобы дать однозначный ответ на Ваш вопрос.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тогда не оставим. :) хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

Я считал что таких критериев, по крайней мере на данный момент не существует. Но TiX заставил меня усомниться в моей позиции. Боюсь что моих знаний на сегодняшний день недостаточно чтобы дать однозначный ответ на Ваш вопрос.

правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А я говорю - Джон еще раз прикинть Ж) Есть 99 процентный метод отличить инсталятор от дроппера включая TrojanDownloader от Web-Install

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

Я бы не стал называть это домыслами. Это предположения, основанные на определенных обстоятельствах (фактах).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
for Mr. Justice - PM прочитали?

Прочитал. Вы абсолютно правы. В подавляющем большинстве случаев этот критерий дейстительно будет иметь решающее значение. Кстати....ладно продолжать не буду. Если Вы считаете что обсуждать это публично не стоит, то промолчу...

P.S. О личных сообщениях узнаю через почту. Поэтому отвечаю не сразу.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надеюсь что джон тоже до этого дойдет и мы сможет обсуждать "ЭТО"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надеюсь что джон тоже до этого дойдет и мы сможет обсуждать "ЭТО"

Будем надеятся.:)...Догадаться в принципе несложно...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Намек кстати от вас был на предидущей странице Ж)

Пост от Ср Сен 20, 2006 4:33 pm

3тья строка блин раз Джону так трудно Ж)

Даже детект пдм называется в точности "HiddenInstall"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

Я бы не стал называть это домыслами. Это предположения, основанные на определенных обстоятельствах (фактах).

жонглирование словами. бесполезный разговор...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • По информации американской телекомпании CNN, у российских банков, счета которых находились в Центробанке, хакеры похитили 2 миллиарда рублей. В ЦБ эту информацию подтвердили. Читать далее
    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.