PoC, Sample и прочее - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Umnik

Сейчас мы с коллегами обсуждаем определение PoC. Казалось бы, чего изобретать велосипед, однако спор имеет место и к единогласному решению мы не пришли. Итак.

Текущее определение по-русски: "Практическая реализация теоретической возможности (ошибки, уязвимости), например, эксплойт". Однако, есть такое замечание: "Я бы понимал этот термин несколько шире: не обязательно реализация, а любое обоснование теории, например, набор фактов, подтверждающих её корректность. Ближе к нашим реалиям: "Product Vision" - это proof of concept для идеи продукта, но его никак нельзя назвать практической реализацией."

Дополнительно такой момент (теоритический). В Касперском/Аваст/Др. есть возможность смены скинов. Продукт защищен от изменения настроек паролем. Но есть скин, где отключен запрос пароля. Злоумышленник меняет скин на нестандартный, в котором отключен запрос пароля (при этом пароль не спрашивается при смене, пусть будет баг такой) и выполняет любые действия. Будет ли нестандартный скин являться PoC? Будет ли являться PoC вся процедура смены скина?

В общем, давайте обсудим, какое определение PoC будет наиболее точным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
enkryptor

Есть предположение, что в разных сферах (в программировании, в бизнесе, в IT security) существуют свои термины "proof of concept" и значат они разное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И еще один спор к определению семпла.

Текущее: "Образец для сканирования антивирусом (в частности, для воспроизведения ошибки или уязвимости)" но есть мнение, что его нужно расширить. Сампл - это образец чего-либо и не обязательно это файл. И не обязательно для воспроизведения ошибки или уязвимости. И не обязательно связан с антивирусом. Это просто образец (объект) для сканирования. Объект может быть как файловым объектом, так и скриптом, MIME сообщением и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мое замечание к текущему определению семпла в том, что это действительно может быть не связано с антивирусом (например это письмо, которое из-за ошибки почтового сервера валит его), может быть не связано со сканированием (почтовый сервер письмо же не сканирует). Кроме того, семпл вовсе не обязательно связан с воспроизведением ошибки. Ведь семплом может быть и совершенно чистый файл, на котором проводят бета-тестирование баз. Я бы назвал эту проверку не воспроизведением ошибки, а просто выполнением некого сценария.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а где вы берете данные определения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Не думаю, что это имеет значение для обсуждения. :) А вообще, не знаю, где эти определения брались изначально. Копи-паст же я делал с внутреннего ресурса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

я согласен с вашими определениями, для меня все время такие вещи как РоС, и как сампл определялись точно так же как расписано у вас и для меня вообще новость что кто-то думает иначе=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
×