Перейти к содержанию
Сергей Ильин

Доступ к форуму "Анализ вредоносных программ (malware)

Recommended Posts

Сергей Ильин

Уважаемый коллеги!

На нашем сайте открылся новый форум "Анализ вредоносных программ (malware)".

Основные цели форума: всесторонний анализ вредоносных программ, вирусов, троянов, червей, spyware и другого malware, исследований, составление тестовых коллекций.

Форум является приватным, т.е. публичный доступ к нему закрыт. Для участия в нем необходимо стать членом специальной группы "Malware Researchers".

Такое решение было принято в ходе горячей дискуссии в ветке http://www.anti-malware.ru/phpbb/viewtopic.php?p=921#921

Правила предоставления доступа к этому форму такие:

1. Активное участие в нашем форуме

2. Положительные рекомендации на форуме

3. Интерес к данной тематике

4. Возможность внести свой вклад*

* - просто наблюдателям там делать нечего.

По вопросам доступа к данному форуму просьба писать в этой ветке или мне лично.

computervirus.jpg

post-4-1135759699.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

Изъявляю желание принимать участие в обсуждениях!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пирогов

Сайт безусловно хорош, всегда просматриваю с удовольствием. Но не рановато ли, учитывая его возраст, организовывать закрытый клуб?

Однажды я наблюдал нечто подобное (ресурс не имел отношения к информационной безопасности). Старожилы и гуру отхлынули в закрытый форум и это подорвало остальные ветки, там стало практически нечего делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сайт безусловно хорош, всегда просматриваю с удовольствием. Но не рановато ли, учитывая его возраст, организовывать закрытый клуб?

Однажды я наблюдал нечто подобное (ресурс не имел отношения к информационной безопасности). Старожилы и гуру отхлынули в закрытый форум и это подорвало остальные ветки, там стало практически нечего делать.

Уверен в данном случае такого не будет, так как сама тема по анализу вредоносов не всем интересна, все таки основное направление ресурса - программное обеспечение, антивирусы, антиспам, файрволы и т.д. Да и в закрутым форум имеют доступ совсем не многие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркадий

Вот ради интереса тестирую дома некоторые бесплатные и платные антивирусники и самое интересное, что результаты совершенно не совпадают с официальными. Я конечно понимаю когда за дело берется дилетант, но все же... Сергей, вы случайно не знаете где можно скачать базы с вирусами, или тествирусами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Сергей, вы случайно не знаете где можно скачать базы с вирусами, или тествирусами?

аркадий, если не боитесь, могу скинуть вам в п.м. загрузчик, после запуска которого на компутер загружается до полусотни вирусов, после чего windows умирает.

большинство вирусов не всегда опознается антивирусными программами и является хорошим материалом для тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Хотелось бы знать, на что именно будет сделан упор при разборе алгоритмов зловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей, вы случайно не знаете где можно скачать базы с вирусами, или тествирусами?

Если нужно несколько образцов для опытов, то мы кое-что собираем совместными усилиями. Какого размера база нужна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркадий

Сергей Ильин писал

Какого размера база нужна?

Не более 10 метров (GPRS однако у меня).

Mike писал

аркадий, если не боитесь, могу скинуть вам в п.м. загрузчик, после запуска которого на компутер загружается до полусотни вирусов, после чего windows умирает.

большинство вирусов не всегда опознается антивирусными программами и является хорошим материалом для тестирования.

Пожалуйста, был бы рад.

О результатах отрапортую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
partizan

Сергей, что именно следует понимать под пунктом внести свой вклад. Хотелось бы поучаствовать в закрытом форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

partizan, пополнение общей коллекции для тестирования антивирусов в первую очередь, участие в разборе и обсуждении вредоносов.

Но первые два пункта важнее. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
partizan

Пополнение общей коллекции особого труда не составит!

А вот над первыми двумя пунктами, прийдется поработать :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Сергей, что именно следует понимать под пунктом внести свой вклад. Хотелось бы поучаствовать в закрытом форуме.

Думаю Вам следует сначала показать себя на форуме. А там уже решат - давать доступ к форуму "Анализ вредоносных программ (malware) или в этом не будет необхдимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alabama

Было бы интересно поучаствовать в форуме в принципе могу помочь в разборе действий зловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

если форумчане сочтут мое присутствие полезным в этом разделе - постараюсь быть полезным

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

alexgr, доступ открыт :-)

Добавлено спустя 1 минуту 36 секунд:

alabama, напиши мне в личку мотивы доступа к закрытой ветке.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Костенко

Может меня примите? Я внешний специалист на virusinfo.info и Gold beta testers у Kaspersky. Постоянно работаю по ремонту компьютеров, кучу гадостей лечу и нахожу, в том числе и новые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

И подвесте уже, наконец, в закрытом разделе список допущенных. Во избежание малоли-чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Может меня примите? Я внешний специалист на virusinfo.info и Gold beta testers у Kaspersky.

Сергей, это будет возможно в будущем. Поймите меня правильно, сейчас вы для нас человек новый и поэтому крайне неправильно было бы открыть вам доступ к этому разделу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Костенко

Вам нужна активность на Вашем форуме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

Эта ветка существует? У меня пропал туда доступ, я думал, что после перехода на новый движок, раздел был закрыт?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Эта ветка существует? У меня пропал туда доступ

Доступ восстановлен ;)

И подвесте уже, наконец, в закрытом разделе список допущенных. Во избежание малоли-чего.

В ближайшее время список допущенных лиц будет опубликован в соответствующем разделе. Кое-кого там уже не будет ввиду низкого участия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Наверно, это относится ко мне :)

Форумчане, я вернулся :) Жизнь штука вредная - закрутила :) Но интерес к антивирам у меня не пропал и обещаю с этих пор проявлять больше активность и в вышеназванной ветке в том числе ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×