Перейти к содержанию

Recommended Posts

Burbulator
wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред. :facepalm:

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

да, виртуальная. vmware workstation

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

сейчас начнут во всем винить vbox )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

У Вас виртуалка на чём установлена... :D

да, виртуальная. vmware workstation

сейчас начнут во всем винить vbox )

Вопросов больше нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поставте на реал. ос NIS и защищайте им виртуальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

SONAR справляется. Посмотреть можете на примере одной из модификаций ZA.

http://www.youtube.com/watch?v=yR0StxRXqfo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Это не является "искусственным условием" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

ole.dll.malware.prooflink.JPG

post-6056-1316268450_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это не является "искусственным условием" :)

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Поставте на реал. ос NIS и защищайте им виртуальную.

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Это уже совсем другой вопрос ;)

Перефразировали его не немного, а МНОГО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Непременно :lol:

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Это уже совсем другой вопрос ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

В своем примере я хотел показать как детектирует трояны Symantec. Соотв. я не проверял работоспособность и скорее всего ее не будет, но тем не менее понять что в базу был добавлен хэш а не действительно сигнатура становится очень просто. Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Да, что печально, так поступает не только Symantec. Можете посмотреть сколько детектов отвалилось :(

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

А

Действительно после некоторых АВ привыкаешь к детекту на мусор, но Norton не из таких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Для кол-ва баз можно, а потом говорить, что наши базы самые полные :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Думаю, что пользователю необязательно вдаватся в такие подробности, тут важнее конечный результат в виде детекта, фолсов, скорости работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

На этот случай в продуктах Norton используется такая функция, как "Кэширование". Что позволяет не проверять один и тот же файл множественное количество раз, если он, конечно, не был изменён. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×