Перейти к содержанию

Recommended Posts

Виталий Я.
Не, не так. :)

Если в лицензионном соглашении (сертификате) не указанна дата покупки и количество приобретенных лицензий (исключение составляет персональные лицензии для защиты 1 ПК на антивирус другого производителя), то необходимо прислать копию документов на приобретение данного лицензионного продукта.

Вот эти пункты - очень отпугивают, я при наличии некоего опыта чтения таких текстов не вкурил:

4. В акции могут участвовать пользователи, приобретавшие антивирусы через интернет-магазин. Для этого необходимо прислать аттачментом письмо с лицензией другого вендора, купленной у легального продавца (допускается предоставление письма, присланного аттачментом, от интернет-магазина подтверждающее покупку лицензии.)

5. Скриншоты программы, ключевые файлы, руководства пользователя, выдержки из электронных писем, отсканированные коробки или диски с кодом активации не являются основанием для участия в акции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Виталий Я., ну тупо взять и переслать письмо от того же софткея.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

не знал куда запостить, спрошу тут, этот http://av-school.ru "мега портал" имеет отношение к ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Novircom
не знал куда запостить, спрошу тут, этот http://av-school.ru "мега портал" имеет отношение к ЛК?

Да ))

% By submitting a query to RIPN's Whois Service

% you agree to abide by the following terms of use:

% http://www.ripn.net/about/servpol.html#3.2 (in Russian)

% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: AV-SCHOOL.RU

nserver: ns1.kasperskylabs.net.

nserver: ns2.kasperskylabs.net.

nserver: ns3.kasperskylabs.net.

state: REGISTERED, DELEGATED, VERIFIED

org: Joint Stock Company "Kaspersky Lab"

phone: +7 095 7978700

phone: +7 095 9484331

fax-no: +7 095 7978700

fax-no: +7 095 9484331

e-mail: [email protected]

e-mail: [email protected]

e-mail: [email protected]

registrar: RU-CENTER-REG-RIPN

created: 2007.05.25

paid-till: 2012.05.25

source: TCI

nic-hdl: RU-CENTER-REG-RIPN

org: Regional Network Information Center

phone: +7 495 737 0601

fax-no: +7 495 737 0602

e-mail: [email protected]

www: http://www.nic.ru

whois: whois.nic.ru

source: TCI

Last updated on 2011.10.28 07:43:42 MSK/MSD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
Да ))

Спасибо за ответ, самому просто лень было искать информацию, Так как, почти сутки писал дипломную работу знакомой, сейчас буду косяки ночные править.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Интересно узнать о PBS(Сбор шаблонов поведения программ). Как работает данная технология?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Как работает данная технология?

Отлично, нам нравится.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Отлично, нам нравится.

"-"

Подтвердить её работу можете? Пруф линк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Подтвердить её работу можете? Пруф линк?

А опровергнуть можете? ;)

фактами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

А опровергнуть можете? wink.gif

фактами?

А это здесь причём? Я задаю вопрос без намёков на неэффективность технологии, я хочу узнать: может кто видел действительную работу модуля? по опыту?

Например, в SONAR 4 сбор программных профилей я тоже не замечал.

Суть в том, что постоянный сбор профилей позволяет рано или поздно детектировать угрозу. Вот я и хочу узнать, может кто задавался вопросом: какова схема работы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Вы всерьез думаете, что тут распишут логику работы? А касаемо видимости - это проявляется на общем уровне защиты продукта, т.е. эффективность защиты становиться больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
может кто задавался вопросом: какова схема работы?

Можете подождать, через неделю(может больше или меньше) в инете появится скан хакера за февраль 2012. Там написан разбор мониторинга событий и проактивной защиты в аверах. В номере за декабрь 2011 было написано про сигнатурный скан, эвристику и эмуляторы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну ребята из "Хакера" несомненно знают, как работает функционал. :lol: Уржаться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Ну ребята из "Хакера" несомненно знают, как работает функционал. :lol: Уржаться...

Эвристику они расписывали на каспере 12 :lol: И теперь даже школьники знают что наличие не зашифрованной в импорте связки API-функции URLDownloadToFile и ShellExecute ведут к детекту эвристикой "HEUR:Trojan-Downloader.Win32.Generic". А связка: GetWindowThreadProcessId+VirtualallocEx+WriteProccessMemory+CreateRemoteThread к детекту "HEUR:Trojan.Win32.Invader". А эмулятор не поддерживает инструкции набора MMX, SSE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Эвристику они расписывали на каспере 12 :lol: И теперь даже школьники знают что наличие не зашифрованной в импорте связки API-функции URLDownloadToFile и ShellExecute ведут к детекту эвристикой "HEUR:Trojan-Downloader.Win32.Generic". А связка: GetWindowThreadProcessId+VirtualallocEx+WriteProccessMemory+CreateRemoteThread к детекту "HEUR:Trojan.Win32.Invader". А эмулятор не поддерживает WindowsAPI, инструкции набора MMX, SSE.

Очуметь. И где тут сказано то, что они знают как работает функционал? Полную логику работы того или иного функционала могут знать только в ЛК и то не все, а те, кому положено. И никто более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Полную логику работы того или иного функционала могут знать только в ЛК и то не все, а те, кому положено. И никто более.

Может я не до конца понимаю "Логика работы", но алгоритмы понять не трудно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Эвристику они расписывали на каспере 12 :lol: И теперь даже школьники знают что наличие не зашифрованной в импорте связки API-функции URLDownloadToFile и ShellExecute ведут к детекту эвристикой "HEUR:Trojan-Downloader.Win32.Generic". А связка: GetWindowThreadProcessId+VirtualallocEx+WriteProccessMemory+CreateRemoteThread к детекту "HEUR:Trojan.Win32.Invader". А эмулятор не поддерживает WindowsAPI, инструкции набора MMX, SSE.

Что за херня? :facepalm: Какое "WindowsAPI"? Все сразу что ли? :facepalm: Удалите чушь и не позорьтесь.

Все подобные "исследования" ничего общего с техниками, реально используемым в малваре, не имеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Все подобные "исследования" ничего общего с техниками, реально используемым в малваре, не имеют.

А я то думал, почему в тестах все крупные аверы крутые, а как появляется какой-то новый руткит так его ни один не видит.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
А я то думал, почему в тестах все крупные аверы крутые, а как появляется какой-то новый руткит так его ни один не видит.

Полное отсутствие логики. Перечитывайте мой предыдущий пост до полного понимания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А я то думал, почему в тестах все крупные аверы крутые, а как появляется какой-то новый руткит так его ни один не видит.

Я уже постил http://kaimi.ru/2011/11/antivirus-trolling/ :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Может я не до конца понимаю "Логика работы", но алгоритмы понять не трудно.

принцип изучения "Черного ящика" описывается проще

Отсылаю к Козьме Пруткову

Щелкни кобылу в нос, она махнет хвостом ©

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop
Можете подождать, через неделю(может больше или меньше) в инете появится скан хакера за февраль 2012. Там написан разбор мониторинга событий и проактивной защиты в аверах. В номере за декабрь 2011 было написано про сигнатурный скан, эвристику и эмуляторы.

Почитаю, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Хочу спросить, кис 2012 с какими поисковиками работает? в плане распознавания мошеннических веб-сайтов, предупреждения о них, а также результат отображения уровня сайта, в результате поиска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ты про маркеры? Тогда Гугл, Бинг, Яндекс. Может еще какие-то, я уже не помню. А уровни, это о чем речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×