Перейти к содержанию
SDA

К 10-ти летию ХР

Recommended Posts


  • Сообщения

    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
    • santy
      это не нагромождение, это осознанный поиск. который не требует дополнительного программирования новых функций. пока что на VT видим, что функция поиска выполняется по хэшу. Если в API на VT есть возможность поиска по цифровой, почему бы и нет. + надо смотреть другие базы с сэмплами, которые предоставляют функции поиска через API public - есть там возможность поиска по цифровой или тоже только по хэшу, а пока что только поиск через Google. SHA1 как раз вещь постоянная для файла, а вот цифровые левые быстро отзываются. (и злоумышленники будут вынуждены подписывать свои файлы уже другой цифровой). если найден вредоносный файл с некоторой цифровой, и так уже понятно, что цифровую заносить в blacklist, и далее, уже все файлы с данной цифровой попадут в подозрительные и вирусы на других машинах.
    • PR55.RP55
      santy Можно на базе критериев реализовать много полезного. Но это нагромождение одного на другое. +  Дело в принципе  Можно реализовать поиск информации по ЭЦП и тогда будет поиск не только по SHA1,  но и по ЭЦП   https://www.virustotal.com/gui/file/d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e/details https://www.virustotal.com/gui/file/8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd/details Предлагаю работать именно с ЭЦП и на это ориентировать категорию. Было бы интересно видеть появились ли файлы в системе одновременно, или нет, интервал появления файлов - ( в таблице ? ) Поиск именно по ЭЦП на ресурсах типа V.T.  ( ведь SHA1 ) вещь непостоянная... Когда файл с данной ЭЦП впервые попал на V.T. ? ; Когда файл оказался в системе? Если это организация - есть ли файлы с данной ЭЦП на других PC. и т.д.      
×