Vitokhv

Блокировка файлов по сигнатуре + хеш

В этой теме 5 сообщений

Есть ли возможность блокировать запуск файла по его сигнатуре?

Допустим имеем файл, который является вирусом, определяем его сигнатуру, и при запуске вируса система должна запретить его запуск.

Желательно, чтобы на первом месте была именно сигнатура файла. Так как файлы могут компилировать и хеш не поможет.

001-12.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Vitokhv

На данный момент это возможно только в альтернативно реальности Варкрафт.
И там это работает так:

Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
Далее...
Оператор добавляет uVS \ start.exe в автозапуск системы.
При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
Вирус/Adware удаляется - копия угрозы помещается в карантин.
Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес )

------

А в нашем мире этого ничего нет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, santy сказал:

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

santy

Как по мне, так разница тотальная.
Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
Не нужен - не делай настройку и не используй.

Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
А в базе антивируса он может появиться на следующий день, или ещё позже.
А может система безопасности не предполагает наличие антивируса.
А так: выявили > прикончили и для профилактики включили проверку машины через задачу.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее