Перейти к содержанию

Recommended Posts

Dima2_90

Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/

Цитаты из статьи

"Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)"

"6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным."

"современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В 13.11.2018 at 5:46 PM, Dima2_90 сказал:

современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода.

Так и есть. Потому что почти все антивирусные вендоры забили на анализ упакованных объектов. И их можно понять - смысла нет. Некоторые упаковщики сразу детектятся как подозрительные, неважно что там внутри. А все остальное детектится после распаковки и во время запуска у пользователя. 

 

В 13.11.2018 at 5:46 PM, Dima2_90 сказал:

Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы.

А вот это неверное. Видно, что автор не совсем понимает как работают те же песочницы и поведенческий анализ. Они никакой неразберихи не добавляют, а как раз позволяют обнаружить "неизвестные" сигнатурному движку угрозы по специфическому поведению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • potopa
      Раньше у меня была проблема, где читать новости об авто, поскольку сейчас очень много сайтов, на которых публикуют новости про автомобили. Но недавно я нашел один классный сайт, теперь только на этом сайте читаю автоновости http://avtonovosty1.ru/ . Поскольку только там все свежие и популярные новости. Много кстати интересных статей, так что мужики заходите, найдете что-то интересное.
    • potopa
      А вы изучали когда-нибудь кодекс об административных правонарушениях? Я вот, например, сейчас его изучаю. На данный момент читаю эту статью https://koapru.ru/statja-2.2/ . В ней говорится о формах вины. Рекомендую кстати всем почитать кодекс об административных правонарушениях, там много важной и нужной информации. Лишним точно не будет.
    • Bases
      Готовые базы контактов на любую тематику и гео! Постоянные обновления! Партнерская программа и призы! Переходи, возьми то, что искал давно - @GetBaseBot
    • gromm
      Из меня вообще игрок в казино так себе, я только учусь играть и узнаю разные фишки, как все это состоится и происходит в целом, но для меня было открытием это начать пробовать реально играть на деньги, стала это делать в http://siminform.ru/ Slottica казино официальный сайт. Так как тут выгодные условия и есть много интересных ярки автоматов, которые хотелось протестировать.
    • PR55.RP55
×