Перейти к содержанию

Recommended Posts

Dima2_90

Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/

Цитаты из статьи

"Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)"

"6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным."

"современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В 13.11.2018 at 5:46 PM, Dima2_90 сказал:

современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода.

Так и есть. Потому что почти все антивирусные вендоры забили на анализ упакованных объектов. И их можно понять - смысла нет. Некоторые упаковщики сразу детектятся как подозрительные, неважно что там внутри. А все остальное детектится после распаковки и во время запуска у пользователя. 

 

В 13.11.2018 at 5:46 PM, Dima2_90 сказал:

Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы.

А вот это неверное. Видно, что автор не совсем понимает как работают те же песочницы и поведенческий анализ. Они никакой неразберихи не добавляют, а как раз позволяют обнаружить "неизвестные" сигнатурному движку угрозы по специфическому поведению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Trumanko
      у меня так сосед проигрался в вулкан клубе http://volcano-money.ru/oficialnyj-igrovoj-klub-vulkan-777-na-dengi и потом занимал везде, где мог. Добром это не закончилось. Так что брать деньги в долг не стоит.
    • Trumanko
      я иногда вижу правильную тенденцию на финансовых рынках и работаю на платформе олимп трейд https://binarnye.ru/olymptrade-binarnye. Заработать не особо много выходит, но все равно приятно. Я просто разбираюсь в этом.
    • demkd
      Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.
    • PR55.RP55
      Почему  в списке два процесса uVS - ?
    • clocot
      Сейчас вообще можно делать украшения своими руками , особенно актуально в канун новогодних праздников. Думаю что каждый сейчас думает,  что бы такое интересное и необычное можно подарить. И ведь это может быть реальным решением, оригинальный подарок созданный своими руками, не будет иметь никаких аналогов, тем более на прилавках магазинов
×