Перейти к содержанию
vaber

Он-лайн интервью с Василием Бердниковым (vaber)

Recommended Posts

vaber

Здравствуйте!

Мы продолжаем цикл интервью, и эту неделю (с 25 февраля по 2 марта включительно) я буду стараться отвечать на Ваши вопросы.

Оставляю за собой право игнорировать глупые, некорректные, провокационные, оскорбляющие меня вопросы, а также те, ответы на которые я не знаю :).

Поехали!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Расскажите нам что-нибудь интересное из опыта вашей профессиональной деятельности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Да, такие предложения получал, но в силу обстоятельств пришлось отказаться...учитывая, что у нас в стране есть обязательное распределение бюджетников по окончанию ВУЗа.

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Какого-либо давления со стороны представителей вендоров или пользователей антивирусных продуктов я не испытывал :), да и мне с трудом представляется, как оно могло бы выглядеть - это самое давление :)

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Профессиональной работай, то чем я занимался трудно назвать. Это скорее хобби. Мне нравится - я этим и занимаюсь. Начал я с чтения этого форума 2 года назад. Меня очень заинтересовала данная тематика, и по тиху в свободное время начал читать литературу, форумы, общаться и учиться :). Но больше всего меня в КБ интересует вирусология. Именно она меня и привлекла, поскольку всегда интересно было узнать - как же работают эти малвары, как их можно обнаружить, как удалить и т.п.

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Как попал на ресурс АМ - я уже точно не помню. Вроде бы через гугл, когда искал инфу о каком-то вирусе.

На данный момент я только приступил к работе в компании CheckPoint, и параллельно буду делать дипломную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

С первой охранной - антивирус доктор веб - не помню с какой версией, на университетском ПК. На данный момент использую ForceField. А в тестовую команду попал перед проведением теста на пакеры. Тогда на меня была возложена небольшая часть работы - найти пакеры, отобрать малвар неупакованных, ну и запаковать их теми самыми пакерами и выслать Николаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
На данный момент я только приступил к работе в компании CheckPoint.

Ну, об этом было несложно догадаться... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сейчас под впечатлением от сегодняшнего концерта Александра Дольского (http://www.dolsky.ru/). Мне по душе больше именно такое творческое общение с интересными людьми в тёплой дружеской обстановке, чем нечто модное, мейнстримовое, популярное и дорогое. Жаль, что на таких концертах в наше время не бывает аншлагов. А может быть, наоборот, это хорошо.

А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Такие моменты всеже бывают не часто. Обычно переключаюсь на что-то, что расслабляет. Могу слушать музыку, могу посмотреть интересную передачу или спорт, сходить по магазинам а если хорошая погода, то и за город отдохнуть - рыбалочка :) . Ну а кайф получаю от всего того, от чего можно получить удовольствие :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Может ответите всё же на мой вопрос, а? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ smile.gif

Виктор, это интервью, а не балаган. Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Виктор, это интервью, а не балаган.

Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Я не сказал бы, что вообще не пытался никогда проанализировать подозрительные файлы, но не считаю, что мой уровень знаний в этом вопросе достаточно высок. Перечисленные Василием методы почти все я использовал в своей работе, и этим ответом подтвердил своё мнение по данному вопросу.

Мне просто не понравился сам факт комментария. Я считаю, что интервью - это последовательность из вопросов и ответов, без комментариев. Если в моём интервью убрать обсуждения вокруг интервью, то сухого остатка из вопросов/ответов там было бы максимум 3 страницы из 8, и больше бы людей с интересом его прочитали, а не писали, что там переливается из пустого в порожнее. Хотелось бы в будущем приблизиться к этому идеалу.

Но раз комментарии делать так хочется, то было бы неплохо иметь возможность в данных темах с интервью оставлять комментарии, которые касаются тем, затронутых в интервью. Но мухи отдельно, котлеты отдельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Не, я себя к отряду дятлообразных не приписываю :) Какой-либо статистики по распространенности антивирусных продуктов в списке "убиваемых" малварами я не имею. Могу лишь отметить, что зачастую сейчас используется для завершения процессов AV продуктов драйвер, в силу того, что во многих продуктах реализована самозащита. Завершение процессов в большинстве случаев идет по имени процесса, хотя бывает, что и по другим признакам - по имени окна, по сигнатуре...

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Надеюсь, что в дальнейшим моя деятельности так или иначе будет связана в вредоносными программами и с борьбой с ними. Что касается далекого будущего :), то хотелось бы, конечно, через 10 лет быть каким-нибудь известным специалистом в области ИБ :)

Данная тематика мне интересна прежде всего тем, что это постоянная борьба, причем весьма динамичная. Вирмейкеры задают темп, за которым пытаются поспеть защитники. Это и привлекает - постоянно что-то новое, все развивается - и защита и нападение.

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Любимчиков нету, а вот интересные самплы попадались и многие как стали распространены попали в тесты. Например, летом мне попался интересный руткит. Ставил драйвер и библиотеку (расширение winlogon и BHO). Интересен был тем, что к драйверу никак нельзя было получить доступ (он не маскируется на диске), а ключи автозагрузки нельзя удалить. А все потому, что этот руткит "хитрым" образом ставит хук на ObOpenObjectByName и ни один антируткит на тот момент не видел этого перехвата. В последствии этого руткита обозвали Rootkit.Win32.Podnuha (наверное, производное от некоего слова :)). Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. Замечу, что и сейчас пошла тенденция не прятать файлы, а блокировать доступ к ним (антивирус банально не может проверить файл) и это вылилось в очень распространенного на данный момент руткита Bulknet - теперешние его модификации тоже видны на диске, но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны. Так же как-то попадался троянский загрузчик, который снимал перехваты в tableshadow :))

Что касается "потока вирей" - то нет, через меня совсем мало проходит. Если говорить о развития вредоносных программ в 2008 году... - однозначно их меньше не станет :). Еще больший процент будет оснащаться руткитом. "Новых типов" - врядли будет что-то сверхестественное.

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? smile.gif

Берут. Но, думаю по-меньше чем в той же России или Украине :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. ... но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны.

Заметил ли случайно,какие АВ,сканирующие не стартовавшую систему (копию системы на внешнем диске),видят подобное или тот же "заражённый" МБР (там же,на нестартовавшей ОС)?То есть,какие добавляют сигнатуры инсталлированных невидимых "вирусов", а какие нет (по причине,скажем,что АВ пока в своей системе это не увидит,поэтому бесполезно)?Далее,если есть такие АВ,какие могут эту ОС на внешнем диске вылечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×