Перейти к содержанию

Recommended Posts

senyak

Поставил на бук CIS 5. Пока вопросов мало, работает нормально, тормозов нету пока. Буду ковырять дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@

1 - Ты мне Валера этот фейковый антивирус еще 8-го числа прислал,я его три дня назад отправлял на анализ в comodo ,на что мне было сказано что фаил был получен ранее.Значит как минимум 3-х дней им мало чтоб добавить сигнатуру в базы.

2 - эвристик в параноидальном режиме тоже не шелохнулся.

3 - онлайн проверка тоже ничего не дала.

@

Так, это все , конечно, очень круто, а что хипса? Настройка какая? Параноидальная?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Liam
Так, это все , конечно, очень круто

как в дешевых американских фильмах ------> "это что по твоему удар?,вот это удар" :lol:

а что хипса? Настройка какая? Параноидальная?

главное написать,а что не имеет значение

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@главное написать,а что не имеет значение@

:)

Вопщем что я понял по скринам, так это намек на то, что как плохо работает песок + вы ужаснулись эвристикой... Это я как бы понял. А _при запуске_ этого мегатроя _какая_ реакция была хипсы? Уточняю: были ли окошечки такие, которые спрашивали разрешить то-то, или то-то?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Liam

окошечек такие, которые спрашивали разрешить то-то, или то-то не было :) .... по вашим заявкам включил паранойю = 0 (не выкладываю,смысл дублировать) - ссылку на "мегатроя" в ЛС ?

намек на то, что как плохо работает песок + вы ужаснулись эвристикой

+ сигнатурный анализ

+ HIPS

+ облако

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@так поняна ? или мультик снять как дядя Rampant [email protected]

XD

Ок, потестю у себя и отпешусь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Liam

Killer

а давайте как-нибудь по другому, о том чем я занимаюсь?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
а давайте как-нибудь по другому, о том чем я занимаюсь?

Без обид, чувак, чесслово, никто не хотел обидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Так... Есть определенный результат. Ах да, песок перед тестами был _выключен_.

Хоть прога и не отработала корректно, завершилась аварийно с фолсами, но реестр был изменен, что не вызвано никакой реакции со стороны хипсы...

Но состоялся перехват обращения к службе RPC, что есть гуд. Он ,ессно, был заблокирован, что, скорее всего, и вызвало аварийное завершение троянчега)

Хочется объявить товарищу Liam'y благодарность за интересный файлег, и "+" в репутацию. Кому интересно, прилагаю скрины.

В ближайшее время файл будет разобран по байтам...

Итак, комментю скрины:

Запускаем троянчег, перехватываем вызов к DNS\RPC

11.jpg

Мы его(вызов) заперщаем, что, предположительно, вызывает сбой в трояне. До появлении ошибки, появляется окно блокировки сетевого соединения:

22.jpg

Е еще ошибка:

33.jpg

После сего действа, троян завершает работу.

По поводу записи в реестре: запись появилась, но этож не критичная(не совсем) ветка, может поэтому молчит?

post-8035-1284825167_thumb.jpg

post-8035-1284825176_thumb.jpg

post-8035-1284825354_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Xcell

1. Сканирование в облаке дает прирост производительности?

2. По идее, для него не нужно скачивать антивирусные базы, так зачем они тогда грузятся?

3. Как оно влияет на обнаружение?

4. Действительно ли стоит пропускать файлы более, чем 20мб при сканировании?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Когда ставишь Comodo с уже установленным антивирусом - по-умолчанию песочница и другие настройки отключены. В облаке проверяются далеко не все файлы, только в определенных случаях. А базы грузятся как и у всех. Это не полностью облачный антивирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×