Перейти к содержанию
Umnik

Термины вирусных аналитиков

Recommended Posts

Umnik

Вчера ходил в гости в вирлаб. В общем, хочется спросить у вас, уважаемые форумчане, что такое:

  • маска
  • запись
  • сигнатура
Т.е. что значат эти термины вирусных аналитиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вчера ходил в гости в вирлаб. В общем, хочется спросить у вас, уважаемые форумчане, что такое:
  • маска
  • запись
  • сигнатура
Т.е. что значат эти термины вирусных аналитиков?

Спросил бы сразу у аналитиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel
Вчера ходил в гости в вирлаб. В общем, хочется спросить у вас, уважаемые форумчане, что такое:
  • маска
  • запись
  • сигнатура
Т.е. что значат эти термины вирусных аналитиков?

маска и сигнатура в принципе одно и тоже ...

есть некоторые идеологические отличия, но в целом сигнатура это просто

цепочка байт (обычно последовательность из первых байт ассемблерных команд) н-ой длинный

по которой АВ детектирует вирусы, трояны и тд

маска почти тоже самое, но чаще всего это не последовательность байт, а целый буфер

зачастую несколько килобайт(камманды данные текстовые строки и дт)

ну а запись, это конркетный, зависящий только от АВ формат данных

говорящий как данный вирус будет добавлен в базу.

примером может быть обычный текстовый файл вида

{

Type = "Virus"

Mask = "FF 13 EB EB 55"

VirusName = "Virus.Win32.Myvirus"

CureAlgorithm {"Delete()"}

}

хотя некоторые под записью подразумеваю только

имя вируса ... но в целом для меня слово запись

означает вышеизложенное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

_Stout

Я и спросил. Потому и сказал, что иногда термины неверно употребляются. Под "мы" в заголовке имел в виду тех, кто на самых разных форумах касается этих слов.

Lafiel

Мне под маской преподнесли "обычно 87 байт". В ней уложили две записи (назвали их рекодами) "маленькая, 7 байт, и большая - 80".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Я и спросил. Потому и сказал, что иногда термины неверно употребляются. Под "мы" в заголовке имел в виду тех, кто на самых разных форумах касается этих слов.

Lafiel

Мне под маской преподнесли "обычно 87 байт". В ней уложили две записи (назвали их рекодами) "маленькая, 7 байт, и большая - 80".

Что-то тебе нагрузили, а Lafiel прав. Спроси у опытных перцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Вчера ходил в гости в вирлаб. В общем, хочется спросить у вас, уважаемые форумчане, что такое:
  • маска
  • запись
  • сигнатура
Т.е. что значат эти термины вирусных аналитиков?
Мне под маской преподнесли "обычно 87 байт". В ней уложили две записи (назвали их рекодами) "маленькая, 7 байт, и большая - 80".

Так называть можно как кому захочется.

Я бы расшифровал так:

Маска - что-то вроде бинарного совпадения какого-то куска кода - типа FLIRT.

Может быть несколько кусков масок для идентификации и прочие технологии - Сигнатура.

А Запись - это алгоритм лечения на основе детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
    • demkd
    • PR55.RP55
      "времени на раскачку нет"  https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
      C:\Windows\System32\1corona.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
      C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
      C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 
    • dompokypok1
      Работаю над проектом интернет-магазина вроде все урезал ужал и жаль что еще можно сделать.
    • dgek2022
      Японская кухня пользуется популярностью по всей России. Традиционная еда из риса и морепродуктов – это прекрасная альтернатива привычному ужину или обеду. Наше кафе японской кухни предлагает удобную услугу – доставка суши, сеты, роллы и других блюд в Томске на дом или в офис. Для больших компаний у нас есть особенные предложения. Зачем куда-то ходить, если можно в любой момент заказать блюда японской кухни. Делая заявку в нашем кафе «Джекина Доставка», вы получаете свежий продукт. Для приготовления используются только натуральные ингредиенты. Особого внимания заслуживает дизайнерская упаковка из экосырья. Эстетичный вид и вкусные японские блюда – все это по доступной цене.
×