Динамический анализ в антивирусах

[Mr. Justice 771]

Такие системы уже существуют. Sandbox HIPS называется. Всё уже придумано и сделано! Посмотри мой DefenseWall и сравни с проактивкой Каспера- сразу поймёшь разницу в удобстве использования этих средств защиты простым пользователем.

Ну запускаю прогу, которая прописывает себя в автозапуск и ещё запускает браузер, направляя его на какой-нибудь порносайт... Запускаю прогу - прога запускается, пишет себя в реестр, открывает порносайт. DefenseWall молчит. Теперь осталось только послать мою прогу аттачем моей любимой домохозяйке... И главное, всё логично. Она сама запустила зловреда, не подумав дважды. Никаких эксплойтов не нужно, и процессов от недоверенного браузера порождать не пришлось.

Т.е. DefenseWall не защищает меня от скачанных на мой компьютер зловредов. Имхо тогда это не может быть заменой полноценному антивирусу. Максимум тянет на один из модулей проактивки - так как идея-то сама по себе интересная. Но беда-то именно в том, что благодаря непрофессионализму пользователей зловреды попадают на их комп без всяких дыр и порождённых процессов - они просто качаются на комп с названием runme.exe.

Далее... По дефолту в проге есть список недоверенных приложений. А остальные кто будет в список добавлять? Домохозяйка? У меня вот есть Trillian (кстати, чатилка), Maxthon (кстати, интернет-браузер), StrongDC (кстати, п2п-клиент) - ничего этого нет в списке. Что я не так сделал? =)

Сравниваем с поведенческим блокиратором. Ставлю аську, он спрашивает: "Чувак, а ты хочешь, чтобы аська запускалась автоматом вместе с виндой?". Я говорю: "Нет". Он говорит: "Ну и не надо". Ну и что понятнее? =)

Добавлено спустя 3 минуты 18 секунд:

Так может встроить DefenseWall в какой-нибуть из отечественых антивирусов? Всем бы это выгодно было. Не пробовали с ними договориться?

Во-во-во! И я о том же! Вот это будет удачным дополнением. Ибо на "голый" DefenseWall я бы не стал полагаться. А тем более у клиентов-домохозяек.

Добавлено спустя 3 минуты 37 секунд:

Таким образом, понятие "эвристический анализ" и ""поведенческий анализ никоим образом не пересекаются. У них разные приницпы работы: анализ кода и анализ поведения. В логике такие понятия называются "находящиеся в состоянии координации". Их объединяет то, что они являются составными частями общего для них родового понятия "проактивная защита". Это следует из контекста статьи А. Никишина (см. ссылку выше).

Конечно, мое умозаключение верно если верны посылки, то есть если рассматриваемые выше понятия понимать в том смысле, как они понимаются в работе А. Никишина.

Поправьте меня если я не прав.

Ты абсолютно прав. Эвристик анализирует код, поведенческий блокиратор - поведение (независимо от алгоритмов реализации этого поведения в коде).

Спасибо за поддержку. Давайте все таки на "вы". ОК?

[Илья Рабинович 521]

Нет' date=' ну Илья Рабинович во-многом прав.

Дык я не спорю что прав.. просто в некотором случае лучше спросить чем молча убить Ж)[/quote']

Спросить-то можно. Фишка в том, что ответ на вопрос не факт что будет, а если и будет, то не факт, что будет правильным!

rav - помниш слова Gesera на вирусинфо... по поводу инсталяции vmware.. Вот что приносит больше вреда..

Видишь ли' date=' проект бежит вперёд семимильными шагами. И если и были огрехи- они уже давным-давно поправлены. А если остались огрехи - будут поправлены. Да и вообще, основным параметром любого софтверного проекта является не отсутствие ошибок (они были, есть и будут!), а скорость их исправления. А у меня скорость исправления кода- от нескольких минут до нескольких часов.

Добавлено спустя 32 секунды:

Так в том то и дело, что именно по этой причине от сбора семплов у юзеров отказываются в той же ЛК как писали выше, а при правильной организации ловушек семплы в вируслаб попадают часто быстрее чем к подавляющему большинству пользователей.

К сожалению, это не совсем так. Дело в том, что это не подходит для модулей, специально созданных для целенаправленной атаки. "Израильский троян" висел хрен знает сколько, пока его абсолютно случайно, на основании косвенных признаков, не выявили. Ну и?

Так может встроить DefenseWall в какой-нибуть из отечественых антивирусов? Всем бы это выгодно было. Не пробовали с ними договориться?

Нет. Не пробовал. По опыту знаю' date=' что разговаривать надо с владельцами и ген. директорами, а до них не дотянуться. Да и денег дадут мало- "отечественный производитель", однако! Я сейчас веду переговоры об эксклюзивной дистрибуции по России с одной из старейших здесь софтверных фирм. Думаю, от этого будет больше пользы. И им, и мне, и пользователям, и проекту.

Добавлено спустя 52 секунды:

Ну запускаю прогу, которая прописывает себя в автозапуск и ещё запускает браузер, направляя его на какой-нибудь порносайт... Запускаю прогу - прога запускается, пишет себя в реестр, открывает порносайт. DefenseWall молчит. Теперь осталось только послать мою прогу аттачем моей любимой домохозяйке... И главное, всё логично. Она сама запустила зловреда, не подумав дважды. Никаких эксплойтов не нужно, и процессов от недоверенного браузера порождать не пришлось.

Т.е. DefenseWall не защищает меня от скачанных на мой компьютер зловредов. Имхо тогда это не может быть заменой полноценному антивирусу. Максимум тянет на один из модулей проактивки - так как идея-то сама по себе интересная. Но беда-то именно в том, что благодаря непрофессионализму пользователей зловреды попадают на их комп без всяких дыр и порождённых процессов - они просто качаются на комп с названием runme.exe.

Ты знаешь, ты мне напомнил этим одного редактора из PC Magazine. Он сделал в точности то, что сделал ты, и вывод был именно такой, как и у тебя. Видишь ли, ты сделал всё неправильно. У тебя на винте уже скачанные зловреды. НО! Скачивал ты их не с помошью недоверенного браузера! А теперь- реальный эксперимент. Из реальной жизни. Пошли самому себе по почте зловред, получи его недоверенным почтовиком, сохрани на диск и открой. Или же открой прямо из аттача. Результат тебя сильно удивит! Можешь также залить зловред на сайт, сохранить недоверенным браузером и открыть. Результат будет тот же. DefenseWall также отслеживает архивы и, если ты распакуешь недоверенный архив встроенным архиваторов XP, то извлечённые исполняемые файлы автоматом улетят в недоверенные. То же верно при двойном щелчке на недоверенныом архиве с использование внешнего архиватора (в 1.55 нехилый их список).

Да, когда кончишь- сообщи народу результаты. А то получится как на virusinfo- то ли он украл, то ли у него украли....

Далее... По дефолту в проге есть список недоверенных приложений. А остальные кто будет в список добавлять? Домохозяйка? У меня вот есть Trillian (кстати' date=' чатилка), Maxthon (кстати, интернет-браузер), StrongDC (кстати, п2п-клиент) - ничего этого нет в списке. Что я не так сделал? =)[/quote']

Домохозяйка такими программами не пользуется. В любом случае, список по умолчанию будет расширяться, это не есть величина постоянная.

Сравниваем с поведенческим блокиратором. Ставлю аську' date=' он спрашивает: "Чувак, а ты хочешь, чтобы аська запускалась автоматом вместе с виндой?". Я говорю: "Нет". Он говорит: "Ну и не надо". Ну и что понятнее? =)[/quote']

Так я и говорю- classical HIPS есть защита для профи. Домохозяйку такой вопрос сразу вгоняет в жёсткий ступор.

Во-во-во! И я о том же! Вот это будет удачным дополнением. Ибо на "голый" DefenseWall я бы не стал полагаться. А тем более у клиентов-домохозяек.

Ну, я полагаюсь. Другого защитного ПО (кроме как DefencePlus для защиты от buffer overflow, у меня старый камень без hardware DEP) у меня не имеется. Гонял на своём компе зловреды в качестве тестов- без последствий. Я что-то делал не так?

[Dmitry Perets 30]

Спасибо за поддержку. Давайте все таки на "вы". ОК?

Прошу прощения, если обидел вас; больше не буду =)

[TiX 0]

Ну, я полагаюсь. Другого защитного ПО (кроме как DefencePlus для защиты от buffer overflow, у меня старый камень без hardware DEP) у меня не имеется. Гонял на своём компе зловреды в качестве тестов- без последствий. Я что-то делал не так?

Каких зловредов?! И какие последствия?! Ж) Выствь машинку без патчей в интернет с ИИС 5 Ж) и дырявмю SQL

и посмотрим пройдет ли Lsass / dcom rpc / slammer / codered

Если пройдер DefensePlus в топку т.к пользы от него мало Ж)

[Dmitry Perets 30]

Да, когда кончишь- сообщи народу результаты. А то получится как на virusinfo- то ли он украл, то ли у него украли....

Да, теперь всё ясно. Действительно, скачанные из браузера файлы добавились в список недоверенных. В реестр их уже не пустили. Пробовал архивировать зипом и раром, без пароля и с паролем - всё равно блокируют. Гуд

НО...

Видишь ли, ты сделал всё неправильно. У тебя на винте уже скачанные зловреды. НО! Скачивал ты их не с помошью недоверенного браузера!

Ну логично! Я, будучи домохозяйкой, качал их своим любимым браузером Maxthon, установленным мне моим горячо любимым внуком. Качал, не подозревая о том, что этот браузер не относится к недоверенным, так как его ещё не добавили в списки DefenseWall =)

Домохозяйка такими программами не пользуется. В любом случае, список по умолчанию будет расширяться, это не есть величина постоянная.

То есть я теперь должен полагаться на то, что моя клиентка-домохозяйка будет пользоваться исключительно тем софтом, который я ей поставил и занёс в списки. И к ней не придёт ни внук, ни друг внука, и не поставит никакого другого стороннего софта, который вполне может отсутствовать в списках. А если поставит, то обязательно внесёт новый софт в списки недоверенных. Так?

Ну или не так. Внук придёт, софт поставит, в списки не внесёт, бабка скачает зловреда, он ей поест систему, а она позвонит мне и заплатит ещё денег, а я в добавок скажу, что это она во всём виновата, ибо списки недоверенных приложений не обновила... Звучит заманчиво, но мы в Израиле так не работаем =)) "Гусский гусского не обманет" (С) Брат 2 =D

Короче говоря, твой подход прямо противоположный стандартному: стандартный подход поведенческого блокиратора - "запрещать всё то, что не разрешено". Твой подход - "разрешать всё то, что не запрещено". Имхо стандартный подход надёжнее. Во-первых, ты просто не можешь добавить в списки весь потенциально опасный софт. И половину работы ты, стало быть, перекладываешь на плечи юзеров. Т.е. всё тот же "профи для профи". Во-вторых, нарваться один раз на алерт и потом разрешить (как в стандартном подходе) куда безопаснее, чем пропустить зловреда, а потом спохватиться и добавить прогу в недоверенные.

Так я и говорю- classical HIPS есть защита для профи. Домохозяйку такой вопрос сразу вгоняет в жёсткий ступор.

Ну можно включить блокировку без предупреждений. Я так часто людям ставлю, на два основных ключа автозапуска. Эффект будет аналогичен эффекту от DefenseWall - юзер ничего не должен будет жать.

[Сергей Ильин 1538]

Я, будучи домохозяйкой, качал их своим любимым браузером Maxthon, установленным мне моим горячо любимым внуком. Качал, не подозревая о том, что этот браузер не относится к недоверенным, так как его ещё не добавили в списки DefenseWall =)

А при установке DefenseWall нет визарда в котором можно было бы руками настроить какие приложения считать недоверенными или наоборот доверенными?

[_Stout 131]

Отвечаю.

Эвристический детектор- это есть некий механизм динамической эмуляции кода (виртуальная машина), который позволяет оттрассировать зашифрованные части вирусного тела (или же пакер на зловредном модуле) и сигнатурным анализом того, что получилось (либо на основе "похожести" кода на что-то уже известное), вынести заключение.

Позвольте и мне добавить свои пять копеек.

Эвристик и эмулятор есть разнеы вещи. Эвристик это анализатор кода и не важно используется ли эмулятор или нет.

Нет эмулятора -- статический эвристик. Первые эвристики были именно такие. Никакого эмулятора в Lie Detector не было и в помине, но со своей задачей ловить новые вирусы он справлялся достаточно хорошо. Такой метод проактивного обнаружение используется по сей день и отказываться от него пока не собираются.

Но если есть эмулятор, то получаем динамический эвристик. И чем сложнее эмулятор среды, тем ближе эвристик к SandBox или поведенческому анализатору в специальной среде. В пределе -- эмулятор на 100% эмулирует среду и тогда мы имеем 100% SandBox (что IMHO не достижимо). Практически у всех АВ сейчас реализовано именно так. Разница в уровне и качестве реализации эмулятора среды.

Дальше. Можно загнать эвристик и анализируемый объект в виртуальную машину, из которой анализируемы объект "убежать" не сможет. Тоже поведенческий анализатор в контролируемой среде. Такого я не видел. Пока не видел.

И последнее -- Поведенческий анализатор в реальной среде. Это как сделано у очень многих.

Кстати. Т.н. Generic детектирование есть ни что иное как статически эвристик. И это тоже проактивняа защита ;-)

[Илья Рабинович 521]

Ну или не так. Внук придёт, софт поставит, в списки не внесёт, бабка скачает зловреда, он ей поест систему, а она позвонит мне и заплатит ещё денег, а я в добавок скажу, что это она во всём виновата, ибо списки недоверенных приложений не обновила... Звучит заманчиво, но мы в Израиле так не работаем =))

Эта проблема решается значительно проще. Постоянным мониторингом устанавливаемого софта на предмет нуждающегося в автоматическом добавлении в список. Хорошо, сделаем- проблем нет!

Короче говоря, твой подход прямо противоположный стандартному: стандартный подход поведенческого блокиратора - "запрещать всё то, что не разрешено". Твой подход - "разрешать всё то, что не запрещено". Имхо стандартный подход надёжнее. Во-первых, ты просто не можешь добавить в списки весь потенциально опасный софт. И половину работы ты, стало быть, перекладываешь на плечи юзеров. Т.е. всё тот же "профи для профи". Во-вторых, нарваться один раз на алерт и потом разрешить (как в стандартном подходе) куда безопаснее, чем пропустить зловреда, а потом спохватиться и добавить прогу в недоверенные.

Нет, мой подход проще. В конце-концов, всегда можно предупредить домохозяйку о том, что:

1. Нельзя устанавливать софт без согласования с тобой. И это, в любом случае, разумно. Системники опечатывают ведь.... А то понаставят кучу всего, а потом жалуются- всё жутко тормозит и падает в синьку, а ведь всего-то три антивируса вместе работают!

2. Чтобы предупреждала работающих за компом всех об этом.

Ну а мониторинг устанавливаемого софта я сделаю в любом случае - это точно решит все проблемы домохозяйки с внуками!

Ну можно включить блокировку без предупреждений. Я так часто людям ставлю, на два основных ключа автозапуска. Эффект будет аналогичен эффекту от DefenseWall - юзер ничего не должен будет жать.

А я-то, дурак, контролирую целых шесть-семь десятков ключей! А надо было - всего два! А как быть с руткитами? А с кейлоггерами? А с дозвонщиками? А с теми зловредами, что пишутся не в эти два ключа реестра?

Добавлено спустя 2 минуты 14 секунд:

Ну, я полагаюсь. Другого защитного ПО (кроме как DefencePlus для защиты от buffer overflow, у меня старый камень без hardware DEP) у меня не имеется. Гонял на своём компе зловреды в качестве тестов- без последствий. Я что-то делал не так?

Каких зловредов?! И какие последствия?! Ж) Выствь машинку без патчей в интернет с ИИС 5 Ж) и дырявмю SQL

и посмотрим пройдет ли Lsass / dcom rpc / slammer / codered

Если пройдер DefensePlus в топку т.к пользы от него мало Ж)

Все перечисленные тобой эксплойты не пробили моей защиты (там неисполняемый стек и куча). Или ты думешь, я не тестировал свой софт?

Добавлено спустя 5 минут 32 секунды:

А при установке DefenseWall нет визарда в котором можно было бы руками настроить какие приложения считать недоверенными или наоборот доверенными?

Сейчас нет. Интересная идея, нужно будет подумать над этим.

[Сергей Ильин 1538]

Илья Рабинович, где кстати можно скачать триалку DefenseWall посмотреть? Как вообще продукт сейчас распространяется, сколько стоит?

[Илья Рабинович 521]

Илья Рабинович, где кстати можно скачать триалку DefenseWall посмотреть? Как вообще продукт сейчас распространяется, сколько стоит?

http://www.softsphere.com. Распространяется с декабря того года (совсем новый, короче, хотя если посмотреть на первую версию и на то, что есть сейчас- громадная разница!). Текущая версия- 1.55. Дистрибьюторов и партнёров пока нет (надеюсь, скоро будут), распространиние полностью онлайновое.Стоит $29.

[Dmitry Perets 30]

Нет, мой подход проще. В конце-концов, всегда можно предупредить домохозяйку о том, что:

1. Нельзя устанавливать софт без согласования с тобой. И это, в любом случае, разумно. Системники опечатывают ведь.... А то понаставят кучу всего, а потом жалуются- всё жутко тормозит и падает в синьку, а ведь всего-то три антивируса вместе работают!

2. Чтобы предупреждала работающих за компом всех об этом.

Шутишь? =) Это реально сделать пока у тебя 5 и менее клиентов. Потом ты с ума сойдёшь от количества звонков от своих "домохозяек". Я уже не говорю о том, что тебе каждый раз придётся объяснять по телефону, что и в какой список добавлять.

Да ладно это... Я клиенту поставил самопальную защиту на запись в автозапуск (когда ещё не было КИС =)). Положил кнопку на таскбар, аккуратненько в сторонку. На кнопке рисунок "въезд воспрещён". Объяснил подробно, что это значит. Клиент закивал. Я предупредил его о том, что если случайно вдруг возникнет проблема при установке чего-либо, просто нужно отключить на время защиту, нажав на эту кнопку. Думаешь, нажал? =) Неееет. А ты говоришь "предупреди"... Это проигрышный вариант, облом неизбежен =)

Ну а мониторинг устанавливаемого софта я сделаю в любом случае - это точно решит все проблемы домохозяйки с внуками!

Да, это будет уже интереснее. Тогда сделай сразу и анализ уже установленного в системе софта. По большому счёту, если этот анализ будет происходить при первом запуске приложения, то схема будет напоминать обучающийся файрволл с автодобавлением правил. Думаю, тогда действительно получится неплохое средство защиты для простых пользователей.

А я-то, дурак, контролирую целых шесть-семь десятков ключей! А надо было - всего два! А как быть с руткитами? А с кейлоггерами? А с дозвонщиками? А с теми зловредами, что пишутся не в эти два ключа реестра?

Ну я же пример привёл просто! Разумеется, ты можешь включить контроль за 7-ю, 10-ю, 30-ю ключами (скажем, в КИС по дефолту их целый список там). И сказать "блокируй без вопросов". И эффект будет абсолютно идентичен DefenseWall: например, юзер качает аську с www.icq.com, при установке она лезет в автозапуск, её тихонько блокируют. Аналогично с кейлоггерами и руткитами. Зависит только от того, подумали ли авторы поведенческого анализатора добавить опцию "блокировать без вопросов". Обычно думают.