Перейти к содержанию
3TE116

Вопрос о проверке файла ВирЛабом

Recommended Posts

3TE116

Они как-то его разворачивают и там он виден в виде скрипта.Конечно,такой головной боли мне не нужно,но всё-таки интересно.

Интересно,как они открывают файл,который в виде скрипта отображается.Хотелось бы хоть раз глянуть,ради интересно,но в саму их суть лезть не хочу,да и подробности каждого из них не интересуют.Просто интересно увидеть хочется!Такое возможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

качаешь дизасамблер и смотришь любуешься=)

в ЛК небось ida pro используют, вообще думаеться его много где используют, он платный и просто так на него не посмотришь=)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

на первом этапе у них стоит машина - ИИ - именно он вначале изучает присланные файлы, если вердикт спорен или объект нуждается в дальнейшем изучении, то файл берет один из дятлов, который дежурит в данный момент (дежурство круглосуточное).

Е.К говорил, что используют ИДА и софтайс + самописные проги.

Если файл оказывается вредоносным, то он будет детектироваться после следующих обновлений. Возможна также отправка файла в раздел распаковки (это в случае если применен сложный/популярный и неизвестный упаковщик/криптор) - там занимаются именно распаковкой - там будут обучать антивирус "распаковывать" все, что упаковано этим пакером/криптором.

Хм... больше не знаю, что добавить.

Все-таки то, что видно в отладчике/дизасме трудно назвать удобочитаемыми скриптами... Но имея определенный опыт, умение работать с данными утилитами и знание ассемблера и выньапи позволяют достаточно комфортно изучать простенькие малварки... А под сложные - нужно больше опыта, больше прочтенных книг и т.д

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Скачал я демку и глянул.Мне честное слово жалко ВирЛабовцев.Прога 1000 баксов стоит,но чтобы купить,жаба задушитyes.gif.Какие-то схемы,росписи,фиг поймёшь.Вообщем,это не для меня,мозги закипят от такого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Если бы ещё инструкции на русском,как ей пользоваться - цены б не было.Демку не хочу,но против полной не против.

В догонку вопрос.Если купить,то в ней апдейты есть и какова продолжительность лицензииuhm.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

3TE116

Вы сильны в ассемблере?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Если бы ещё инструкции на русском, как ей пользоваться - цены б не было.

с ходу:

1). wasm.ru cracklab.ru

2). Крис Касперски "образ мышления ida pro"

Демку не хочу,но против полной не против.

Поиск вареза в гугле никто не отменял - другое дело, что тут на него ссылки давать нельзя, но сказать, что такое можно поискать в гугле - можно. У меня ида, естественно, крякнутая.

Какие-то схемы,росписи,фиг поймёшь.Вообщем,это не для меня,мозги закипят от такого.

Если у Вас нет планов учить асм и долгими вечерами долго долбить файлы, протирая красные глаза и вглядываясь в монитор, то не забивайте себе голову ненужными вещами. На самом деле важнее просто понимать как что работает, чем дизасмить все, что попадает под руку. Я в вирлабе не работаю и прибегаю к инструментам этим не так часто - только когда необходимо. Но есть те, которым это нравится и они работают с ними для получения удовольствия - я к этой категории людей не отношусь, поэтому предлагаю и Вам определится в выборе пути...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Я его давно видел,но а так я программирование не знаю.А что без знания языка будет трудно в ней разобраться?Там и цвета есть,что легче определять или там цвета роли не играют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

играют, но как помощь - как подсветка синтаксиса в редакторе.

(типа того)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

В Гугле нашёл,но полной нигде нет.Брат у меня программист,если у него будет время может он мне чего-нить и объяснит в ней.

Иногда она может действительно нужна бывает.

А комп она сканировать ещё не умеет?Представляю выдаёт инфу,что где и как засело.

Просто иногда скучно бывает и вот неплохо бы дополнительное развлечение найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Изучаю Ассемблер по этой проге,чтобы хоть как-то понять,что к чему,но у меня есть одна большая проблема...В написании скриптов надо считать ещё,вычисления проводить,а у меня с математикой проблемы,хромает.Брат посоветовал мне попробывать Ruby с него начать.

Книгу по Ассемблеру прочитал 20 страниц и как-то сложно въехать,хоть и понятно,что цифры,буквы,но с вычислениями - это конечно прийдётся учится и брать потом в 3 ручья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Изучаю Ассемблер по этой проге,чтобы хоть как-то понять,что к чему,но у меня есть одна большая проблема...В написании скриптов надо считать ещё,вычисления проводить,а у меня с математикой проблемы,хромает.Брат посоветовал мне попробывать Ruby с него начать.

Книгу по Ассемблеру прочитал 20 страниц и как-то сложно въехать,хоть и понятно,что цифры,буквы,но с вычислениями - это конечно прийдётся учится и брать потом в 3 ручья.

А теперь подумайте,действительно ли это Вам нужно?=)

Я понимаю,если с целью устроится на работу.А так...зачем лишним голову забивать?:)

Тем блоее,без практики - это забудется быстро...как у меня было с Делфи 7.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116
А теперь подумайте,действительно ли это Вам нужно?=)

Я понимаю,если с целью устроится на работу.А так...зачем лишним голову забивать?smile.gif

Тем блоее,без практики - это забудется быстро...как у меня было с Делфи 7.smile.gif

Уже забросил,т.к. скукатищааааа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike
Но есть те, которым это нравится и они работают с ними для получения удовольствия

Это как раз про меня:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Дятлам неплохо было бы иметь нестандартные мозги и большую кучность (т.е. неплохо было бы иметь побольше вир анналов на меньшее количество вирусов). К сожалению, вирлабовцы допускают проколы... Запускаешь некий файл на тестовой системе, который сразу прописывается в автозагрузку, создаёт свою копию в директории C:\WINDOWS\system32 и пытается соединится с каким-либо адресом в сети интернет, запаковываешь этот файл, пересылаешь в вирлаб, а тебе в ответ мессага - "в присланном вами файле ничего вредоносного не обнаружено" :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Было такое.Я так отправлял,но возможно вирус туда не попал при запаковке,а через AVZ - это возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
×