Троянские вкладки и троянизация приложений - Аналитика - Форумы Anti-Malware.ru Перейти к содержанию
priv8v

Троянские вкладки и троянизация приложений

Автор priv8v, в Аналитика

Recommended Posts

priv8v    960

priv8v
Опубликовано
В этой небольшой статье рассмотрена достаточно актуальная на сегодняшний день тема - троянские вкладки в программах и троянизация вполне легитимных приложений. Сегодня антивирусы разбирают файл буквально по косточкам, файл должен пройти через огонь, воду и медные трубы, что бы ему наконец дали запуститься, поэтому при целевых атаках большую эффективность приносит троянизация приложений - в этом случае не придется скрываться от антивируса и бороться с его злобной эвристикой, эмуляцией, фаерволом и обновлениями - пользователь все сделает за него - ведь приложение-то легитимное и ему нужно все разрешать.

Методы, цели и способы при троянизации разные и специфика их применения тоже сильно варьируется. Автор постарался рассказать о наиболее популярных и интересных способах и методах троянизации приложений...

Источник

Далее - документ PDF во вложении....

Предлагаю обсудить данную статью, рассказать о своем опыте в этой области, поделиться идеями и рассказать, что думаете об этом вообще :)

troj_vkl.zip

troj_vkl.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано
Предлагаю обсудить данную статью, рассказать о своем опыте в этой области, поделиться идеями и рассказать, что думаете об этом вообще :)

Статья интересная, но я лично начитался приёмами троянизации на разных ресурсах.

ведь приложение-то легитимное и ему нужно все разрешать.

Мою точку зрения знаете - 'доверенных нет, даже если у них цифровая подпись от определённых синдикатов с красивыми логотипами' - , поэтому старую пластинку крутить с песенькой о том, как на самом деле надо защищаться от этого всего не буду.

P.S.: Возможно следующую статью уже знаете. Как сам автор говорит: "Разумеется, это не руководство к немедленному действию. Скорее - предостережение": Ручная троянизация приложений под Windows.

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
Статья интересная, но я лично начитался приёмами троянизации на разных ресурсах.

Чего в данной статье не хватает? Есть ли что-то новое?

Мою точку зрения знаете - 'доверенных нет, даже если у них цифровая подпись от определённых синдикатов с красивыми логотипами'

В статье не про это, а про следующее:

допустим приложению Х разрешен выход в инет и еще какие-нибудь действия в системе. поэтому если его затроянить, то при алерте от антивируса о том, что файл изменен скорее всего от юзера не будет никаких проверок, а если и будут - то они ограничатся заливкой на вирустотал, т.к сам просмотреть программу под отладчиком он не в состоянии - вот это знает хакер и использует.

:)

А по статье от мыщъх'а - зря он отошел от стандарта masm32 (fasm это уже от лукавого :) ) и танцев можно было и поменьше ...

PS:

troj_vkl.zip ( 84.59 килобайт ) Кол-во скачиваний: 18

Остальные 17 человек считают, что "кг/ам" ?

:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано
Чего в данной статье не хватает?

Подсказка о том, что не всё так плохо для пользователя если только делать то-то или то-то...

Есть ли что-то новое?

Я честно говоря бегло очень прочитал и не особо искал оригинальность или новшества. Мне казалось всё знакомое, но я читаю на очень много языках, поэтому... Прочту ещё раз. ;)

В статье не про это, а про следующее: [...]

Я знаю, что статья преимущественно не об этом. Но троянизация имеет смысл только из-за некоторых неоправданных предположений в мышлении о 'защите', одно из которых я выделил, и на которое я реагировал:

ведь приложение-то легитимное и ему нужно все разрешать.

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
Подсказка о том, что не всё так плохо для пользователя если только делать то-то или то-то...

Статью я ориентировал не на домохозяйку а на того, кто хотя бы знает на примитивном уровне асм и знает что такое PE-файл :)

Но в эпилоге написаны основные принципы защиты, естественно без упоминания прописных общих истин, хотя парочку все-таки пришлось упомянуть...

Я честно говоря бегло очень прочитал и не особо искал оригинальность или новшества. Мне казалось всё знакомое, но я читаю на очень много языках, поэтому... Прочту ещё раз. wink.gif

Спасибо. В виду того, что вы читаете очень много форумов на разных языках, то наверняка вы видели обсуждения троянских вкладок как от хакеров, так и от разработчиков - последнее меня наиболее интересует, т.к сам я с таким сталкивался в нормальных прогах буквально раза три.

Я знаю, что статья преимущественно не об этом. Но троянизация имеет смысл только из-за некоторых неоправданных предположений в мышлении о 'защите'

Ну, да :)

У пользователя просто нет другого выбора...

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Black_Z    160

Black_Z
Опубликовано

Спасибо за интересную статью. Материал познавательный.

Выводы и не совсем радостные для себя сделал: скачивание программ из доверенных и проверенных ресурсов – это хорошо, но практика действительно показывает, что самые доверенные и проверенные ресурсы могут неожиданно преподносить сюрпризы (и примеров таких, к сожалению, с каждым днем становится больше)..

Так что надеяться надейся, а сам не плошай… B)

Спасибо!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Аналитика

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×