Антивирус

Тема в разделе "Курилка", создана пользователем Phaeton, 8 мар 2013.

  1. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    У меня Каспер тоже раньше 10-12 часов сканировал. Сейчас 40 минут, благодаря SSD. Да и его работа (Каспера) в системе незаметна вообще - он теперь при всем желании не может загрузить своей работой.

    Добавлено спустя 13 минут 24 секунды:

    А пруф есть? Или это так, ваши фантазии?
    Вот реально через два года будет 10 лет пользования касперским. Имел опыт пользования другими антивирями (не на своем компе) - пропускают, хоть и редко (зависит от антивиря). Мимо Касперского ни один вирус не проходил, ни один баннер, ни разу не блокировался компьютер с просьбой отправить смс. А с переходом на каспер 2013 я уже уверен что никто не украдет пароль и как заметила Marinel, в финансовых операциях тоже спокоен. В каспер уже встроен UAC поэтому даже из XP можно построить крепость, - было бы желание его настроить.
    Конечно, тут не все зависит лишь от одного антивируса, мозги надо тоже иметь, но все таки в данном вопросе зря касперского опустили. Даже по многим тестам он на вершине пальмы первенства, не стоит забывать об этом.

    P. S. вирус вчера не проверял, сегодня попробую
     
  2. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    *сарказм вкл* конечно есть. Я храню всю переписку на форуме дяди жени с момента основания его компании *сарказм выкл*
    Ваше право верить мне или нет. Я дал вам код, который делает инжект в винлогон. Если для вас это ничего не значит, ну что ж, киса отличный ав :)))

    вместо презервативов использую аскорбинки - еще ни разу вич не подхватил. В больницах не проверялся, да и с бабами не того, но вич нет. Значит презервативы не нужны, аскорбинки вполне себе справляются :) Вот примерно так звучат слова про касперского и вирусы )))
     
  3. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    MSoft я правильно понимаю, код в блокнот запихнуть и сохранить с расширением exe? Какие симпотомы если че?
     
  4. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    :) нет, код открыть в visual studio и скомпилировать, на выходе получить *.exe файл. Ввиду наличия подозрительных функций в импорте, кис ругнется на файл. Поэтому, перед тем, как скормить файл кисе, exe надо накрыть упаковщиком. Поищи на форумах програмку под названием "криптор". Подойдет любой криптор, который не видит касперский.
    Потом запускаешь свой ехе.

    Если все прошло успешно и в винлогон записан код, ты увидишь сообщение Bingo. Иначе - сообщение Crap

    П.С.: чтобы не вызвать ошибку в винлогоне, записываемый в него код содержит только nop (инструкция, которая ничего не делает) и ret 4 в конце (чтобы завершить удаленный поток без ошибок)
     
  5. marinel

    marinel Активный участник

    Регистрация:
    06.06.08
    Сообщения:
    24.462
    Симпатии:
    3.161
    Адрес:
    Санкт-Петербург
    Служба:
    была, есть и будет
    Для меня немаловажную роль сыграло, что в этой нише у нас есть свои производители с отличными программами. Поэтому выбираю свое т.е. наше. :flag:
     
  6. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    MSoft скиньте мне на почту, если вас не затруднит :-D
     
  7. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    вот ссылка на файл, прошу никому его не отправлять
    http://www.sendspace.com/file/ywq2lp

    пароль к архиву сейчас скину в лс. Напоминаю, перед использованием файл нужно накрыть каким-нибудь упаковщиком или криптором. Т.е. чтобы при сканировании самого файла он не был обнаружен (нужно просто спрятать импорт; это можно сделать и без криптора, но, увы, это уже полноценный вирус с моей стороны получится, поэтому извиняйте). После запуска вы убедитесь, что проактивная защита касперского не реагирует на эти вредоносные действия. А вот большинство других ав или фаерволов - среагируют.
     
  8. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    Хехе, в долгих поисках был этих крипторов, одни трояны в архивах, вот что надыбал на одном хакерском форуме -
    То есть вы заранее дали мне невыполнимую задачу, то что в архиве расстреливается на месте. Сразу.

    Добавлено спустя 5 минут 35 секунд:

    Думаю я все таки был прав
    Ну ВИЧ заметишь тогда, когда начнешь загинаться от какой-нибудь простуды - просто и легко. В компьютерном смысле тоже самое. Но вот незадача - болезней нет. Аккаунты в социальных сетях не взламывают, реклама не выскакивает, подозрительных процессов, непонятных файлов и т. п. нет.

    Добавлено спустя 9 минут 35 секунд:

    Рейтинг антивирусов на Сибнете 4735 голосов: http://forum.sibnet.ru/index.php?showtopic=3972&st=1360
    40.63% доверяют кисе :-D , т. е. большинство

    Добавлено спустя 24 минуты 3 секунды:

    Прописывание в винлогон еще ничего не значит
    остальная часть кода не наносит никакого вреда, поэтому фишка у вас и проходит.
    Для разнообразия проверьте реальное вредоносное, ну или тот же самый код, только предварительно настроив Контроль программ в кисе, как написано тут. только не удивляйтесь если помрут пара прог, использующие левые способы прописки в системе. :-D

    P. S. вопрос на засыпку: сколько антивирусников отреагируют на просто соданный бат файл брошенный на рабочий с командой "удалить папку видоус и отфармотироваать диск С" :-D
     
  9. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    вы не правы. Вам не нужен криптор, который не палится вообще ни одним из ав. Достаточно найти такой, который не палится кисой, не более того. А то, что в архиве - я уже сказал, почему палится. В импорте есть 4-5 характерных функций, по ним и палит. Можно сделать не статический импорт, а поиск апи из экспорта, но это усложняет код и не несет никакого смысла. Задача была в том, чтобы проверить, как киса реагирует на файлы, не определяемые сигнатурно. Все вирусы, которые попадают в сети, защищены крипторами. Ни один не выходит в голом виде. Соответственно, на момент "атаки" на ваш компьютер киса не сможет назвать файл вредоносным и позволит его запустить. А уже после запуска он ничего не увидит.

    да хай доверяють, я что, против? :) Вот только технологии инжекта были известны еще во времена легендарного 29А (журнал такой вирусный). Не уметь ловить запись в чужой процесс - моветон.

    попадание 152мм снаряда в коленку солдата еще ничего не значит... Не не, не так. Вот так: появление группы спецназа гру в штабе управления ядерными силами сша еще ничего не значит... Да как же это ничего не значит? :))) А как будет определяться вредоносность другого кода? Думаете, там нейросети? :)

    Позвольте провести краткий экскурс в технологии антивирусов. Изначально, чтобы ловить вирусы, придумали сигнатурное сканирование. Сигнатура - последовательность байт, которую можно встретить только в вирусе и больше ни в какой программе. Вирусы стали полиморфными и сигнатур в них больше не осталось. Появился эвристический метод анализа - антивирус смотрел на размеры файла, функции в импорте, строки в данных, наличие циклов в коде, напоминающих расшифровщики (именно таким способом касперский палит мой файл). Вирусы стали подделывать эти признаки - убирать подозрительные функции из импорта, маскировать циклы неявными переходами, добавлять ложные циклы и т.д. Эвристика отвалилась. На свет появился поведенческий анализ (проактивная защита): антивирус позволял запускать приложения, но внедрял в каждое из них свой компонент. Этот компонент отслеживал подозрительные действия, которые были пропущены эвристикой. Нормальный ав не позволит одному приложению запустить другое, не позволит открыть чужой процесс на запись, не позволит создать сервис или загрузить драйвер, не позволит выйти в интернет, не позволит прописаться в автозагрузку.

    И вот почему все эти действия опасны. Представьте вирус, который пропустила эвристика. Т.е. вирус запустился. Ему надо выйти в интернет. Но антивирус блокирует доступ незнакомым приложениям в интернет или к реестру. Онлайн, реестр, запуск чужих приложений доступны только доверенным программам. Что делать вирусу? Правильно, вирус открывает на запись винлогон, копирует себя в него и от его имени из его адресного пространства делает запись в реестр, отключая WindowsFileProtection. Делает инжект в эксплорер и от его имени запускает любое нужное себе приложение. Делает инжект в иэксплорер, оперу и выходит в интернет. Антивирус не скажет ни слова, т.к. все эти действия делают уже РАЗРЕШЕННЫЕ пользователем программы. Именно поэтому важно запрещать вирусам запись в чужие процессы, тем более системные. Но киса этого не делает. А ведь это не уязвимость, это технология 2000х! Я не знаю более знаковой и распространенной и классической технлогии, чем инжект. А кисе пофиг.

    вот только вирусы - это не только винлокеры. Это всякие зевсы, андромеды, кликеры и прочая грязь, которая может воровать данные. Кстати, инжект в оперу может привести к перехвату введенных данных. Успехов кисе в защите от перехвата уже после инжекта :)

    на сам бат, возможно, мало. А вот создание и запуск бата должны отслеживать все, иначе это говно, а не антивирусы
     
  10. Rand0m

    Rand0m Активный участник

    Регистрация:
    28.10.10
    Сообщения:
    14.927
    Симпатии:
    19.082
    Адрес:
    РФ г. Калуга (Колыбель космонавтики)
    40.63% доверяют кисе :-D , т. е. большинство
    А за есет нод сколько? На работе он стоит и в общем тоже ниче.
     
  11. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    Если все так просто, то почему нет тысяч разоблачительных тем на форуме касперского? Я не нашел ни одной. Видимо разоблачать нечего. MSoft или боитесь что там грамотные люди есть, которые и ответить могут? :wow:
     
  12. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    темы от кого? От домохозяек? Те, кто разбирается в инжектах, каспером не пользуются. А остальным пофиг на такие мелочи.

    а что разоблачать-то? я вам код дал. Код рабочий. Киса его игнорирует. Что еще от меня требуется?

    безумно боюсь. Сижу и трясусь весь. Я хочу у вас спросить - от меня что требуется? Код есть, файл есть. Вам дать полноценный вирус, накрытый непалевным криптором? :) Извините, таким не обладаю.

    Ну хотите, можете подключиться ко мне по тимвьюверу - покажу подключенную и обновленную кису, покажу файл в отладчике, запущу при вас. Покажу, что все хендлы открываются. От меня что еще нужно? А по поводу причин, почему нет миллионов разоблачающих тем - это не ко мне, это к гадалке. Я со своей стороны предоставил все, что мог.
     
  13. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    Холивар не буду разводить, останусь при своем мнении
    Знакомые программисты у меня пользуются
     
  14. Supremum

    Supremum Активный участник

    Регистрация:
    21.10.11
    Сообщения:
    21.986
    Симпатии:
    15.645
    Адрес:
    Липецк
    "Программист" это очень общее понятие, он может вообще не разбираться ни в антивирусах, ни в безопасности вообще. Если он действительно пишет программы, то и не должен.

    З.ы у нас в канторе персоналки на каспере, сервера на Trend Micro.
     
  15. Rand0m

    Rand0m Активный участник

    Регистрация:
    28.10.10
    Сообщения:
    14.927
    Симпатии:
    19.082
    Адрес:
    РФ г. Калуга (Колыбель космонавтики)
    А вообще в основном, кто что любит, для хорошей защиты вообще рекомендуют пару хотя бы держать :-D
     
  16. zdobin

    zdobin Новый участник

    Регистрация:
    03.01.09
    Сообщения:
    4.878
    Симпатии:
    5
    Адрес:
    Украина, Privilegiatum oppidum Ungvar
    Два антивируса одновременно!!!? :Shok:
     
  17. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    Хочешь угробить компьютер - поставь два антивируса (с) :-D
     
  18. Rand0m

    Rand0m Активный участник

    Регистрация:
    28.10.10
    Сообщения:
    14.927
    Симпатии:
    19.082
    Адрес:
    РФ г. Калуга (Колыбель космонавтики)
    Не одновременно, конечно, скажем иметь один постоянный, каспер или нод, но периодически проверяться свободной утилиткой скажем от дрвеб
     
  19. marinel

    marinel Активный участник

    Регистрация:
    06.06.08
    Сообщения:
    24.462
    Симпатии:
    3.161
    Адрес:
    Санкт-Петербург
    Служба:
    была, есть и будет
    В Последнем номере Computer Bild прошла такая проверка. Каспер в лидерах. :flag: :flag: :flag: . Единственное что мне в нем не нравится так это его создатель. Вместо того, чтобы ассоциировать себя с РФ, он заявляет себя как "человек мира". ИМХО в корне неверно ибо образование он получил здесь.

    Добавлено спустя 3 минуты 42 секунды:

    Кстати Каспер запускает защищенный браузер для фин операций по всем ведущим банкам. Так что нехай перехватывают. :-D . В целом, что вы хотите доказать? Что Каспер плох? Ответ - нет не плох, хорошая защита за смешные деньги.

    Добавлено спустя 1 минуту 36 секунд:

    На virusinfo каспер помечен как рекомендованый. Или там то де ничего не соображают? :-D
     
  20. X2X

    X2X Активный участник

    Регистрация:
    20.12.08
    Сообщения:
    5.658
    Симпатии:
    264
    Адрес:
    Россия. Северо-Запад.
    Нет. Что позиционируется как самый лучший и надёжный(супер-пупер). И многие этому верят. И рано или поздно страдают от этого.

    Добавлено спустя 7 минут 53 секунды:

    Тогда уж лучше как я: раз в месяц вырубать(сносить его с компа) свой постоянный антивир, и врубать другой(полноценный). Проверив комп, вырубить(сносить) проверочный и врубить снова свой основной. Проверочный антивир найдёт у Вас в компе кучу «интересного», о существовании коего, Вы и не подозревали. Штук 4-8 троянов – точно найдёт.
    Попробуйте. Долгая канитель всё это, но, результат стоит заморочек.

    Добавлено спустя 2 минуты 3 секунды:

    За смешные деньги не смешной результат?! Что-то сомнения бьют…

    Добавлено спустя 3 минуты 38 секунд:

    1.И??
    2.Бох их знает… Мы у них в мозгах не рылись. Знаю одно: Даже боги Олимпа ошибаются, что уж говорить о смертных…
     

Поделиться этой страницей