Антивирус

Тема в разделе "Курилка", создана пользователем Phaeton, 8 мар 2013.

  1. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    вы, вероятно, его реверсили и инжект в винлогон для вас ерунда? :))) Впрочем, зачем его реверсить, если его исходники по сети несколько лет гуляют.
    Вы еще скажите, что у каспера эвристика развита и эмулятор супер пупер :))

    вы лучше форумы почитайте и поспрашивайте, кто больше всего геморою доставляет. И это отнюдь не каспер. А все эти проверки от журналов можно засунуть в одно место. На сайте каждого ав висит, что именно он лучший, занял первое место и вообще. Вот научится киса ловить инжекты и запрещать загрузку драйверов, тогда я поверю, что он хорош. А пока из хорошего у него только свистелки-мигалки.

    а на kaspersky.ru его аж джеки чан рекламирует! Неужели старина джеки ошибся? :) Вы лучше по приведенному мной коду возразите что-нибудь. А то аргументы в стиле "где же миллионы разоблачающих тем" и "на вирусинфо написано..." мне совершенно не интересны. Аутпост и зоналарм на голову превосходят каспера в плане проактивной защиты (поэтому у меня первый стоит), а антивирусная составляющая не важна, ибо у каспера она ужасна.

    Добавлено спустя 8 минут 46 секунд:

    ищем винлогон:
    [​IMG]

    открываем его процесс, причем с любыми правами - ну а чо, гулять так гулять. И на запись права, и на исполнение... Россия - щедрая душа
    [​IMG]

    а вот и удаленный поток создали, хендл получили, все отлично. Подумаешь, мелочи какие. Все ж безопасно, ептить. Киса так и пишет - компутер защищен, джеки чан подтверждает. Спите спокойно, товарищи, удаленный поток в винлогоне - это не страшно. На вирусинфо вас защитять )))))
    [​IMG]

    Добавлено спустя 10 минут 49 секунд:

    всем защита, посоны:
    http://www.youtube.com/watch?v=bHxyHlFZ778

    П.С.: не подумайте ничего лишнего, касперский хорош, но только по факту заражения. Его преимущество в том, что он быстро обновляет свои базы. Если у вас засела зараза и вы живете в россии, очень высока вероятность того, что в течение недели она будет в базах у касперского. А винлокеры он ловит мгновенно. Но вот в плане защиты от новых неизвестных угроз он полное гавно, уж извините. Лучше поставить сторонний фаервол, чем надеяться на кису.

    Добавлено спустя 37 минут 3 секунды:

    только что попробовал сделать запись в avp.exe - получилось. Интересно, а в приложение с безопасным браузером получится? :) Ха! безопасные платежи и выполняются в avp.exe. Это клиника. Это просто клиника.
     
  2. dign

    dign Заблокирован

    Регистрация:
    11.05.09
    Сообщения:
    2.498
    Симпатии:
    115
    Адрес:
    Херсон
    MSoft
    Если открывать чужой процесс для записи в user mode, каспер разве об этом не говорит?

    Я одно время пользовался Оутпостом. Так он такие вещи отслеживает. При желании можно создавать правила каким приложениям можно внедряться в другие приложения с кучей дополнительных опций.

    Я предполагаю, что и каспер должен также себя вести.
     
  3. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    неа, я ж о чем и толкую

    вот что у меня получилось сделать:
    [​IMG]

    я вместо пустых данных записал в avp.exe команду int3. Киса начал ловить исключения своим сехом, но перешагнуть через команду не смог. В итоге исключения накапливались и произошло переполнение памяти с вот такой вот картинкой в конце.

    После многочисленных опытов киса все-таки додумался защитить собственный процесс - уж не знаю, как у него это получилось. Но винлогон по-прежнему доступен для записи. И исполнение все той же int3 вызвало ожидаемый бсод без каких-либо предупреждений со стороны кисы.

    я ж о чем и говорю. Все должны уметь такое отслеживать. Если проактивка дает права на запись и исполнение в любом процессе, такую проактивку можно выкинуть

    Добавлено спустя 3 минуты 4 секунды:

    [​IMG]
    а вот внедрение такого же кода в браузер. Думайте, что хотите, но это просто пушной зверек
     
  4. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    WIN 7 + киса13 + эвристический анализ на максимум. Попробуйте такое потестить
     
  5. Rand0m

    Rand0m Активный участник

    Регистрация:
    28.10.10
    Сообщения:
    15.253
    Симпатии:
    20.688
    Адрес:
    РФ г. Калуга (Колыбель космонавтики)
    Win2008 :grin: :grin: :grin:
     
  6. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    вин 7 и без кисы неплохо защищен. Какой смысл в самой кисе тогда? Системные ресурсы жрать? Образная аналогия: залезь в танк и накройся бумажной салфеткой. Ага, пуля из пистолета тебя не убила? Вывод: бумажная салфетка защищает от пистолета. Вот киса - это бумажная салфетка в танке вин7. Убираем танк - и киса вас больше не защищает от пули.

    а насчет эвристики: поставил на максимум, киса молчит. Эвристика, кстати, это анализ файла по внешним признакам, я уже писал это. Где у него проактивку посильнее сделать, я не нашел.
     
  7. Andy

    Andy Новый участник

    Регистрация:
    20.02.09
    Сообщения:
    1.697
    Симпатии:
    2
    Адрес:
    Германия
    Все критичное типа online banking делаю через knoppix, все некритичное - через win7 и microsoft security essentials...

    То, что операционная система так запросто дает одному процессу писать в память другого процесса - убило наповал :Shok: век живи, век учись.....
     
  8. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    так это ж хп дает. Она каких годов выпуска? Виста уже не дает. А семерка, емнип, даже с админскими правами не даст открыть системный процесс. И привилегии отладчика получить тот еще геморой.

    Поэтому, имея винду семерку со всеми обновками + сторонний фаервол, можно спать спокойно. Вероятность нарваться на рабочий эксплоит и получить последствия крайне низка.
     
  9. marinel

    marinel Активный участник

    Регистрация:
    06.06.08
    Сообщения:
    26.397
    Симпатии:
    4.278
    Адрес:
    Санкт-Петербург
    Служба:
    была, есть и будет
    Вы меня правильно поймите, мне все равно куда инверсили и какой внлогон. я в этом ни черта не понимаю. Зато я вижу результат подкрепленный весьма авторитетным форумом virusinfo.
    А ведь так можно и про ваши посты сказать.
    Кстати именно по их совету после чистки компа AVZ и HightJack, я поставила КИС года 4 назад. Вы можете что угодно писать, но есть факт - результат. Ноу проблем как говорится.
    Вы талант. :-D
     
  10. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    не сочтите за наглость или грубость, но что же вы видите, если в теме не разбираетесь? :) А смотреть нужно не на журнал вот почему: все те тесты, которые проводятся на предмет эвристики в журналах к реальной жизни не имеют никакого отношения. Я кучу таких статей видел на сайтах типа хакер.ру и т.д. Там проверяют совершенно не те методы, которые применяются на практике. Вирусинфо можно рассматривать в качестве аналога угарной силы, только в ит-технологиях. Да и было бы странно видеть другое мнение на этом ресурсе, учитывая, что его основатели, как я понял из описание - лаборатория дяди жени и доктор веб.

    я код привел, файл привел, методику тестирования привел, описал опасность инжектов и как с ними борятся нормальные ав, когда появилась техника инжектов и в каких журналах о ней можно почитать расписал. Все мои выводы можно взять и просто проверить самому. А на вирусинфо тупо написали "мы супер пупер, наш ав круче всех". А проверить эту информацию как? Критерии сравнения какие? Глубина эмуляции? Сложность виртуальной машины? Логика распознавания мусора? Как проверить? Никак? Значит засунуть их мнение куда поглубже

    я вот тоже презерватив не надеваю и женщинами в контакт не вступаю - и еще никто не забеременел. Вывод: презервативы не являются средством предохранения :)

    Ваши 4 года опыта - это конечно круто, но они, уж извините, не научат кису ловить инжекты. А что такое инжекты и в чем их опасность, я описал. Блажен, кто верует. Нет, мой аутпост несомненно тоже можно обойти, есть методики. Я их не знаю, но они есть. Но эти методики на 2 порядока сложнее, чем инжект, практикуемый всеми подряд.

    стараюсь :)))

    п.с.: я бы советовал кав + сторонний фаервол, но не кис
     
  11. X2X

    X2X Активный участник

    Регистрация:
    20.12.08
    Сообщения:
    5.658
    Симпатии:
    265
    Адрес:
    Россия. Северо-Запад.
    Какой? Как он выглядит? Как он пахнет? Он сексуален?

    Добавлено спустя 2 минуты 41 секунду:

    Да, проверьте свой комп наконец-то. Проверьте тщательно, основательно.Как проверить? За пошаговой инструкцией к Msoft-у.
    P.S.А то у Вас, наверное, уже 3,5 года злодеи секретную инфу тырят, а Вы - ни сном, ни духом. Надеюсь, что эротические фото по электронке не пересылаете? А то могут быть неприятности...
     
  12. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    да проверить можно тем же каспером. Я ж говорю, он быстро обновляется и это его плюс. Если зараза и есть на компе, каспер через неделю ее увидит. Каспер плох тем, что реагирует только на зараженные компы. Предотвратить заражение он практически не может. Как я уже показал кодом - автозагрузка, выход в инет, все это вирусу доступно. Если вирус не заблокирует обновление каспера, через неделю он (вирус) умрет.

    Единственная претензия к касперу - он почти бесполезен против новых угроз. Именно поэтому я рекомендую кав (или нод) и сторонний фаервол. Нормальный фаервол не даст разгуляться с инжектами (чему каспер не способен противостоять), а кав/нод в течение недели найдут почти любую заразу.

    Правда, если заразу писали конкретно под ваш компьютер, то и кав, и нод бесполезны. Остаются только утилиты-антитрояны. В остальном же, коллега, вы правы - если не знать технологий ав, то и оценивать их невозможно. Это как утверждать про 144:0 :)
     
  13. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    MSoft на форуме кашперского и сибнете шказали что не разбираетесь как раз вы. Хорошо хоть земляным червяком не обозвали :-D
     
  14. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    ну слава богу, а то я уж испугался. А как они прокоментировали свою политику относительно открытия любого процесса на запись?
     
  15. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    MSoft ссылки кинул в ЛС, если хотите пообщаться, я в их и в ваших терминах и премудростях не разбираюсь [​IMG]
     
  16. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    за ответ спасибо, их позиция мне понятна, но я с ней не согласен (а я знаменит походу :)))
    если хотите мой ответ чуть более развернуто, могу отписать в личку. Что касается форума дяди жени, не вижу смысла там отписываться, ибо их код это не изменит, мою позицию тоже. А на сибнете вообще ничего не понял из ответа, кроме "танки рулят" :)

    Добавлено спустя 20 минут 8 секунд:

    п.с.: они (на форуме дяди жени) правы в одном - я не знаю технологий винлокеров. Но вот возможность внедрения в другие процессы меня не радует совершенно. Я не сомневаюсь, что это не последний рубеж обороны, но давать заразе ТАКИЕ возможности уже на старте я категорически не согласен.
     
  17. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    благодаря моей упрямости :-D
    Я бы хотел холиварчик, [​IMG] но не здесь, здесь специалистов нет, надо на форуме дяди Жени или на сибнете.
     
  18. MSoft

    MSoft Активный участник

    Регистрация:
    26.06.12
    Сообщения:
    9.102
    Симпатии:
    6.328
    Адрес:
    Украина
    за мной скоро выедут? :)

    а какой холиварчик? Они фактически признали, что инжект есть. Наши мнения расходятся только в том, насколько это опасно. Я считаю это очень опасным. У вируса не должно быть ни малейшего шанса даже в сеть выходить. У дяди жени другое мнение насчет риска. Поэтому при всем желании холивара не выйдет :)
     
  19. Phaeton

    Phaeton Модератор Команда форума

    Регистрация:
    31.05.07
    Сообщения:
    4.961
    Симпатии:
    57
    Адрес:
    Хабаровск
    ЩИТО? Хде? [​IMG]
     
  20. Andy

    Andy Новый участник

    Регистрация:
    20.02.09
    Сообщения:
    1.697
    Симпатии:
    2
    Адрес:
    Германия
    а почему ссылки в личку, я бы почитал с удовольствием, к примеру :think:
     

Поделиться этой страницей