Антивирус

Phaeton

Активный участник
Сообщения
4.982
Адрес
Владивосток
X2X написал(а):
1. ???? У меня доктор вэб один лишь диск «С» 10-12 часов сканирует. А у Вас весь комп - 3 часа… Не знаю что и думать.
2.И Вы ему верите? О женщины, как вы наивны…
У меня Каспер тоже раньше 10-12 часов сканировал. Сейчас 40 минут, благодаря SSD. Да и его работа (Каспера) в системе незаметна вообще - он теперь при всем желании не может загрузить своей работой.

Добавлено спустя 13 минут 24 секунды:

MSoft написал(а):
они не любят критику :) Им еще в 2007 примерно писали, мол, какого винни пуха инжекты даже не ловит. До сих пор исправляют.
А пруф есть? Или это так, ваши фантазии?
Вот реально через два года будет 10 лет пользования касперским. Имел опыт пользования другими антивирями (не на своем компе) - пропускают, хоть и редко (зависит от антивиря). Мимо Касперского ни один вирус не проходил, ни один баннер, ни разу не блокировался компьютер с просьбой отправить смс. А с переходом на каспер 2013 я уже уверен что никто не украдет пароль и как заметила Marinel, в финансовых операциях тоже спокоен. В каспер уже встроен UAC поэтому даже из XP можно построить крепость, - было бы желание его настроить.
Конечно, тут не все зависит лишь от одного антивируса, мозги надо тоже иметь, но все таки в данном вопросе зря касперского опустили. Даже по многим тестам он на вершине пальмы первенства, не стоит забывать об этом.

P. S. вирус вчера не проверял, сегодня попробую
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
А пруф есть? Или это так, ваши фантазии?
*сарказм вкл* конечно есть. Я храню всю переписку на форуме дяди жени с момента основания его компании *сарказм выкл*
Ваше право верить мне или нет. Я дал вам код, который делает инжект в винлогон. Если для вас это ничего не значит, ну что ж, киса отличный ав :)))

Мимо Касперского ни один вирус не проходил, ни один баннер, ни разу не блокировался компьютер с просьбой отправить смс
вместо презервативов использую аскорбинки - еще ни разу вич не подхватил. В больницах не проверялся, да и с бабами не того, но вич нет. Значит презервативы не нужны, аскорбинки вполне себе справляются :) Вот примерно так звучат слова про касперского и вирусы )))
 

Phaeton

Активный участник
Сообщения
4.982
Адрес
Владивосток
MSoft я правильно понимаю, код в блокнот запихнуть и сохранить с расширением exe? Какие симпотомы если че?
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
MSoft я правильно понимаю, код в блокнот запихнуть и сохранить с расширением exe?
:) нет, код открыть в visual studio и скомпилировать, на выходе получить *.exe файл. Ввиду наличия подозрительных функций в импорте, кис ругнется на файл. Поэтому, перед тем, как скормить файл кисе, exe надо накрыть упаковщиком. Поищи на форумах програмку под названием "криптор". Подойдет любой криптор, который не видит касперский.
Потом запускаешь свой ехе.

Какие симпотомы если че?
Если все прошло успешно и в винлогон записан код, ты увидишь сообщение Bingo. Иначе - сообщение Crap

П.С.: чтобы не вызвать ошибку в винлогоне, записываемый в него код содержит только nop (инструкция, которая ничего не делает) и ret 4 в конце (чтобы завершить удаленный поток без ошибок)
 

marinel

Активный участник
Сообщения
26.489
Адрес
Санкт-Петербург
Phaeton написал(а):
А с переходом на каспер 2013 я уже уверен что никто не украдет пароль и как заметила Marinel, в финансовых операциях тоже спокоен.
Для меня немаловажную роль сыграло, что в этой нише у нас есть свои производители с отличными программами. Поэтому выбираю свое т.е. наше. :flag:
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Phaeton написал(а):
MSoft скиньте мне на почту, если вас не затруднит :-D
вот ссылка на файл, прошу никому его не отправлять
http://www.sendspace.com/file/ywq2lp

пароль к архиву сейчас скину в лс. Напоминаю, перед использованием файл нужно накрыть каким-нибудь упаковщиком или криптором. Т.е. чтобы при сканировании самого файла он не был обнаружен (нужно просто спрятать импорт; это можно сделать и без криптора, но, увы, это уже полноценный вирус с моей стороны получится, поэтому извиняйте). После запуска вы убедитесь, что проактивная защита касперского не реагирует на эти вредоносные действия. А вот большинство других ав или фаерволов - среагируют.
 

Phaeton

Активный участник
Сообщения
4.982
Адрес
Владивосток
Хехе, в долгих поисках был этих крипторов, одни трояны в архивах, вот что надыбал на одном хакерском форуме -
ну а вообще поищи в гугле различные паблик-крипторы или тут иногда выкладывают forum.xakep.ru, только они на следующий день уже будут палиться всем чем только можно, т.к. дибилоиды начинающие хацкеры будут заливать на ВТ и смотреть: а правда он не палится? о! здорово! А на следующий день: криптор ваш гавно, всем палится!!! Если хочешь нормальный криптор, то либо сам пиши, либо покупай. Желательно полиморфный, но стоят они обычно от 200$. И ещё, все крипторы, которые я встречал, были на англ.
То есть вы заранее дали мне невыполнимую задачу, то что в архиве расстреливается на месте. Сразу.

Добавлено спустя 5 минут 35 секунд:

Думаю я все таки был прав
MSoft написал(а):
вместо презервативов использую аскорбинки - еще ни разу вич не подхватил.
Ну ВИЧ заметишь тогда, когда начнешь загинаться от какой-нибудь простуды - просто и легко. В компьютерном смысле тоже самое. Но вот незадача - болезней нет. Аккаунты в социальных сетях не взламывают, реклама не выскакивает, подозрительных процессов, непонятных файлов и т. п. нет.

Добавлено спустя 9 минут 35 секунд:

Рейтинг антивирусов на Сибнете 4735 голосов: http://forum.sibnet.ru/index.php?showtopic=3972&st=1360
40.63% доверяют кисе :-D , т. е. большинство

Добавлено спустя 24 минуты 3 секунды:

MSoft написал(а):
Если все прошло успешно и в винлогон записан код, ты увидишь сообщение Bingo. Иначе - сообщение Crap
Прописывание в винлогон еще ничего не значит
остальная часть кода не наносит никакого вреда, поэтому фишка у вас и проходит.
Для разнообразия проверьте реальное вредоносное, ну или тот же самый код, только предварительно настроив Контроль программ в кисе, как написано тут. только не удивляйтесь если помрут пара прог, использующие левые способы прописки в системе. :-D

P. S. вопрос на засыпку: сколько антивирусников отреагируют на просто соданный бат файл брошенный на рабочий с командой "удалить папку видоус и отфармотироваать диск С" :-D
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
То есть вы заранее дали мне невыполнимую задачу, то что в архиве расстреливается на месте. Сразу.
вы не правы. Вам не нужен криптор, который не палится вообще ни одним из ав. Достаточно найти такой, который не палится кисой, не более того. А то, что в архиве - я уже сказал, почему палится. В импорте есть 4-5 характерных функций, по ним и палит. Можно сделать не статический импорт, а поиск апи из экспорта, но это усложняет код и не несет никакого смысла. Задача была в том, чтобы проверить, как киса реагирует на файлы, не определяемые сигнатурно. Все вирусы, которые попадают в сети, защищены крипторами. Ни один не выходит в голом виде. Соответственно, на момент "атаки" на ваш компьютер киса не сможет назвать файл вредоносным и позволит его запустить. А уже после запуска он ничего не увидит.

40.63% доверяют кисе , т. е. большинство
да хай доверяють, я что, против? :) Вот только технологии инжекта были известны еще во времена легендарного 29А (журнал такой вирусный). Не уметь ловить запись в чужой процесс - моветон.

Прописывание в винлогон еще ничего не значит
попадание 152мм снаряда в коленку солдата еще ничего не значит... Не не, не так. Вот так: появление группы спецназа гру в штабе управления ядерными силами сша еще ничего не значит... Да как же это ничего не значит? :))) А как будет определяться вредоносность другого кода? Думаете, там нейросети? :)

Позвольте провести краткий экскурс в технологии антивирусов. Изначально, чтобы ловить вирусы, придумали сигнатурное сканирование. Сигнатура - последовательность байт, которую можно встретить только в вирусе и больше ни в какой программе. Вирусы стали полиморфными и сигнатур в них больше не осталось. Появился эвристический метод анализа - антивирус смотрел на размеры файла, функции в импорте, строки в данных, наличие циклов в коде, напоминающих расшифровщики (именно таким способом касперский палит мой файл). Вирусы стали подделывать эти признаки - убирать подозрительные функции из импорта, маскировать циклы неявными переходами, добавлять ложные циклы и т.д. Эвристика отвалилась. На свет появился поведенческий анализ (проактивная защита): антивирус позволял запускать приложения, но внедрял в каждое из них свой компонент. Этот компонент отслеживал подозрительные действия, которые были пропущены эвристикой. Нормальный ав не позволит одному приложению запустить другое, не позволит открыть чужой процесс на запись, не позволит создать сервис или загрузить драйвер, не позволит выйти в интернет, не позволит прописаться в автозагрузку.

И вот почему все эти действия опасны. Представьте вирус, который пропустила эвристика. Т.е. вирус запустился. Ему надо выйти в интернет. Но антивирус блокирует доступ незнакомым приложениям в интернет или к реестру. Онлайн, реестр, запуск чужих приложений доступны только доверенным программам. Что делать вирусу? Правильно, вирус открывает на запись винлогон, копирует себя в него и от его имени из его адресного пространства делает запись в реестр, отключая WindowsFileProtection. Делает инжект в эксплорер и от его имени запускает любое нужное себе приложение. Делает инжект в иэксплорер, оперу и выходит в интернет. Антивирус не скажет ни слова, т.к. все эти действия делают уже РАЗРЕШЕННЫЕ пользователем программы. Именно поэтому важно запрещать вирусам запись в чужие процессы, тем более системные. Но киса этого не делает. А ведь это не уязвимость, это технология 2000х! Я не знаю более знаковой и распространенной и классической технлогии, чем инжект. А кисе пофиг.

Для разнообразия проверьте реальное вредоносное, ну или тот же самый код, только предварительно настроив Контроль программ в кисе, как написано тут. только не удивляйтесь если помрут пара прог, использующие левые способы прописки в системе.
вот только вирусы - это не только винлокеры. Это всякие зевсы, андромеды, кликеры и прочая грязь, которая может воровать данные. Кстати, инжект в оперу может привести к перехвату введенных данных. Успехов кисе в защите от перехвата уже после инжекта :)

P. S. вопрос на засыпку: сколько антивирусников отреагируют на просто соданный бат файл брошенный на рабочий с командой "удалить папку видоус и отфармотироваать диск С"
на сам бат, возможно, мало. А вот создание и запуск бата должны отслеживать все, иначе это говно, а не антивирусы
 

Rand0m

Активный участник

Phaeton

Активный участник
Сообщения
4.982
Адрес
Владивосток
Если все так просто, то почему нет тысяч разоблачительных тем на форуме касперского? Я не нашел ни одной. Видимо разоблачать нечего. MSoft или боитесь что там грамотные люди есть, которые и ответить могут? :wow:
 

MSoft

Активный участник
Сообщения
9.102
Адрес
Украина
Если все так просто, то почему нет тысяч разоблачительных тем на форуме касперского?
темы от кого? От домохозяек? Те, кто разбирается в инжектах, каспером не пользуются. А остальным пофиг на такие мелочи.

Видимо разоблачать нечего
а что разоблачать-то? я вам код дал. Код рабочий. Киса его игнорирует. Что еще от меня требуется?

MSoft или боитесь что там грамотные люди есть, которые и ответить могут?
безумно боюсь. Сижу и трясусь весь. Я хочу у вас спросить - от меня что требуется? Код есть, файл есть. Вам дать полноценный вирус, накрытый непалевным криптором? :) Извините, таким не обладаю.

Ну хотите, можете подключиться ко мне по тимвьюверу - покажу подключенную и обновленную кису, покажу файл в отладчике, запущу при вас. Покажу, что все хендлы открываются. От меня что еще нужно? А по поводу причин, почему нет миллионов разоблачающих тем - это не ко мне, это к гадалке. Я со своей стороны предоставил все, что мог.
 

Supremum

Активный участник
Сообщения
28.369
Адрес
Липецк
Phaeton написал(а):
Знакомые программисты у меня пользуются
"Программист" это очень общее понятие, он может вообще не разбираться ни в антивирусах, ни в безопасности вообще. Если он действительно пишет программы, то и не должен.

З.ы у нас в канторе персоналки на каспере, сервера на Trend Micro.
 

marinel

Активный участник
Сообщения
26.489
Адрес
Санкт-Петербург
Phaeton написал(а):
Для разнообразия проверьте реальное вредоносное,
В Последнем номере Computer Bild прошла такая проверка. Каспер в лидерах. :flag: :flag: :flag: . Единственное что мне в нем не нравится так это его создатель. Вместо того, чтобы ассоциировать себя с РФ, он заявляет себя как "человек мира". ИМХО в корне неверно ибо образование он получил здесь.

Добавлено спустя 3 минуты 42 секунды:

MSoft написал(а):
Кстати, инжект в оперу может привести к перехвату введенных данных.
Кстати Каспер запускает защищенный браузер для фин операций по всем ведущим банкам. Так что нехай перехватывают. :-D . В целом, что вы хотите доказать? Что Каспер плох? Ответ - нет не плох, хорошая защита за смешные деньги.

Добавлено спустя 1 минуту 36 секунд:

MSoft написал(а):
темы от кого? От домохозяек? Те, кто разбирается в инжектах, каспером не пользуются.
На virusinfo каспер помечен как рекомендованый. Или там то де ничего не соображают? :-D
 

X2X

Активный участник
Сообщения
5.658
Адрес
Россия. Северо-Запад.
marinel написал(а):
Что Каспер плох?
Нет. Что позиционируется как самый лучший и надёжный(супер-пупер). И многие этому верят. И рано или поздно страдают от этого.

Добавлено спустя 7 минут 53 секунды:

Rand0m написал(а):
Не одновременно, конечно, скажем иметь один постоянный, каспер или нод, но периодически проверяться свободной утилиткой скажем от дрвеб

Тогда уж лучше как я: раз в месяц вырубать(сносить его с компа) свой постоянный антивир, и врубать другой(полноценный). Проверив комп, вырубить(сносить) проверочный и врубить снова свой основной. Проверочный антивир найдёт у Вас в компе кучу «интересного», о существовании коего, Вы и не подозревали. Штук 4-8 троянов – точно найдёт.
Попробуйте. Долгая канитель всё это, но, результат стоит заморочек.

Добавлено спустя 2 минуты 3 секунды:

marinel написал(а):
Каспер... ...хорошая защита за смешные деньги.
За смешные деньги не смешной результат?! Что-то сомнения бьют…

Добавлено спустя 3 минуты 38 секунд:

marinel написал(а):
1.На virusinfo каспер помечен как рекомендованый.
2.Или там то де ничего не соображают? :-D

1.И??
2.Бох их знает… Мы у них в мозгах не рылись. Знаю одно: Даже боги Олимпа ошибаются, что уж говорить о смертных…
 
Сверху