- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Плох тот программист, который не может написать этакую гадость.
Если он этого не может, то как он собирается защищать себя.
Плох тот программист, который не может написать этакую гадость.
Если он этого не может, то как он собирается защищать себя.
imho нужно соблюдать элементарнейшие правила "гигиены" и все будет очень чисто и стерильно...
imho нужно соблюдать элементарнейшие правила "гигиены" и все будет очень чисто и стерильно...
К сожалению - не помогает.
Подхватил троя с помощью АллСубмиттера, видать в базе был сайт с эксплойтом. Стандартно настроенный Аутпост не запретил туннелирование ДНС запросов svchost.
Прочитал кучу всего по Аутпост, прежде, чем разобрался с безопасностью.
А вот этот вредный код и можно выловить. Он ведь не зашифрован.
Во-первых он зашифрован
Во-вторых он расшифровывается не всегда верно и однозначно, что обманывает эвристику
Ну и самое главное - если подключится в dll IE то никакой файр ничего не скажет, есть примеры - можете поискать на секулабе.
Во-первых он зашифрован
Во-вторых он расшифровывается не всегда верно и однозначно, что обманывает эвристику
Ну и самое главное - если подключится в dll IE то никакой файр ничего не скажет, есть примеры - можете поискать на секулабе.
Может, проясните, каким образом процессор понимает зашифрованные команды?
Перед выполнением любой, самый крутой и неоднозначный, шифр надо расшифровать, чтобы дать его на выполнение процессору. Причём расшифровать его надо именно однозначно. То есть в памяти наш друг будет практически всегда один и тот же.
А вот зашифрованным, да, он может быть по-разному (смена ключей или алгоритмов шифрования).
Но расшифровку должен выполнять код, который заведомо не зашифрован (он ведь выполняется). Хоть какой-то участок кода такого вируса должен быть незашифрованным, который запустится и вытащит остальное тело. По этому участку его и можно отловить.
UPD. Сначала не заметил, но об этом уже написали раньше:
NOD32, Antivir и макафи эпизодически накрывают сложные полиморфы на уровне криптора...
Может, проясните, каким образом процессор понимает зашифрованные команды?
Перед выполнением любой, самый крутой и неоднозначный, шифр надо расшифровать, чтобы дать его на выполнение процессору. Причём расшифровать его надо именно однозначно. То есть в памяти наш друг будет практически всегда один и тот же.
А вот зашифрованным, да, он может быть по-разному (смена ключей или алгоритмов шифрования).
Но расшифровку должен выполнять код, который заведомо не зашифрован (он ведь выполняется). Хоть какой-то участок кода такого вируса должен быть незашифрованным, который запустится и вытащит остальное тело. По этому участку его и можно отловить.
Команды - они самые обычные, которые процессор выполняет и он не могут быть.
Зашифровано тело вируса. Причем зашифровано так, что не всегда расшифровывается. А участок который его дешефрует может быть самым безобидным - например rar sfx
Что касается "друга в памяти" - он может быть разрознен и работать как несколько независимых процессов, отследить такое будет тяжело.
К сожалению - не помогает.
Подхватил троя с помощью АллСубмиттера, видать в базе был сайт с эксплойтом. Стандартно настроенный Аутпост не запретил туннелирование ДНС запросов svchost.
Прочитал кучу всего по Аутпост, прежде, чем разобрался с безопасностью.
Простите за сленг, но локал секурити на винде "сосет пол часа(tm)". Если почитаете соответствующие ресурсы, то там кокретно пишется, что после пробоя сплойтом происходит выкашивание антивирусного ПО... оно там перехватывает ring чего-то там, я не совсем в этом понимаю, в конкретных тонкостях винды т.е... в общем, оно прописывается на уровне антивирусного ПО и все дальнейшие действия совершаются в обход.
А пробой в нулевой ринг идет даже из под юзерского аккаунта?
Причем зашифровано так, что не всегда расшифровывается.
Тут, простите, не понял. Не расшифровывается кем? Как минимум сам вирус себя должен уметь расшифровать, иначе можно просто случайный код в себе нести. А если он это делать умеет, то это должно быть реализовано в блоке расшифровки, алгоритм можно руками вытащить и тоже расшифровать тело.
А участок который его дешефрует может быть самым безобидным - например rar sfx
Возможно, но не совсем безобидным, ведь ему надо не просто распаковать/дешифровать тело, но и перенести управление на начало распакованного участка в памяти, такого архиваторы не делают, и уже поэтому блок расшифровки не будет похож на "безобидный код".
На самом деле, всё равно сложно его определить, но уже по другой причине - такой код по сравнению с телом вируса может быть очень мал, и внести в него изменения (чтобы не совпадали сигнатуры) намного проще, чем изменять код самого вируса. Так, можно выпустить дюжину версий с немного отличающимся кодом дешифратора, и для каждого надо составить сигнатуру.
Что касается "друга в памяти" - он может быть разрознен и работать как несколько независимых процессов, отследить такое будет тяжело.
Открытый код вируса - это уже половина победы, неважно сколько частей.
Никто ведь не обещал, что будет легко. :)
Тема началась про сайты, а перешла в область безопасности ОС и вредоносных программ. :)
То есть в памяти наш друг будет практически всегда один и тот же.
Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)