- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Тут, простите, не понял. Не расшифровывается кем? Как минимум сам вирус себя должен уметь расшифровать, иначе можно просто случайный код в себе нести. А если он это делать умеет, то это должно быть реализовано в блоке расшифровки, алгоритм можно руками вытащить и тоже расшифровать тело.
Возможно, но не совсем безобидным, ведь ему надо не просто распаковать/дешифровать тело, но и перенести управление на начало распакованного участка в памяти, такого архиваторы не делают, и уже поэтому блок расшифровки не будет похож на "безобидный код".
На самом деле, всё равно сложно его определить, но уже по другой причине - такой код по сравнению с телом вируса может быть очень мал, и внести в него изменения (чтобы не совпадали сигнатуры) намного проще, чем изменять код самого вируса. Так, можно выпустить дюжину версий с немного отличающимся кодом дешифратора, и для каждого надо составить сигнатуру.
Открытый код вируса - это уже половина победы, неважно сколько частей.
Никто ведь не обещал, что будет легко. :)
Тема началась про сайты, а перешла в область безопасности ОС и вредоносных программ. :)
По поводу работы вирусов, которые не определяются эвристиком было уже написано до меня. Приведу простой пример - есть некоторый запакованный файл.
При распаковке получается код который выводит на экран "привет мир", но если распаковка произойдет допустим в 12-00, то в результате получится вредный код. Эвристик не сможет предугадать время.
А сайты ломаются потому что крадут пароли пользователей с помощью троянов написанных под windows 🤣
Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)
Ну эвристик может пару раз прогнать дешифровку в сандбоксе, только не факт что у него выйдет определить, если допустим для расшифровки кода вируса надо чтоб был открыт какой-то сайт в IE.
Ибо дешифровка идет не по примитивному if/then а хеш URL открытого сайта является ключем к верной дешифровке опасного кода, если он неверно расшифрован и ческумм провален - то оно и не выполняется. Хеш эвристик не подберет.
Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)
Он запарится это делать, хотя не знаю, может и есть такие.
Например, дрвеб сканирует память при запуске, перед началом проверки.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Это тоже уже не раз написал. :)
Например, дрвеб сканирует память при запуске,
Насколько я знаю, все они просматривают память при запуске, а также при ручных прогонах. Но это же не постоянное сканирование.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Дешефующий блок берется от rar sfx, а о том как берется пароль я писал выше.
А пробой в нулевой ринг идет даже из под юзерского аккаунта?
Как угодно оно там идет... все дело в нужной компоновке сплойтов. В данный момент ситуацию не мониторю, т.к. xp уже своё отжила.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Отловить можно когда знаешь что отлавливаешь, а когда не знаешь... все наслышаны о гадости под названием пинч? так вот этот пинч по сей день гуляет и ничего его не ловит... каждый раз разной гадостью криптуют и делов то...
Отловить можно когда знаешь что отлавливаешь, а когда не знаешь... все наслышаны о гадости под названием пинч? так вот этот пинч по сей день гуляет и ничего его не ловит...
Если честно, от Вас слышу в первый раз:) Под линуксом работаю, в вин практически нет.
каждый раз разной гадостью криптуют и делов то...
Так это, выходит, разные версии вируса. Лучше бы что-то хорошее делали с их головой-то...
О пинче пробежался по инету (интересно стало, как это нельзя изловить), пару ссылок собрал.
Видимо, утверждение о безнаказанности верно, пока вирус не попадёт в руки антивирусников (о чём я и говорю).
Кто находит, кто нет: http://www.anti-malware.ru/phpbb/viewtopic.php?t=1287
Что пишут на касперском (проблема-таки серьёзная): http://forum.kaspersky.com/lofiversion/index.php/t29671.html
Последние вирусы, добавленные в базу касперского (пинчи есть, за 22-23.02 - 3 штуки):
http://www.kaspersky.ru/viruswatchlite?page=1
http://www.kaspersky.ru/viruswatchlite?page=2
Вы скажете, что если сделать новый вирус (по-другому зашифровать), то его никто не найдёт - я с Вами соглашусь. :)
Это вечная борьба брони и снаряда.
Хорошо, что под *nix ещё не пишут вирусов. :)
Хорошо, что под *nix ещё не пишут вирусов. :)
Руткиты хорошие пишут... а почему бы и нет? модули к ядру, ядра... впаривают разчличный софт с троянами в коде. Апач-ики хорошие в пакаджах как-то были, php с mysql оч послушные... etc...
Помнится червячок был под "chunk" сплойт для апач-а - оч кошерная гадость.
PS. Не надо вешать этот нимб на лялексом, а то бдительность усыпляется.
Вы скажете, что если сделать новый вирус (по-другому зашифровать), то его никто не найдёт - я с Вами соглашусь. :)
а я не соглашусь, т.к. качество антивирусного ПО достаточно отстойное... если пионеры пинча из одного и того же билда каждый раз перешифровывают, то почему бы антивирусным конторам не разобраться как это работает и не контролировать доступ каждый раз к одни и тем же ресурсам... интересный момент на самом деле, т.к. отлавливать процесс, который снифит клаву/формы и т.д. imho проще чем сигнатурный анализ... в любом случае конкретная версия шла бы лесом и даже не особо вдаваясь в методику криптовки...