- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Тут, простите, не понял. Не расшифровывается кем? Как минимум сам вирус себя должен уметь расшифровать, иначе можно просто случайный код в себе нести. А если он это делать умеет, то это должно быть реализовано в блоке расшифровки, алгоритм можно руками вытащить и тоже расшифровать тело.
Возможно, но не совсем безобидным, ведь ему надо не просто распаковать/дешифровать тело, но и перенести управление на начало распакованного участка в памяти, такого архиваторы не делают, и уже поэтому блок расшифровки не будет похож на "безобидный код".
На самом деле, всё равно сложно его определить, но уже по другой причине - такой код по сравнению с телом вируса может быть очень мал, и внести в него изменения (чтобы не совпадали сигнатуры) намного проще, чем изменять код самого вируса. Так, можно выпустить дюжину версий с немного отличающимся кодом дешифратора, и для каждого надо составить сигнатуру.
Открытый код вируса - это уже половина победы, неважно сколько частей.
Никто ведь не обещал, что будет легко. :)
Тема началась про сайты, а перешла в область безопасности ОС и вредоносных программ. :)
По поводу работы вирусов, которые не определяются эвристиком было уже написано до меня. Приведу простой пример - есть некоторый запакованный файл.
При распаковке получается код который выводит на экран "привет мир", но если распаковка произойдет допустим в 12-00, то в результате получится вредный код. Эвристик не сможет предугадать время.
А сайты ломаются потому что крадут пароли пользователей с помощью троянов написанных под windows 🤣
Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)
Ну эвристик может пару раз прогнать дешифровку в сандбоксе, только не факт что у него выйдет определить, если допустим для расшифровки кода вируса надо чтоб был открыт какой-то сайт в IE.
Ибо дешифровка идет не по примитивному if/then а хеш URL открытого сайта является ключем к верной дешифровке опасного кода, если он неверно расшифрован и ческумм провален - то оно и не выполняется. Хеш эвристик не подберет.
Ну и что с того? Вы думаете, что антивирь в бэкграунд режиме постоянно сканирует память? Причем от и до, независимо от загруженных процессов и прав? Он, как правило сканирует тольк процесс загрузки в память. А процесс расшифровки происходит уже в памяти :)
Он запарится это делать, хотя не знаю, может и есть такие.
Например, дрвеб сканирует память при запуске, перед началом проверки.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Это тоже уже не раз написал. :)
Например, дрвеб сканирует память при запуске,
Насколько я знаю, все они просматривают память при запуске, а также при ручных прогонах. Но это же не постоянное сканирование.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Дешефующий блок берется от rar sfx, а о том как берется пароль я писал выше.
А пробой в нулевой ринг идет даже из под юзерского аккаунта?
Как угодно оно там идет... все дело в нужной компоновке сплойтов. В данный момент ситуацию не мониторю, т.к. xp уже своё отжила.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Отловить можно когда знаешь что отлавливаешь, а когда не знаешь... все наслышаны о гадости под названием пинч? так вот этот пинч по сей день гуляет и ничего его не ловит... каждый раз разной гадостью криптуют и делов то...
Отловить можно когда знаешь что отлавливаешь, а когда не знаешь... все наслышаны о гадости под названием пинч? так вот этот пинч по сей день гуляет и ничего его не ловит...
Если честно, от Вас слышу в первый раз:) Под линуксом работаю, в вин практически нет.
каждый раз разной гадостью криптуют и делов то...
Так это, выходит, разные версии вируса. Лучше бы что-то хорошее делали с их головой-то...
О пинче пробежался по инету (интересно стало, как это нельзя изловить), пару ссылок собрал.
Видимо, утверждение о безнаказанности верно, пока вирус не попадёт в руки антивирусников (о чём я и говорю).
Кто находит, кто нет: http://www.anti-malware.ru/phpbb/viewtopic.php?t=1287
Что пишут на касперском (проблема-таки серьёзная): http://forum.kaspersky.com/lofiversion/index.php/t29671.html
Последние вирусы, добавленные в базу касперского (пинчи есть, за 22-23.02 - 3 штуки):
http://www.kaspersky.ru/viruswatchlite?page=1
http://www.kaspersky.ru/viruswatchlite?page=2
Вы скажете, что если сделать новый вирус (по-другому зашифровать), то его никто не найдёт - я с Вами соглашусь. :)
Это вечная борьба брони и снаряда.
Хорошо, что под *nix ещё не пишут вирусов. :)
Хорошо, что под *nix ещё не пишут вирусов. :)
Руткиты хорошие пишут... а почему бы и нет? модули к ядру, ядра... впаривают разчличный софт с троянами в коде. Апач-ики хорошие в пакаджах как-то были, php с mysql оч послушные... etc...
Помнится червячок был под "chunk" сплойт для апач-а - оч кошерная гадость.
PS. Не надо вешать этот нимб на лялексом, а то бдительность усыпляется.
Вы скажете, что если сделать новый вирус (по-другому зашифровать), то его никто не найдёт - я с Вами соглашусь. :)
а я не соглашусь, т.к. качество антивирусного ПО достаточно отстойное... если пионеры пинча из одного и того же билда каждый раз перешифровывают, то почему бы антивирусным конторам не разобраться как это работает и не контролировать доступ каждый раз к одни и тем же ресурсам... интересный момент на самом деле, т.к. отлавливать процесс, который снифит клаву/формы и т.д. imho проще чем сигнатурный анализ... в любом случае конкретная версия шла бы лесом и даже не особо вдаваясь в методику криптовки...