Сообщение Re[11]: А вы готовы к запрету динамического нативного кода ? от 14.02.2017 16:14
Изменено 14.02.2017 16:16 IID
Re[11]: А вы готовы к запрету динамического нативного кода ?
Здравствуйте, C0x, Вы писали:
C0x>Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
C0x>научится закрепляться в системе на таком же уровне.
Ничего секретного в "антивирусном закреплении" нет. Не надо ничего дебажить. Это драйвер. И бороться драйверу с драйвером бесполезно — силы/возможности равны. На каждое действие находится противодействие.
Вирусу надо уметь прорвать первую линию обороны (даже без антивируса она есть у самой ОС), а дальше закрепиться и стать незаметным. Ни одну из этих задач антивирус не решает, и подсматривать в нём нечего. Задача антивируса — задетектить малварь: блокируем опасное действие в момент совершения, анализируем его (а также предшествующие и связанные с ним, кто кого и когда запускал, откуда появился файл и т.д.), а дальше или разрешаем продолжить или обламываем.
C0x>При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.
C0x>А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.
Да нет никаких "дыр которые использут антивирусы"!
Есть два режима привилегий. Обычные процессы (т.н. "юзермод") и ядро. Вот и всё. Попадая на уровень ядра вирус способен бороться с антивирусом. На пользовательском режиме он ничего антивирусу противопоставить не может, т.к. борьба не на равных.
Раньше каждый второй троян таскал с собой драйвер для подобных целей. Убивать антивирусные файлы, скрывать собственные файлы, процессы и сетевые соединения и т.д. Появление подписей и PatchGuard по ядерным "вирусам" тоже ударило и не слабо. Но все их не вымыло. Подобная техника просто стала малопопулярной. Вместо того чтобы задавить антивирус и делать что душе вздумается стали меньше подозрительных действий совершать, вплоть до бестелесной заразы (без файлов на диске). А также отказываться от исполняемого кода.
Т.е. малварь из агрессивно-нативной стала мимикрировать и становиться незаметной.
C0x>Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
C0x>научится закрепляться в системе на таком же уровне.
Ничего секретного в "антивирусном закреплении" нет. Не надо ничего дебажить. Это драйвер. И бороться драйверу с драйвером бесполезно — силы/возможности равны. На каждое действие находится противодействие.
Вирусу надо уметь прорвать первую линию обороны (даже без антивируса она есть у самой ОС), а дальше закрепиться и стать незаметным. Ни одну из этих задач антивирус не решает, и подсматривать в нём нечего. Задача антивируса — задетектить малварь: блокируем опасное действие в момент совершения, анализируем его (а также предшествующие и связанные с ним, кто кого и когда запускал, откуда появился файл и т.д.), а дальше или разрешаем продолжить или обламываем.
C0x>При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.
C0x>А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.
Да нет никаких "дыр которые использут антивирусы"!
Есть два режима привилегий. Обычные процессы (т.н. "юзермод") и ядро. Вот и всё. Попадая на уровень ядра вирус способен бороться с антивирусом. На пользовательском режиме он ничего антивирусу противопоставить не может, т.к. борьба не на равных.
Раньше каждый второй троян таскал с собой драйвер для подобных целей. Убивать антивирусные файлы, скрывать собственные файлы, процессы и сетевые соединения и т.д. Появление подписей и PatchGuard по ядерным "вирусам" тоже ударило и не слабо. Но все их не вымыло. Подобная техника просто стала малопопулярной. Вместо того чтобы задавить антивирус и делать что душе вздумается стали меньше подозрительных действий совершать, вплоть до бестелесной заразы (без файлов на диске). А также отказываться от исполняемого кода.
Т.е. малварь из агрессивно-нативной стала мимикрировать и становиться незаметной.
Re[11]: А вы готовы к запрету динамического нативного кода ?
Здравствуйте, C0x, Вы писали:
C0x>Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
C0x>научится закрепляться в системе на таком же уровне.
Ничего секретного в "антивирусном закреплении" нет. Не надо ничего дебажить. Это драйвер. И бороться драйверу с драйвером бесполезно — силы/возможности равны. На каждое действие находится противодействие.
Вирусу надо уметь прорвать первую линию обороны (даже без антивируса она есть у самой ОС), а дальше закрепиться и стать незаметным. Ни одну из этих задач антивирус не решает, и подсматривать в нём нечего. Задача антивируса — задетектить малварь: блокируем опасное действие в момент совершения, анализируем его (а также предшествующие и связанные с ним, кто кого и когда запускал, откуда появился файл и т.д.), а дальше или разрешаем продолжить или обламываем.
C0x>При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.
C0x>А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.
Да нет никаких "дыр которые использут антивирусы"!
Есть два режима привилегий. Обычные процессы (т.н. "юзермод") и ядро. Вот и всё. Попадая на уровень ядра вирус способен бороться с антивирусом. На пользовательском режиме он ничего антивирусу противопоставить не может, т.к. борьба не на равных.
Раньше каждый второй троян таскал с собой драйвер для подобных целей. Убивать антивирусные файлы, скрывать собственные файлы, процессы и сетевые соединения и т.д. Появление подписей и PatchGuard по ядерным "вирусам" тоже ударило и не слабо. Но все их не вымыло. Подобная техника просто стала малопопулярной. Вместо того чтобы задавить антивирус и делать что душе вздумается стали меньше подозрительных действий совершать, вплоть до бестелесной заразы (без файлов на диске). А также отказываться от исполняемого (нативного) кода.
Т.е. малварь из агрессивно-нативной стала мимикрировать и становиться незаметной.
C0x>Но если предположить что скажем 50% (с потолка взял цифру) систем не защищены, то вирусописатель в целях обучения, возьмет отладчик (или более простые мониторы системы), продебажит антивирус,
C0x>научится закрепляться в системе на таком же уровне.
Ничего секретного в "антивирусном закреплении" нет. Не надо ничего дебажить. Это драйвер. И бороться драйверу с драйвером бесполезно — силы/возможности равны. На каждое действие находится противодействие.
Вирусу надо уметь прорвать первую линию обороны (даже без антивируса она есть у самой ОС), а дальше закрепиться и стать незаметным. Ни одну из этих задач антивирус не решает, и подсматривать в нём нечего. Задача антивируса — задетектить малварь: блокируем опасное действие в момент совершения, анализируем его (а также предшествующие и связанные с ним, кто кого и когда запускал, откуда появился файл и т.д.), а дальше или разрешаем продолжить или обламываем.
C0x>При этом ему не нужно даже искать дыры в самой системе. После такой инсталляции Антивирус уже с ним ничего не сможет сделать.
C0x>А учитывая что на рынке несколько десятков антивирусов, разного качества, то смею предположить что так оно и было на самом деле в реальности.
Да нет никаких "дыр которые использут антивирусы"!
Есть два режима привилегий. Обычные процессы (т.н. "юзермод") и ядро. Вот и всё. Попадая на уровень ядра вирус способен бороться с антивирусом. На пользовательском режиме он ничего антивирусу противопоставить не может, т.к. борьба не на равных.
Раньше каждый второй троян таскал с собой драйвер для подобных целей. Убивать антивирусные файлы, скрывать собственные файлы, процессы и сетевые соединения и т.д. Появление подписей и PatchGuard по ядерным "вирусам" тоже ударило и не слабо. Но все их не вымыло. Подобная техника просто стала малопопулярной. Вместо того чтобы задавить антивирус и делать что душе вздумается стали меньше подозрительных действий совершать, вплоть до бестелесной заразы (без файлов на диске). А также отказываться от исполняемого (нативного) кода.
Т.е. малварь из агрессивно-нативной стала мимикрировать и становиться незаметной.