Здравствуйте, DOOM, Вы писали:
DOO>А ведь ставил, по-моему, мне минус, когда я написал в одной ветке,
Не, по-моему, не ставил. Я просто из вредности чуть поспорил на эту тему. Хотя мог и поставить, хз
DOO>что антивирусы давно стали бесполезными...
"А картина не бесполезная! Она дырку на обоях загораживает...". Это я про прохождение всяких заморских аудитов типа SOX.
DOO>Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю...
Ну у меня может стаж и не такой длинный, зато широкий до безобразия Если ты про стаж, конечно
Здравствуйте, x64, Вы писали:
I>>- Во внешней (реальной )ОС банишь файрволлом всякий сетевой трафик, исключение — процесс виртуальной машины.
x64>Ежели б всё было так просто...
В таком случае, назови успешные прецеденты атак, проведённых на уровнях ниже транспортного (т.е. на физическом, канальном и сетевом). Или приведи пример, когда указанная мной блокировка не спасает.
Здравствуйте, subdmitry, Вы писали:
S>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
S>Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
Сопоставляя эти факты легко понять, что заражается комп на котором сидит отец. Поскольку он качает только док файлы, можно сделать вывод, что он не является IT специалистом. Поэтому есть вероятность, что по незнанию лазит куда не следует и нажимает Yes там где совсем не нужно. Вобщем я бы рассматривал эту версию как основную, неопытный пользователь за компом самая легкая добыча для любой сетевой атаки.
Здравствуйте, Ziaw, Вы писали:
Z>Поэтому есть вероятность, что по незнанию лазит куда не следует и нажимает Yes там где совсем не нужно.
Не, я уже разобрался. Моя ошибка была в том, что я с доверием относился к продукции наших хакеров, а оказалось, что среди ее производителей очень много поганцев. Совет всем — все, что скачиваете от них (софт, краки, демки), обязательно проверяйте на virustotal.com.
And if you listen very hard the alg will come to you at last.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>"А картина не бесполезная! Она дырку на обоях загораживает...". Это я про прохождение всяких заморских аудитов типа SOX.
И не только... У нас тоже есть требования (в СТР-К том же).
DOO>>Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю... KV>Ну у меня может стаж и не такой длинный, зато широкий до безобразия
KV>Если ты про стаж, конечно
Ну дык. Типа тонкий юмор
Здравствуйте, subdmitry, Вы писали:
S>Здравствуйте, subdmitry, Вы писали:
S>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
Здравствуйте, coba, Вы писали:
S>>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
C>авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
БЛИН! А ведь и правда, она находит вирусы даже в демках типа 4k, то есть в таких, куда еле можно саму демку загнать, уж какого там троянца. На вирустотал треть антивирусов выдает алерты типа "подозрительно", "какой-то странный пакер". Сама же авира часть таких демок обзывает троянцами со натуральными троянистыми именами. Все это, увы, говорит об одном — авторы авиры не утруждают себя серьезным изучением приходящих к ним файлов и действуют по принципу "Ах, непонятный пакер? Троянец. Дадим ему имя, посчитаем хэш и в базу его!" Вот так вот и возникают десятки троянцев на машине у человека, качающего хакерские файлы. Извиняюсь перед хакерами — не такие уж они и плохие. Незачет авире.
Однако же, у меня Cure It! нашел при последнем сканировании 3 троянца на быстром сканировании, то есть, насколько я понимаю, при обзоре только того, что запускается на машине при старте. Так что все-таки эта зараза откуда-то лезет. Только, по-видимому, по сообщениям антивирусов понять что там есть что несколько сложно.
Вопрос к народу на засыпку — какие антивирусы в природе могут грамотно селектировать хакерские программы на мухи и котлеты? Желательно, думаю, или с поддержкой большого количества хакерских пакеров, или с эмулятором распаковки, умеющим вытаскивать код из-под любых распаковщиков.
Насчет ручной идентификации встроившейся в автозагрузку заразы. Узнал на sysinternals про существование т.н. rootkit'ов — программ, скрывающих свое существование в системе. В частности, возможно, что в registry списке загружаемых программ они не будут видны. Там есть утиль RootKitRevealer, который может их искать методом сравнения того, что читается в registry и на диске средствами API и на более низком уровне (при прямом чтении). В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
Значит не совсем честно сказано. Есть такие руткиты
Здравствуйте, subdmitry, Вы писали:
S>Здравствуйте, coba, Вы писали:
S>>>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
C>>авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
S>БЛИН! А ведь и правда, она находит вирусы даже в демках типа 4k, то есть в таких, куда еле можно саму демку загнать, уж какого там троянца. На вирустотал треть антивирусов выдает алерты типа "подозрительно", "какой-то странный пакер". Сама же авира часть таких демок обзывает троянцами со натуральными троянистыми именами. Все это, увы, говорит об одном — авторы авиры не утруждают себя серьезным изучением приходящих к ним файлов и действуют по принципу "Ах, непонятный пакер? Троянец. Дадим ему имя, посчитаем хэш и в базу его!" Вот так вот и возникают десятки троянцев на машине у человека, качающего хакерские файлы. Извиняюсь перед хакерами — не такие уж они и плохие. Незачет авире.
у авиры не такие уж и большие базы, вирусы она ищет за счет эвристики, потому так много ложных срабатываний на демках — ведь демка на 4к содержит очень много всяческих извращений по сжатию каторые используют и современные вирусы...
S>Насчет ручной идентификации встроившейся в автозагрузку заразы. Узнал на sysinternals про существование т.н. rootkit'ов — программ, скрывающих свое существование в системе. В частности, возможно, что в registry списке загружаемых программ они не будут видны. Там есть утиль RootKitRevealer, который может их искать методом сравнения того, что читается в registry и на диске средствами API и на более низком уровне (при прямом чтении). В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
если хочеш боротся с руткитами тогда искать тут http://www.antirootkit.com/blog/ , там представленны почти все антируткит программы)
Здравствуйте, coba, Вы писали:
C>у авиры не такие уж и большие базы, вирусы она ищет за счет эвристики, потому так много ложных срабатываний на демках — ведь демка на 4к содержит очень много всяческих извращений по сжатию каторые используют и современные вирусы...
Мнэ. Вообще-то по ее выдаче в некоторых случаях можно догадаться, что сработала эвристика (вообще можно было бы и явно говорить "файл подозрителен на трояна", а не "это троян"). Это когда вылазят имена вроде TR/Crypt.Gen. Но иногда она выдает имена с циферками типа TR/Blabla.12345.G на явно добропорядочных демках, что наводит на подозрения, что в нее просто очень много забито всяких подозрительных хакерских файлов. Ну оно и понятно, более-менее аккуратный реверсинг программы требует большого времени, вот авировцы и халтурят.
Причем похоже что на Западе такая халтура в норме вещей. У меня Нортон Антивирус тоже выдал кучу явно ложных срабатываний, в частности на один распаковщик PE EXE продиагностировал, что он hacktool, и отправил все это в карантин (такой режим был установлен по дефолту), откуда не оказалось нормального восстановления в исходное состояние. Я много ругался.
Вопрос о существовании нормальных антивирусов, которые бы находили более-менее много угроз всех типов, имели и режим сканера, и режим guard, не грузили систему как Касперский и нормально реагировали на хакерские файлы, остается открытым.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>Вопрос о существовании нормальных антивирусов, которые бы находили более-менее много угроз всех типов, имели и режим сканера, и режим guard, не грузили систему как Касперский и нормально реагировали на хакерские файлы, остается открытым.
Их нет. Используй HIPS.
subdmitry пишет:
> Причем похоже что на Западе такая халтура в норме вещей. У меня Нортон > Антивирус тоже выдал кучу явно ложных срабатываний, в частности на один > распаковщик PE EXE продиагностировал, что он hacktool, и отправил все > это в карантин (такой режим был установлен по дефолту), откуда не > оказалось нормального восстановления в исходное состояние. Я много ругался.
Я как-то начал искать добра от добра и поставил триал Касперского вместо
долго жившего на машине бесплатного Аваста. Касперский сильно раздражал
бесконечными вопросами про: "Ааа! Тут firefox в интернет полез,
разрешить?" И после того как он без предупреждения снес Webmoney Keeper
(видно, посчитал страшным трояном), я снес самого Касперского и вернулся
к Авасту. Не жалею.
Здравствуйте, subdmitry, Вы писали:
S>Мнэ. Вообще-то по ее выдаче в некоторых случаях можно догадаться, что сработала эвристика (вообще можно было бы и явно говорить "файл подозрителен на трояна", а не "это троян"). Это когда вылазят имена вроде TR/Crypt.Gen. Но иногда она выдает имена с циферками типа TR/Blabla.12345.G на явно добропорядочных демках, что наводит на подозрения, что в нее просто очень много забито всяких подозрительных хакерских файлов. Ну оно и понятно, более-менее аккуратный реверсинг программы требует большого времени, вот авировцы и халтурят.
во первых любую прогу ревярсят люди и смотрят на сколько она вредоносна, потом в случае вреданоса обрабатывают прогой для делания сигнатур у проги для делания сигнатур есть база исключений(чтобы сигнатурный код не был из какойнить стандартной либы или не совпадал с доверенной программой) — все! им приходит ежедневно тысячи файлов и все нужно быстро отсортировать и проанализировать! с другой стороны очень много программ запакованных, распаковка нового пакера(или модифицированного старого) это дело трудоемкое и специалистов каторые моглибы делать это быстро во много раз меньше чем просто тех кто умеет анализировать(конечно они для себя пишут готовые утилиты по распаковке но всеравно этого не хватит)! поэтому мелкие фирмы не утруждают себя распаковкой а просто добавляют пакер в вирусы! в этом есть логика — легальный софт пакуют легальными пакерами для каторых у них есть распаковщики! если вы хотите чтобы файлы действительно проверялись на вирусы вам придется юзать Касперского (бо реально только он один все распаковывает) старается лечить вирусы, а не удалять, насколько я знаю, только DrWeb(он здал в наши дни(что печально )
нету 100% антивируса, нужно чтото выбирать сравнивая все сильные и слабые стороны!
I>В таком случае, назови успешные прецеденты атак, проведённых на уровнях ниже транспортного (т.е. на физическом, канальном и сетевом). Или приведи пример, когда указанная мной блокировка не спасает.
Спасти-то спасёт, но проблема в удобстве использования такой схемы. Если я запрещу всем приложениям сетевой трафик (кроме виртуальной машины), тогда у меня не будут работать, как минимум, icq и jabber. И что ты предлагаешь мне сидеть в жаббере из-под виртуалки? Бредятина же.
Здравствуйте, x64, Вы писали:
x64>Спасти-то спасёт, но проблема в удобстве использования такой схемы. Если я запрещу всем приложениям сетевой трафик (кроме виртуальной машины), тогда у меня не будут работать, как минимум, icq и jabber. И что ты предлагаешь мне сидеть в жаббере из-под виртуалки? Бредятина же.
