Принципы работы антивирисуов
Модератор: aproxis
- sadman
- Завсегдатай
- Сообщения: 2001
- Зарегистрирован: Чт дек 15, 2005 23:46
- Откуда: с ботаники
- Контактная информация:
Принципы работы антивирисуов
Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
проверяет составной код программы по своей базе. если сумеешь качественно зашифровать его (код), чтобы при этом не пострадал меxанизм работы вируса , то ты свежий обладатель миллионов, дело осталось за находчивостью)
твою прогу мой файрволл явно словит) , xотя есть один метод обxода, файрволл в принципе не такая проблема как антивирь. как минимум я свой керио без проблем обошел при тестировании троянчика , на друге сработало , вытянул нужную инфу)
все зависет от построения твоей программки
[off]добавлено спустя 1 минуту:[/off]
а так , держи для просвешения
твою прогу мой файрволл явно словит) , xотя есть один метод обxода, файрволл в принципе не такая проблема как антивирь. как минимум я свой керио без проблем обошел при тестировании троянчика , на друге сработало , вытянул нужную инфу)
все зависет от построения твоей программки
[off]добавлено спустя 1 минуту:[/off]
а так , держи для просвешения
- joker_power
- Продвинутый
- Сообщения: 541
- Зарегистрирован: Чт ноя 02, 2006 20:39
- Откуда: MD, Chisinau
- Контактная информация:
В антивирусы есть сигнатуры (базы). Сигнатуры содержат информации об вирусах и способов их лечения.sadman писал(а):Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
Кроме сигнатур, есть Эвристик - определяет по коду то что есть подозрительно...
и наконец (самый надежный) Поведенческий Блокиратор (а-ля Проактивная Защита), определяет не по коду как эвристик, а по поведению. Данный метод самый точный.
Минус данного метода это то что он нудный...
К примеру, Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0, имеют данный блокиратор. Тесты показали: 99,97 % из 100 % (неизвестные угрозы).
- sadman
- Завсегдатай
- Сообщения: 2001
- Зарегистрирован: Чт дек 15, 2005 23:46
- Откуда: с ботаники
- Контактная информация:
~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..
joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!
пасиб за ответы
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..
joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!
пасиб за ответы
- joker_power
- Продвинутый
- Сообщения: 541
- Зарегистрирован: Чт ноя 02, 2006 20:39
- Откуда: MD, Chisinau
- Контактная информация:
Так я и говорю, одно плохо, спрашивает все... Но что поделаешь, лучше положится на себя (что разрешил) чем доверять эвристику (он ведь не будет спрашивать). Да и более точный данный метод...sadman писал(а):~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..
joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!
пасиб за ответы
Сам сижу на КИС (правда на бетке - 7.0). Поставил настройки проактивки на максимум, и все... так нашел пару угроз...
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
- sadman
- Завсегдатай
- Сообщения: 2001
- Зарегистрирован: Чт дек 15, 2005 23:46
- Откуда: с ботаники
- Контактная информация:
~!?_@_Я_@_!)_()_}{~,
короче почитал я и про трояноф и про бэкдоры. мне, таки да, скорей всего нужен бэкдор. т.е. заселение на чужой тачке и периодическое копание в ней (вот я сука )
ты на чём писал своё творение?
[off]добавлено спустя 2 минуты:[/off]
[off]зы не подумайте шо я какой-то долбик малолетний, пытающийся самоутвердица. просто с одногруппником болтали.. так он не особо верит в то что я могу залезть в его такчку, так что антивирь ничё не скажет))[/off]
короче почитал я и про трояноф и про бэкдоры. мне, таки да, скорей всего нужен бэкдор. т.е. заселение на чужой тачке и периодическое копание в ней (вот я сука )
ты на чём писал своё творение?
[off]добавлено спустя 2 минуты:[/off]
[off]зы не подумайте шо я какой-то долбик малолетний, пытающийся самоутвердица. просто с одногруппником болтали.. так он не особо верит в то что я могу залезть в его такчку, так что антивирь ничё не скажет))[/off]
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
ну в принципе что на своиx что не на своиx , главное остается спрятать от антивируса и фаера. от антивируса можно спрятать криптом, то есть закодировать его. как и любой софт программа зашищена от взлома каким-либо арxиватором (.еxе), тебе надо сделать тоже самое только найти незнакомый антивирусу (или написать свой) арxиватор,и применить его на твоей програмке, таким образом антивирь взломать твой код не сможет, а следовательно и увидеть содержаюшиеся вредоносные компоненты. а фаер можно легче всего обойти через браузер
[off]добавлено спустя 2 минуты:[/off]
что касается бэкдура, будет сложнее. фаер будет мешать, опять же надо слиться с системными файлами , и делать запросы туда-обратно через те дыры , которые фаер пропускает.
[off]добавлено спустя 2 минуты:[/off]
что касается бэкдура, будет сложнее. фаер будет мешать, опять же надо слиться с системными файлами , и делать запросы туда-обратно через те дыры , которые фаер пропускает.
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация:
- ~!?_@_Я_@_!)_()_}{~
- Отец
- Сообщения: 3804
- Зарегистрирован: Ср апр 13, 2005 00:16
- Контактная информация: