Принципы работы антивирисуов

Модератор: aproxis

Ответить
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Принципы работы антивирисуов

Сообщение sadman »

Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

проверяет составной код программы по своей базе. если сумеешь качественно зашифровать его (код), чтобы при этом не пострадал меxанизм работы вируса , то ты свежий обладатель миллионов, дело осталось за находчивостью)

твою прогу мой файрволл явно словит) , xотя есть один метод обxода, файрволл в принципе не такая проблема как антивирь. как минимум я свой керио без проблем обошел при тестировании троянчика , на друге сработало , вытянул нужную инфу)

все зависет от построения твоей программки

[off]добавлено спустя 1 минуту:[/off]

а так , держи для просвешения
Аватара пользователя
joker_power
Продвинутый
Сообщения: 541
Зарегистрирован: Чт ноя 02, 2006 20:39
Откуда: MD, Chisinau
Контактная информация:

Сообщение joker_power »

sadman писал(а):Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
В антивирусы есть сигнатуры (базы). Сигнатуры содержат информации об вирусах и способов их лечения.
Кроме сигнатур, есть Эвристик - определяет по коду то что есть подозрительно...
и наконец (самый надежный) Поведенческий Блокиратор (а-ля Проактивная Защита), определяет не по коду как эвристик, а по поведению. Данный метод самый точный.
Минус данного метода это то что он нудный...

К примеру, Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0, имеют данный блокиратор. Тесты показали: 99,97 % из 100 % (неизвестные угрозы).
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись :shy:
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..

joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!

пасиб за ответы :)
Аватара пользователя
joker_power
Продвинутый
Сообщения: 541
Зарегистрирован: Чт ноя 02, 2006 20:39
Откуда: MD, Chisinau
Контактная информация:

Сообщение joker_power »

sadman писал(а):~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись :shy:
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..

joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!

пасиб за ответы :)
Так я и говорю, одно плохо, спрашивает все... Но что поделаешь, лучше положится на себя (что разрешил) чем доверять эвристику (он ведь не будет спрашивать). Да и более точный данный метод... :)

Сам сижу на КИС (правда на бетке - 7.0). Поставил настройки проактивки на максимум, и все... :) так нашел пару угроз... :P
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

joker_power,
ааа, ну насчёт спрашивать - это даааа... тупой досмотр всех пакетов, и предоставление юзеру права выбора ))
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

sadman,
тебе что имено от троя надо ?

[off]добавлено спустя 1 минуту:[/off]

как он слать будет ? при отправке боишься спалиться ? то что он в нет полезет ? мой через browser лез, а browser'у у меня стоит доступ куда угодно в НЕТ (элементарно)
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
нуу, не знаю на чём и как ты писал... я писал на winapi, а работа с инетом - wininet. Там создаёцо подключение (т.е. само моё приложение его создаёт), посылаюца/принимаюца данные.. Фсё таким макаром :)
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

так ты, батя, бэк дур хош)
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
ууу... как у мну фсё запусчено... ))) :gg:
расскажи на пальцах, ежели не влом )
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

блин а гугль на что ?)

ты скажи конкретно что ты от вируса хочешь
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
короче почитал я и про трояноф и про бэкдоры. мне, таки да, скорей всего нужен бэкдор. т.е. заселение на чужой тачке и периодическое копание в ней (вот я сука :gg: )
ты на чём писал своё творение?

[off]добавлено спустя 2 минуты:[/off]

[off]зы не подумайте шо я какой-то долбик малолетний, пытающийся самоутвердица. просто с одногруппником болтали.. так он не особо верит в то что я могу залезть в его такчку, так что антивирь ничё не скажет))[/off]
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

sadman,
частично он прав. проше ,кстати , найти готовый а не писать самому.
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
да нет, ну какой понт. я-ж говорю - мне не столько результат нужен, сколько наличие факта что это написал/напишу я сам :)
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

ну в принципе что на своиx что не на своиx , главное остается спрятать от антивируса и фаера. от антивируса можно спрятать криптом, то есть закодировать его. как и любой софт программа зашищена от взлома каким-либо арxиватором (.еxе), тебе надо сделать тоже самое только найти незнакомый антивирусу (или написать свой) арxиватор,и применить его на твоей програмке, таким образом антивирь взломать твой код не сможет, а следовательно и увидеть содержаюшиеся вредоносные компоненты. а фаер можно легче всего обойти через браузер

[off]добавлено спустя 2 минуты:[/off]

что касается бэкдура, будет сложнее. фаер будет мешать, опять же надо слиться с системными файлами , и делать запросы туда-обратно через те дыры , которые фаер пропускает.
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
так. ну меня щас заинтересовал (пока что) один вопрос - как установить коннект через браузер (через порт на котором он сидит)?
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

дык если я те все скажу , сам-то ты чаго сделаешь ? выxодит копируешь)

[off]добавлено спустя 55 секунд:[/off]

а такие направления можно и по сети поискать, я то любитель всего-лишь
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

~!?_@_Я_@_!)_()_}{~,
ну не надо мне ФСЁ говорить.. скажи только на чём писАл
Аватара пользователя
~!?_@_Я_@_!)_()_}{~
Отец
Сообщения: 3804
Зарегистрирован: Ср апр 13, 2005 00:16
Контактная информация:

Сообщение ~!?_@_Я_@_!)_()_}{~ »

а где я сказал что я писал?) я-то кокраз на чужом сидел)
Аватара пользователя
sadman
Завсегдатай
Сообщения: 2001
Зарегистрирован: Чт дек 15, 2005 23:46
Откуда: с ботаники
Контактная информация:

Сообщение sadman »

аа, ну нее, так ниинтересно. ладно, буду сам разбирацо. в любом случае - спасибо за помощь :)
Ответить

Вернуться в «Взлом и Защита»