Страница 1 из 1

Принципы работы антивирисуов

Добавлено: Чт май 10, 2007 12:19
sadman
Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))

Добавлено: Чт май 10, 2007 14:40
~!?_@_Я_@_!)_()_}{~
проверяет составной код программы по своей базе. если сумеешь качественно зашифровать его (код), чтобы при этом не пострадал меxанизм работы вируса , то ты свежий обладатель миллионов, дело осталось за находчивостью)

твою прогу мой файрволл явно словит) , xотя есть один метод обxода, файрволл в принципе не такая проблема как антивирь. как минимум я свой керио без проблем обошел при тестировании троянчика , на друге сработало , вытянул нужную инфу)

все зависет от построения твоей программки

[off]добавлено спустя 1 минуту:[/off]

а так , держи для просвешения

Добавлено: Чт май 10, 2007 17:19
joker_power
sadman писал(а):Народ, вобщем вопрос заключается в следующем - как антивирусы (анти-спайуэр, и т.п.) определяют что то или иное приложение является трояном?
Допустим есть прога, которая "собирает" в стрингу дерево директорий и шлёт мне. Как программы-защиты смогут определить (если, естессно, смогут) что тут что-то не то. Ведь это может быть обычная утилита для обмена какими-то данными, которую юзает сам пользователь ))
В антивирусы есть сигнатуры (базы). Сигнатуры содержат информации об вирусах и способов их лечения.
Кроме сигнатур, есть Эвристик - определяет по коду то что есть подозрительно...
и наконец (самый надежный) Поведенческий Блокиратор (а-ля Проактивная Защита), определяет не по коду как эвристик, а по поведению. Данный метод самый точный.
Минус данного метода это то что он нудный...

К примеру, Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0, имеют данный блокиратор. Тесты показали: 99,97 % из 100 % (неизвестные угрозы).

Добавлено: Чт май 10, 2007 19:31
sadman
~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись :shy:
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..

joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!

пасиб за ответы :)

Добавлено: Чт май 10, 2007 19:53
joker_power
sadman писал(а):~!?_@_Я_@_!)_()_}{~,
хм, ну мне-то как раз казалось что файер гораздо бОльшая проблема нежели антивирь.. када я писал мега-примитивноао трояна, меня даже файервол винды спрашивал пускать его в инет или нет! а вот насчёт антивиря - ну, хз, по коду, говоришь, определяет.. хых, шо-ж он, ассемблер изучает??
ну а насчёт обхода файрвола - что можно почитать, поделись :shy:
хотя, мне кажеца что обход файера - это исскуство, не так-то просто, как мне кажеца, его обойти..

joker_power,
нуу, по поведению определить - фигня, имхо... ну собирает какую-то инфу на тачке, ну шлёт куда-то пакеты.. блин, ну а может это что-то типо осла (emule)!

пасиб за ответы :)
Так я и говорю, одно плохо, спрашивает все... Но что поделаешь, лучше положится на себя (что разрешил) чем доверять эвристику (он ведь не будет спрашивать). Да и более точный данный метод... :)

Сам сижу на КИС (правда на бетке - 7.0). Поставил настройки проактивки на максимум, и все... :) так нашел пару угроз... :P

Добавлено: Чт май 10, 2007 20:13
sadman
joker_power,
ааа, ну насчёт спрашивать - это даааа... тупой досмотр всех пакетов, и предоставление юзеру права выбора ))

Добавлено: Чт май 10, 2007 20:39
~!?_@_Я_@_!)_()_}{~
sadman,
тебе что имено от троя надо ?

[off]добавлено спустя 1 минуту:[/off]

как он слать будет ? при отправке боишься спалиться ? то что он в нет полезет ? мой через browser лез, а browser'у у меня стоит доступ куда угодно в НЕТ (элементарно)

Добавлено: Чт май 10, 2007 20:50
sadman
~!?_@_Я_@_!)_()_}{~,
нуу, не знаю на чём и как ты писал... я писал на winapi, а работа с инетом - wininet. Там создаёцо подключение (т.е. само моё приложение его создаёт), посылаюца/принимаюца данные.. Фсё таким макаром :)

Добавлено: Чт май 10, 2007 20:54
~!?_@_Я_@_!)_()_}{~
так ты, батя, бэк дур хош)

Добавлено: Чт май 10, 2007 21:33
sadman
~!?_@_Я_@_!)_()_}{~,
ууу... как у мну фсё запусчено... ))) :gg:
расскажи на пальцах, ежели не влом )

Добавлено: Чт май 10, 2007 23:26
~!?_@_Я_@_!)_()_}{~
блин а гугль на что ?)

ты скажи конкретно что ты от вируса хочешь

Добавлено: Чт май 10, 2007 23:31
sadman
~!?_@_Я_@_!)_()_}{~,
короче почитал я и про трояноф и про бэкдоры. мне, таки да, скорей всего нужен бэкдор. т.е. заселение на чужой тачке и периодическое копание в ней (вот я сука :gg: )
ты на чём писал своё творение?

[off]добавлено спустя 2 минуты:[/off]

[off]зы не подумайте шо я какой-то долбик малолетний, пытающийся самоутвердица. просто с одногруппником болтали.. так он не особо верит в то что я могу залезть в его такчку, так что антивирь ничё не скажет))[/off]

Добавлено: Чт май 10, 2007 23:49
~!?_@_Я_@_!)_()_}{~
sadman,
частично он прав. проше ,кстати , найти готовый а не писать самому.

Добавлено: Пт май 11, 2007 07:17
sadman
~!?_@_Я_@_!)_()_}{~,
да нет, ну какой понт. я-ж говорю - мне не столько результат нужен, сколько наличие факта что это написал/напишу я сам :)

Добавлено: Пт май 11, 2007 14:17
~!?_@_Я_@_!)_()_}{~
ну в принципе что на своиx что не на своиx , главное остается спрятать от антивируса и фаера. от антивируса можно спрятать криптом, то есть закодировать его. как и любой софт программа зашищена от взлома каким-либо арxиватором (.еxе), тебе надо сделать тоже самое только найти незнакомый антивирусу (или написать свой) арxиватор,и применить его на твоей програмке, таким образом антивирь взломать твой код не сможет, а следовательно и увидеть содержаюшиеся вредоносные компоненты. а фаер можно легче всего обойти через браузер

[off]добавлено спустя 2 минуты:[/off]

что касается бэкдура, будет сложнее. фаер будет мешать, опять же надо слиться с системными файлами , и делать запросы туда-обратно через те дыры , которые фаер пропускает.

Добавлено: Пт май 11, 2007 14:25
sadman
~!?_@_Я_@_!)_()_}{~,
так. ну меня щас заинтересовал (пока что) один вопрос - как установить коннект через браузер (через порт на котором он сидит)?

Добавлено: Пт май 11, 2007 14:37
~!?_@_Я_@_!)_()_}{~
дык если я те все скажу , сам-то ты чаго сделаешь ? выxодит копируешь)

[off]добавлено спустя 55 секунд:[/off]

а такие направления можно и по сети поискать, я то любитель всего-лишь

Добавлено: Пт май 11, 2007 15:02
sadman
~!?_@_Я_@_!)_()_}{~,
ну не надо мне ФСЁ говорить.. скажи только на чём писАл

Добавлено: Пт май 11, 2007 15:49
~!?_@_Я_@_!)_()_}{~
а где я сказал что я писал?) я-то кокраз на чужом сидел)

Добавлено: Пт май 11, 2007 20:06
sadman
аа, ну нее, так ниинтересно. ладно, буду сам разбирацо. в любом случае - спасибо за помощь :)