86 ответов в этой теме

[usverg]

Очередное: а что если реализовать некий вариант apparmor/syslimits, то есть создать базу "возможностей/потребностей" ПО (не только сетевых для Gate, а по прочим ресурсам: CPU/Память/Кэш/Дисковое пространство) и осуществлять оценку отклонений от типовых параметров, а в случае превышения суммарного рейтинга блокировать/выдавать предупреждение? Часть эксплоитов сразу отвалится. Раз уж MS попробовали сдёрнуть с *nix менеджеры пакетов/репозитории/магазины приложений, то стоит быть последовательными.

[usverg]

В связи с возникшей недавно ситуацией, когда два практически идентичных экземпляра BAT.Encoder-а (текстовый файл cmd) считались сканером абсолютно разными (что выражалось в обнаружении одного экземпляра и полном игнорировании второго), возникает следующий вопрос: возможно ли в будущем применение при сканировании/мониторинге механизма нечётких контрольных сумм (fuzzy hashing)? Поясню, к примеру утилита ssdeep, использующая подобный алгоритм по хэшу от одного экземпляра совершенно спокойно идентифицирует и второй (совпадение 97%, как пороговое значение можно использовать, к примеру, 80%).

[RomaNNN]

В связи с возникшей недавно ситуацией, когда два практически идентичных экземпляра BAT.Encoder-а (текстовый файл cmd) считались сканером абсолютно разными (что выражалось в обнаружении одного экземпляра и полном игнорировании второго), возникает следующий вопрос: возможно ли в будущем применение при сканировании/мониторинге механизма нечётких контрольных сумм (fuzzy hashing)? Поясню, к примеру утилита ssdeep, использующая подобный алгоритм по хэшу от одного экземпляра совершенно спокойно идентифицирует и второй (совпадение 97%, как пороговое значение можно использовать, к примеру, 80%).

 

Сюда бы Евгения Васильева, он бы ответил по делу.

[pig]

Я с позиций общей интеллигентности могу сказать, что сигнатурный детект примерно так нечётко и работает - одна запись может определять до тысячи модификаций. На чётких структурах (aka PE EXE) хорошо работает. На текстах - сильно зависит от размера файла (я так думаю).

[usverg]

На текстах - сильно зависит от размера файла (я так думаю).

На PE может и работает, а на тексте совсем не работает, наблюдал живой пример. Размер всего лишь 108кб, ssdeep без премудростей с ним справляется, различия всего в трёх строках, объём различий менее 256 байт.

[pig]

На текстах - сильно зависит от размера файла (я так думаю).

На PE может и работает, а на тексте совсем не работает, наблюдал живой пример. Размер всего лишь 108кб, ssdeep без премудростей с ним справляется, различия всего в трёх строках, объём различий менее 256 байт.

Опять же с позиций общей интеллигентности и по старой памяти: раньше было много ложняков именно на текстах. Вероятно, поэтому требуется полное совпадение.

[usverg]

Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.

[RomaNNN]

Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.

 

А вообще, такое легко можно спросить в трекере. Оформите FR (Future Request), если не добавят фичу, то скажут почему.

 

bugs.drweb.com

[SergSG]

 

Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.

 

А вообще, такое легко можно спросить в трекере. Оформите FR (Future Request), если не добавят фичу, то скажут почему.

Ага. Скажут. Причем ооочень подробно.    

[usverg]

RomaNNN, спасибо за подсказку.

SergSG, скажут куда мне пойти?

[usverg]

RomaNNN, добавил в трекер (99109,99106). Посмотрим, что ответят. 

[SergSG]

И это правильно.

А до получения ответов предлагаю объявить радиомолчание в теме. Или временно ее прикрыть.

[usverg]

А можно ли сформировать версию CureIt для Linux? (хотя бы как сделано у TeamViewer со встроенным Wine)

[Victor_koly]

usverg, а собственно продукт Др. Веб с отдельной базой вирусов/троянов и т.д. под Linux есть? Хотя это бред, явно вирусы под Линукс есть в базах антивирусов, даже если на Винде их никак не запустить. А так всякие Linux.BackDoor.BOrifice.123 можно встретить или Trojan.Nazgul в TAR-архиве.

Сообщение было изменено Victor_koly: 02 Октябрь 2014 - 17:41

[usverg]

usverg, а собственно продукт Др. Веб с отдельной базой вирусов/троянов и т.д. под Linux есть? Хотя это бред, явно вирусы под Линукс есть в базах антивирусов, даже если на Винде их никак не запустить. А так всякие Linux.BackDoor.BOrifice.123 можно встретить или Trojan.Nazgul в TAR-архиве.

С отдельной нет, а версия есть (и, кстати, вполне адекватная). Да и вири в базах есть (есть же версия для почтовиков и пр.). А вот CureIt (по принципу скачал-запустил-забыл) - нет.

[usverg]

А можно ли штатными средствами DrWeb (не LiveDisk-а, а именно установленного в системе) или CureIt организовать сканирование во время загрузки системы (до GUI, но после загрузки драйверов дисков - на манер chkdsk)? Для ясности приведу пример (столкнулся буквально вчера).

Итак, исходные данные: на рабочей станции установлена Windows XP со всеми обновлениями и старый Avast (5ка), система начала жутко оттормаживать. Товарищи закупили доп. лицензию Dr.Web и попросили поставить (потому как считали, что тормозит именно Avast). Для начала выяснилось, что Avast был полностью заблокирован руткитом (отключен и не удаляется штатными средствами). CureIt обнаружил 1582 заражённых файла (из них явно активных штук 5, остальные в System Volume Information), но вылечить смог только 1550. Далее следовала работа с HiJack+AVZ+tcpview+procmon+avastcleaner и CureIt повторно, которую я описывать не буду. В итоге CureIt показал, что система чиста. И вот тут началось самое интересное: ради интереса поставил свежий Avast, который при первом полном сканировании нашёл один новый заражённый файл, после чего предложил сделать сканирование при загрузке... во время которого нашёл 4 файла из обнаруженных (но не вылеченных) CureIt в первый раз (что интересно при повторном сканировании CureIt их не видел). Во время всех вышеописанных процедур сеть была отключена. Сейчас всё нормально функционирует с нормальной скоростью, подозрительной активности нет. Подозреваю работу руткита, супротив которого и была бы полезна функция сканирования при загрузке.

[maxic]

А можно ли штатными средствами DrWeb (не LiveDisk-а, а именно установленного в системе) или CureIt организовать сканирование во время загрузки системы (до GUI, но после загрузки драйверов дисков - на манер chkdsk)? Для ясности приведу пример (столкнулся буквально вчера).

Собственно, установленный Dr.Web имеет желаемые механизмы. Однако порядком загрузки рулит система, и ждать, пока антивирус будет полностью загружен, она не собирается.

[usverg]

ждать, пока антивирус будет полностью загружен, она не собирается

А добровольно-принудительно?

[pig]

ждать, пока антивирус будет полностью загружен, она не собирается

А добровольно-принудительно?

Чревато синим экраном.

[usverg]

Чревато синим экраном.

У конкурентов получилось, и , как выяснилось, оправданно.