Очередное: а что если реализовать некий вариант apparmor/syslimits, то есть создать базу "возможностей/потребностей" ПО (не только сетевых для Gate, а по прочим ресурсам: CPU/Память/Кэш/Дисковое пространство) и осуществлять оценку отклонений от типовых параметров, а в случае превышения суммарного рейтинга блокировать/выдавать предупреждение? Часть эксплоитов сразу отвалится. Раз уж MS попробовали сдёрнуть с *nix менеджеры пакетов/репозитории/магазины приложений, то стоит быть последовательными.
А можно ли?
#41
Отправлено 21 Август 2014 - 11:04
But a thing of beauty, I know, will never fade away...
#42
Отправлено 28 Август 2014 - 10:58
В связи с возникшей недавно ситуацией, когда два практически идентичных экземпляра BAT.Encoder-а (текстовый файл cmd) считались сканером абсолютно разными (что выражалось в обнаружении одного экземпляра и полном игнорировании второго), возникает следующий вопрос: возможно ли в будущем применение при сканировании/мониторинге механизма нечётких контрольных сумм (fuzzy hashing)? Поясню, к примеру утилита ssdeep, использующая подобный алгоритм по хэшу от одного экземпляра совершенно спокойно идентифицирует и второй (совпадение 97%, как пороговое значение можно использовать, к примеру, 80%).
But a thing of beauty, I know, will never fade away...
#43
Отправлено 28 Август 2014 - 17:53
В связи с возникшей недавно ситуацией, когда два практически идентичных экземпляра BAT.Encoder-а (текстовый файл cmd) считались сканером абсолютно разными (что выражалось в обнаружении одного экземпляра и полном игнорировании второго), возникает следующий вопрос: возможно ли в будущем применение при сканировании/мониторинге механизма нечётких контрольных сумм (fuzzy hashing)? Поясню, к примеру утилита ssdeep, использующая подобный алгоритм по хэшу от одного экземпляра совершенно спокойно идентифицирует и второй (совпадение 97%, как пороговое значение можно использовать, к примеру, 80%).
Сюда бы Евгения Васильева, он бы ответил по делу.
#44
Отправлено 28 Август 2014 - 22:03
#45
Отправлено 28 Август 2014 - 22:12
На текстах - сильно зависит от размера файла (я так думаю).На PE может и работает, а на тексте совсем не работает, наблюдал живой пример. Размер всего лишь 108кб, ssdeep без премудростей с ним справляется, различия всего в трёх строках, объём различий менее 256 байт.
But a thing of beauty, I know, will never fade away...
#46
Отправлено 28 Август 2014 - 22:28
Опять же с позиций общей интеллигентности и по старой памяти: раньше было много ложняков именно на текстах. Вероятно, поэтому требуется полное совпадение.На PE может и работает, а на тексте совсем не работает, наблюдал живой пример. Размер всего лишь 108кб, ssdeep без премудростей с ним справляется, различия всего в трёх строках, объём различий менее 256 байт.На текстах - сильно зависит от размера файла (я так думаю).
#47
Отправлено 28 Август 2014 - 22:45
Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.
But a thing of beauty, I know, will never fade away...
#48
Отправлено 31 Август 2014 - 18:57
Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.
А вообще, такое легко можно спросить в трекере. Оформите FR (Future Request), если не добавят фичу, то скажут почему.
bugs.drweb.com
#49
Отправлено 31 Август 2014 - 21:09
Я думаю, что математика с тех пор несколько продвинулась вперёд. Во всяком случае упомянутая методика успешно используется для обнаружения утечек информации. Вспомнилось по поводу чётких PE: некоторые методы обфускации вытворяют такое, что то что получается и PE-то сложно назвать.
А вообще, такое легко можно спросить в трекере. Оформите FR (Future Request), если не добавят фичу, то скажут почему.
Ага. Скажут. Причем ооочень подробно.
#50
Отправлено 31 Август 2014 - 21:52
RomaNNN, спасибо за подсказку.
SergSG, скажут куда мне пойти?
But a thing of beauty, I know, will never fade away...
#51
Отправлено 01 Сентябрь 2014 - 09:47
RomaNNN, добавил в трекер (99109,99106). Посмотрим, что ответят.
But a thing of beauty, I know, will never fade away...
#52
Отправлено 01 Сентябрь 2014 - 18:31
И это правильно.
А до получения ответов предлагаю объявить радиомолчание в теме. Или временно ее прикрыть.
#53
Отправлено 02 Октябрь 2014 - 10:26
А можно ли сформировать версию CureIt для Linux? (хотя бы как сделано у TeamViewer со встроенным Wine)
But a thing of beauty, I know, will never fade away...
#54
Отправлено 02 Октябрь 2014 - 17:40
usverg, а собственно продукт Др. Веб с отдельной базой вирусов/троянов и т.д. под Linux есть? Хотя это бред, явно вирусы под Линукс есть в базах антивирусов, даже если на Винде их никак не запустить. А так всякие Linux.BackDoor.BOrifice.123 можно встретить или Trojan.Nazgul в TAR-архиве.
Сообщение было изменено Victor_koly: 02 Октябрь 2014 - 17:41
#55
Отправлено 03 Октябрь 2014 - 07:46
usverg, а собственно продукт Др. Веб с отдельной базой вирусов/троянов и т.д. под Linux есть? Хотя это бред, явно вирусы под Линукс есть в базах антивирусов, даже если на Винде их никак не запустить. А так всякие Linux.BackDoor.BOrifice.123 можно встретить или Trojan.Nazgul в TAR-архиве.
С отдельной нет, а версия есть (и, кстати, вполне адекватная). Да и вири в базах есть (есть же версия для почтовиков и пр.). А вот CureIt (по принципу скачал-запустил-забыл) - нет.
But a thing of beauty, I know, will never fade away...
#56
Отправлено 14 Октябрь 2014 - 08:45
А можно ли штатными средствами DrWeb (не LiveDisk-а, а именно установленного в системе) или CureIt организовать сканирование во время загрузки системы (до GUI, но после загрузки драйверов дисков - на манер chkdsk)? Для ясности приведу пример (столкнулся буквально вчера).
Итак, исходные данные: на рабочей станции установлена Windows XP со всеми обновлениями и старый Avast (5ка), система начала жутко оттормаживать. Товарищи закупили доп. лицензию Dr.Web и попросили поставить (потому как считали, что тормозит именно Avast). Для начала выяснилось, что Avast был полностью заблокирован руткитом (отключен и не удаляется штатными средствами). CureIt обнаружил 1582 заражённых файла (из них явно активных штук 5, остальные в System Volume Information), но вылечить смог только 1550. Далее следовала работа с HiJack+AVZ+tcpview+procmon+avastcleaner и CureIt повторно, которую я описывать не буду. В итоге CureIt показал, что система чиста. И вот тут началось самое интересное: ради интереса поставил свежий Avast, который при первом полном сканировании нашёл один новый заражённый файл, после чего предложил сделать сканирование при загрузке... во время которого нашёл 4 файла из обнаруженных (но не вылеченных) CureIt в первый раз (что интересно при повторном сканировании CureIt их не видел). Во время всех вышеописанных процедур сеть была отключена. Сейчас всё нормально функционирует с нормальной скоростью, подозрительной активности нет. Подозреваю работу руткита, супротив которого и была бы полезна функция сканирования при загрузке.
But a thing of beauty, I know, will never fade away...
#57
Отправлено 14 Октябрь 2014 - 09:16
А можно ли штатными средствами DrWeb (не LiveDisk-а, а именно установленного в системе) или CureIt организовать сканирование во время загрузки системы (до GUI, но после загрузки драйверов дисков - на манер chkdsk)? Для ясности приведу пример (столкнулся буквально вчера).
Собственно, установленный Dr.Web имеет желаемые механизмы. Однако порядком загрузки рулит система, и ждать, пока антивирус будет полностью загружен, она не собирается.
#58
Отправлено 14 Октябрь 2014 - 09:25
ждать, пока антивирус будет полностью загружен, она не собираетсяА добровольно-принудительно?
But a thing of beauty, I know, will never fade away...
#60
Отправлено 14 Октябрь 2014 - 11:44
Чревато синим экраном.У конкурентов получилось, и , как выяснилось, оправданно.
But a thing of beauty, I know, will never fade away...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых