15 ответов в этой теме

[Banzai]

Часто приходят компутеры зараженные винлоками. При этом установлен drweb лицензионный с обновлениями.
Выцарапав файлик (обычно и как всегда wpbt0.dll) отправив в вирлаб, дождавшись обновленных баз, начинаем сканировать систему.
Находим файл-источник, он обычно в темпе интернета типа contact[1].exe
А как узнать откуда он, с какого адреса? Чтобы в гейт пихнуть

[mrbelyash]

дай винлоков в личку-ага?

-------------

есть проги для сбора истории с браузеов
на нирсофте например

[v.martyanov]

Часто приходят компутеры зараженные винлоками. При этом установлен drweb лицензионный с обновлениями.
Выцарапав файлик (обычно и как всегда wpbt0.dll) отправив в вирлаб, дождавшись обновленных баз, начинаем сканировать систему.
Находим файл-источник, он обычно в темпе интернета типа contact[1].exe
А как узнать откуда он, с какого адреса? Чтобы в гейт пихнуть

Если это IE можно попробовать тулзину pasco. Она парсит хистори.
И посмотрите что-нить по криминалистике современное, обычно этот вопрос обсуждается. А еще прямые ссылки на винлоки мне шлите ;-)

[Banzai]

дай винлоков в личку-ага?

-------------

есть проги для сбора истории с браузеов
на нирсофте например

У меня вопрос именно к вам господин Беляш.
Мне приходил одно время спам, предлагали движки винлоков от вашего имени. Я конечно не верю что вы злой дядька , но как то не понятно. Можете прояснить?

[mrbelyash]

Оне ж в партнерке в панели вас забанят по айпи...

Я вон взял демо hideme.ru на сутки так 6 сайтов сразу же наловил...А с мего IP не раздают мне

дай винлоков в личку-ага?

-------------

есть проги для сбора истории с браузеов
на нирсофте например

У меня вопрос именно к вам господин Беляш.
Мне приходил одно время спам, предлагали движки винлоков от вашего имени. Я конечно не верю что вы злой дядька , но как то не понятно. Можете прояснить?

так покажитечто присылалось?
то наэрно карехтар киллмбр рассылал

[Banzai]

Часто приходят компутеры зараженные винлоками. При этом установлен drweb лицензионный с обновлениями.
Выцарапав файлик (обычно и как всегда wpbt0.dll) отправив в вирлаб, дождавшись обновленных баз, начинаем сканировать систему.
Находим файл-источник, он обычно в темпе интернета типа contact[1].exe
А как узнать откуда он, с какого адреса? Чтобы в гейт пихнуть

Если это IE можно попробовать тулзину pasco. Она парсит хистори.
И посмотрите что-нить по криминалистике современное, обычно этот вопрос обсуждается. А еще прямые ссылки на винлоки мне шлите ;-)

Владимир, когда нибудь кто нибудь победит флайкод? Или дело только за облаками?

[v.martyanov]

Я во флайкод не лезу, не вижу смысла.

[mrbelyash]

во-во конструкторы винлоков тоже нужно юыло в запрос на лечение

[v.martyanov]

во-во конструкторы винлоков тоже нужно юыло в запрос на лечение

Их же пакуют потом, под пакером детект и так неплохой :-)

[mrbelyash]

ну штатно они пакер upx в конструкторы суют....для битых дядек не проблема, а новичков попалить можно

[v.martyanov]

Так UPX и так проходится. Я вот из локеров вижу обычно кастомные пакеры с инжектами. Их не пройти.

[Banzai]

Блин, на вашем фоне я ляпух
Двумя словами объясните, этот беспредел с плавающим детектом долго терпеть?

[#user]

этот беспредел с плавающим детектом долго терпеть?

До появления нового функционала в dr.web AV.

[mrbelyash]

Долго...весь детект упирается в распаковку

[v.martyanov]

этот беспредел с плавающим детектом долго терпеть?

До появления нового функционала в dr.web AV.

И как часто он появляется? :-(

[mrbelyash]

этот беспредел с плавающим детектом долго терпеть?

До появления нового функционала в dr.web AV.

И как часто он появляется? :-(

так аналитики ж не работают тесно с разработчиками...те и вообще витают в облаках