• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Антивирусы

Alien

Пользователь
Сообщения
404
Симпатии
54
#1
Глупый вопрос, но я тут думал, как антивирусы сканируют оперативную память на вирусы?
Я понимаю когда файл лежит на диске. Но вот процесс который активно работает, имеет полно различных данных которые загружены в различные сегменты ОЗУ. И как некоторые вирусы понимают что их сканируют?
И да что вирусам стоит самостоятельно изменять некоторое структуру кода, или добавлять рандомные псевдо функции, для избегания детектирования по базам антивируса?
И на каком уровне антивирус сканирует память? не ведь на 0 и 1 же. паттерны?
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,647
Симпатии
5,529
#4
Alien, почитай как работают руткиты и протекторы.
По первому можешь взять статьи Зайцева Олега, по второму - Криса Касперски.
 

Alien

Пользователь
Сообщения
404
Симпатии
54
#5
@Alien, советую почитать про "проактивную защиту" и многие вопросы отпадут.
прочитал. Большинство я итак знал, но не был в курсе эмуляции кода...

Понял то что так называемое сканирование памяти, это осмотр какие процессы запущены, и на основе этого списка просто сканируются эти файлы на носителе.


по второму - Криса Касперски
Хорошо.
 

Alien

Пользователь
Сообщения
404
Симпатии
54
#6
Недавно прочёл интересную статью на жалком Хабре(редко что интересное там будет), про антивирусы.
Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal
Как понять почему некоторые антивирусы оценивают упаковщики как вирусы? По умолчнию почти все упаковщики для антивируса уже вирус чёрт побери!
Аж дошло до этого:
1515955878391.png

Файл с SafeZone Security Check by glax24
Все файлы кряки-патчи детектируются как вирусы. При том что сами файлы нет. Т.е. Это не вопрос того что некоторые антивирусы ставят в базу данных сигнатуры сами файлы креков(не патчер) как вирусы. (В данном случае про Защитник Виндовс.) (Например у антивируса касперского корректно пишется (not-a-virus))


Ведь это проблема. Внитри крека-патча может быть реальный вирус. (вопросы про нелиц. ПО это другая часть) Т.е. это можно использовать как соц. инженерию. Люди хотят установить заведомо не лиц. ПО, отключат антивирус САМИ чтобы он не орал по привычке, применив патч, заодно можно легко установить к примеру майнер. Т.е. АВ комании сами себя в ловушку ставят...
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,761
Симпатии
12,131
#7
Как понять почему некоторые антивирусы оценивают упаковщики как вирусы? По умолчнию почти все упаковщики для антивируса уже вирус чёрт побери!
Чтобы предотвратить реконструкцию вредоносных программ и затруднить анализ поведения программ, разработчики вредоносного ПО могут сжимать (или упаковывать) свои вредоносные программы различными способами, сочетая это с шифрованием файлов. Антивирусные программы обнаруживают результат работы подозрительных упаковщиков, т.е. упакованные объекты.
Сейчас подобное поведение сплошь и рядом, единственный надежный способ избежать детекта это покупка дорогущей цифровой подписи для своего софта. А пока ложные срабатывания нужно "сбивать ручками" для каждого вендора.

Antimalware and cybersecurity portal - Windows Defender Security Intelligence - выбрать меню Submissions (уж помогите нам в этом). Кстати, детекта в защитнике Windows 10 нет
 

Alien

Пользователь
Сообщения
404
Симпатии
54
#8
(уж помогите нам в этом).
Вот .Submission details (83884cd4-c731-455a-a6ee-502ae80eb1ce) - Windows Defender Security Intelligence
Нет детекта, а почему у меня было ложное срабатывание?
Кстати, детекта в защитнике Windows 10 нет
Как Вы проверяли? VirusTotal? Win10 защитник по линии Cloud не проверяет...
К примеру вот warez ПО, ошибочное как вирус
Submission details (786ac810-6488-4085-bddb-430c8593c4a8) - Windows Defender Security Intelligence
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,647
Симпатии
5,529
#9
Последнее редактирование:

Alien

Пользователь
Сообщения
404
Симпатии
54
#10
Нету ещё никакого результата
Я про автоматическую проверку в базах cloud/local

---- Автоматическое слияние сообщений ----
с чего это он стал "жалким" ?
После введения "Реестр запрещенных сайтов", хабр (денис в частности начал удалять всё, и блокировать многих за любые коментарии которые "могут" не понравится власти) "лизал" роскомнадзору, многие хорошие юзеры ушли писать статьи на reddit, послав хабр и рунет, сделав вывод что "дальше будут закручивать гайки и пора заводить трактора".
 
Последнее редактирование:

Alien

Пользователь
Сообщения
404
Симпатии
54
#11
Такой сторонний вопрос, почему ComboFix не поддерживается 8.1-10?
Для 10 инструменты это avz+RSIT ? (FRST для продвинутого отчёта и лечения)

GMER, uVS, PCHunter это всё поиск руткитов.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,761
Симпатии
12,131
#12
Такой сторонний вопрос, почему ComboFix не поддерживается 8.1-10?
Кто его знает, от разработчик забил, до серьезных технических трудностей в реализации функционала на ос выше 7.

Для 10 инструменты это avz+RSIT
Рсит это дань/традиция, я бы заменил его на HJTFork или в RSIT заменил старую версию HJT на Fork
 
Сверху Снизу