Форум клана KENT и тех, кто навсегда AMG

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » Форум клана KENT и тех, кто навсегда AMG » Флуд » Эвристический анализатор

Эвристический анализатор

Страница: 1

Сообщений 1 страница 23 из 23

1

  • Автор: Profugus
  • Завсегдатый
  • Profugus
  • Зарегистрирован: 2006-08-08
  • Приглашений: 0
  • Сообщений: 226
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    3 часа 25 минут
  • Последний визит:
    2007-09-09 23:29:53

Посоветуйте хороший эвристический анализатор! Нечайно с дискеты брата запустила вирус, причем вирус приватный и очень сложный, обнаружить никак не получается. Доктор Веб и McAfree с последними апдейтами ничего обнаружить не могут. Сама антивирусами никогда не пользовалась, поэтому плохо разбираюсь в них. Он полность не видимый с зараженной системы, как впрочем и с чистой не получается найти следов. Насколько смог вспомнить брат, вирус этот является полиморфно метаморфным, причем живет отдельными блоками в различных файлах, заменяя часть данных собой и сжатой областью исходных. Вообшем зверье еще то, насколько я понимаю такое антивирусы лечить не умеют, но все же, может кто знает... форматирование системы не представляю возможным, а сотни .exe тоже проблемно отправить антивирусникам на изучение :((

p.s.
ничего вредоносного он делает точно (демонстрационный так сказать), но переодически компьютер зависает конкретно - отключается питание монитора и клавиатура тоже перестает реагировать :( а самое главное то, что с дискеты этот гад стерся :(

0

2

  • Автор: Dante
  • Админ типа
  • Dante
  • Откуда: Оттуда :)
  • Зарегистрирован: 2006-05-29
  • Приглашений: 0
  • Сообщений: 1529
  • Уважение: +4
  • Позитив: +18
  • Пол: Мужской
  • Возраст: 46 [1978-06-23]
  • Провел на форуме:
    13 часов 10 минут
  • Последний визит:
    2017-08-21 21:06:08

Дааа... Не позавидуешь.
Выявление такой твари - путь тоже экспериментальный.
Требует кучу тестов, проб и т.п.
К сожалению идей пока нет.
Только что попробовать Eset NOD32 for Windows
Если что еще появится - сообщу сразу.

Почитай тут пока: Принципы обнаружения самомодифицирующихся вирусов

Кстати, а название у этого вируса есть?

И совет твоему брату: такие вещи надо держать за семью печатями

0

3

  • Автор: Hawk
  • Завсегдатый
  • Hawk
  • Откуда: Пермь
  • Зарегистрирован: 2006-07-27
  • Приглашений: 0
  • Сообщений: 261
  • Уважение: +0
  • Позитив: +0
  • Возраст: 38 [1986-01-30]
  • Провел на форуме:
    3 часа 56 минут
  • Последний визит:
    2007-10-02 18:43:33

я пользуюсь Kaspersky Internet Security 6.0
и ниодно зверье еще не проскочило :)
я не специалист в этой области... но попробуй, может и найдет!

0

4

  • Автор: Amalia
  • Гуру
  • Amalia
  • Откуда: Пермь
  • Зарегистрирован: 2006-06-07
  • Приглашений: 0
  • Сообщений: 660
  • Уважение: +2
  • Позитив: +1
  • Пол: Мужской
  • Возраст: 43 [1981-08-27]
  • Провел на форуме:
    1 день 6 часов
  • Последний визит:
    2009-04-13 16:19:31

У меня стоит Panda Platinum :)

0

5

  • Автор: CryingKiller
  • Завсегдатый
  • CryingKiller
  • Откуда: Страна Боли и Страданий
  • Зарегистрирован: 2006-06-29
  • Приглашений: 0
  • Сообщений: 301
  • Уважение: +0
  • Позитив: +0
  • Пол: Мужской
  • Возраст: 40 [1984-02-26]
  • Провел на форуме:
    17 часов 41 минуту
  • Последний визит:
    2007-07-30 08:50:32

Я камикадзе У МЕНЯ НЕТ АНТИВИРУСНИКА!

0

6

  • Автор: NAHAL
  • Завсегдатый
  • NAHAL
  • Зарегистрирован: 2006-05-24
  • Приглашений: 0
  • Сообщений: 178
  • Уважение: +0
  • Позитив: +0
  • Провел на форуме:
    19 минут
  • Последний визит:
    2007-10-27 15:53:22

у мя тоже нет антивиря... но посоветую я Norton Antivirus (Simantik Antivirus) корпоративную версию...

0

7

  • Автор: Amalia
  • Гуру
  • Amalia
  • Откуда: Пермь
  • Зарегистрирован: 2006-06-07
  • Приглашений: 0
  • Сообщений: 660
  • Уважение: +2
  • Позитив: +1
  • Пол: Мужской
  • Возраст: 43 [1981-08-27]
  • Провел на форуме:
    1 день 6 часов
  • Последний визит:
    2009-04-13 16:19:31

Отчаянный чувак :)

0

8

  • Автор: Hawk
  • Завсегдатый
  • Hawk
  • Откуда: Пермь
  • Зарегистрирован: 2006-07-27
  • Приглашений: 0
  • Сообщений: 261
  • Уважение: +0
  • Позитив: +0
  • Возраст: 38 [1986-01-30]
  • Провел на форуме:
    3 часа 56 минут
  • Последний визит:
    2007-10-02 18:43:33

хаха... камикдзе, проверьте ради интереса свои компы )))
я цверен что у вас целый зоопарк вирусов там )))

0

9

  • Автор: melilotus
  • Гуру
  • melilotus
  • Зарегистрирован: 2006-06-10
  • Приглашений: 0
  • Сообщений: 751
  • Уважение: +0
  • Позитив: +2
  • Пол: Мужской
  • Провел на форуме:
    21 час 46 минут
  • Последний визит:
    2007-11-23 15:43:29

У мну касперский :)

0

10

  • Автор: Profugus
  • Завсегдатый
  • Profugus
  • Зарегистрирован: 2006-08-08
  • Приглашений: 0
  • Сообщений: 226
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    3 часа 25 минут
  • Последний визит:
    2007-09-09 23:29:53
SIVIK написал(а):

Только что попробовать Eset NOD32 for Windows

Да, NOD мне уже брат посоветовал (как самый лучший для отлова новых вирусов), что б отстала. Но он тоже ничего не обнаружил :((

SIVIK написал(а):

Кстати, а название у этого вируса есть?

Вирус зовется ласково "Жмурка", имеется у немногих коллекционеров и лечению не подлежит :(( во всяком случае с автором связаться не удается :(

что ж, буду мучиться пока :(

0

11

  • Автор: Zvezdo4ka
  • Опытный
  • Zvezdo4ka
  • Зарегистрирован: 2006-07-03
  • Приглашений: 0
  • Сообщений: 93
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    10 часов 20 минут
  • Последний визит:
    2008-02-29 03:11:45

Я два года лазила по сайтам в интернете без антивирусника....И мой комп все еще жив :)
Но теперь у меня панда

0

12

  • Автор: CryingKiller
  • Завсегдатый
  • CryingKiller
  • Откуда: Страна Боли и Страданий
  • Зарегистрирован: 2006-06-29
  • Приглашений: 0
  • Сообщений: 301
  • Уважение: +0
  • Позитив: +0
  • Пол: Мужской
  • Возраст: 40 [1984-02-26]
  • Провел на форуме:
    17 часов 41 минуту
  • Последний визит:
    2007-07-30 08:50:32

Юля я тут по рейдовскому форуму гулял
Узнал что на еве квест перейти хочешь..
Так внимание вопрос : насовсем или так отвлечься?

0

13

  • Автор: REBEL
  • Завсегдатый
  • REBEL
  • Зарегистрирован: 2006-05-27
  • Приглашений: 0
  • Сообщений: 310
  • Уважение: +0
  • Позитив: +0
  • Провел на форуме:
    1 час 19 минут
  • Последний визит:
    2007-08-30 23:04:16

Я вот понять немогу если этот вирус невиден не с зараженной системы не с чистой, а есть ли он вообще у тебя ;-)
И насколько помню Dr.Web всегда всех конкурентов на тестах делал, а по поиску неизвесных вирусов ему вообще равных нет. Помню старинький 4.32 мне много раз "жизнь спас".
Если ты всеже 100% уверена что ирус у тебя есть посылай образ той дискетки "докторам" они профи вирусу твоему все косточки перемоют и в последнем одновлении для него антидот выложат.

0

14

  • Автор: CryingKiller
  • Завсегдатый
  • CryingKiller
  • Откуда: Страна Боли и Страданий
  • Зарегистрирован: 2006-06-29
  • Приглашений: 0
  • Сообщений: 301
  • Уважение: +0
  • Позитив: +0
  • Пол: Мужской
  • Возраст: 40 [1984-02-26]
  • Провел на форуме:
    17 часов 41 минуту
  • Последний визит:
    2007-07-30 08:50:32
REBEL написал(а):

Если ты всеже 100% уверена что ирус у тебя есть посылай образ той дискетки "докторам" они профи вирусу твоему все косточки перемоют и в последнем одновлении для него антидот выложат.

Читай внимательней

Profugus написал(а):

а самое главное то, что с дискеты этот гад стерся

Хоть может она тут достанет)

Profugus написал(а):

Вирус зовется ласково "Жмурка", имеется у немногих коллекционеров

0

15

  • Автор: Dante
  • Админ типа
  • Dante
  • Откуда: Оттуда :)
  • Зарегистрирован: 2006-05-29
  • Приглашений: 0
  • Сообщений: 1529
  • Уважение: +4
  • Позитив: +18
  • Пол: Мужской
  • Возраст: 46 [1978-06-23]
  • Провел на форуме:
    13 часов 10 минут
  • Последний визит:
    2017-08-21 21:06:08

Я вот понять немогу если этот вирус невиден не с зараженной системы не с чистой, а есть ли он вообще у тебя ;-)

Она точно знает, потому что сама запустила его из зверинца...
Тем более у профессионалов есть хорошее чувство, они видят лучше всяких антивирусов.

И насколько помню Dr.Web всегда всех конкурентов на тестах делал, а по поиску неизвесных вирусов ему вообще равных нет.

Доктор Веб далеко не панацея от всех разновидностей вирей.
Самая лучшая защита от них комплексная, а самое главное - собственная внимательность!

Кстати, Инга! Я не забыл про твое задание, просто были проблемы...
Статейку по комплексной безопасности получишь на следующей неделе!
А если будешь не против, я и тут ее оппубликую.

Помню старинький 4.32 мне много раз "жизнь спас".

Тебе просто повезло

Если ты всеже 100% уверена что ирус у тебя есть посылай образ той дискетки "докторам" они профи вирусу твоему все косточки перемоют и в последнем одновлении для него антидот выложат.

Читай внимательнее:

Насколько смог вспомнить брат, вирус этот является полиморфно метаморфным, причем живет отдельными блоками в различных файлах, заменяя часть данных собой и сжатой областью исходных. Вообшем зверье еще то, насколько я понимаю такое антивирусы лечить не умеют, но все же, может кто знает... форматирование системы не представляю возможным, а сотни .exe тоже проблемно отправить антивирусникам на изучение

а самое главное то, что с дискеты этот гад стерся

Вопрос на засыпку, а как он стирается?
Если системной функцией, то восстановить его нет проблем.

Вирус зовется ласково "Жмурка", имеется у немногих коллекционеров

Точно! Редкая зараза!  :/

0

16

  • Автор: Deft
  • Завсегдатый
  • Deft
  • Откуда: Пермь
  • Зарегистрирован: 2006-06-25
  • Приглашений: 0
  • Сообщений: 256
  • Уважение: +0
  • Позитив: +0
  • Провел на форуме:
    5 минут
  • Последний визит:
    2007-03-09 00:02:14

умный разговор двух людей.....чувствую себя чайником. :)

0

17

  • Автор: Profugus
  • Завсегдатый
  • Profugus
  • Зарегистрирован: 2006-08-08
  • Приглашений: 0
  • Сообщений: 226
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    3 часа 25 минут
  • Последний визит:
    2007-09-09 23:29:53
SIVIK написал(а):

Если системной функцией, то восстановить его нет проблем.

Уже смотрела, сплошной набор из одних символов - "f", "u", "c", "k". Очевидно остроумная шутка. Не повезло короче мне :((( буду форматировать :(

REBEL написал(а):

И насколько помню Dr.Web всегда всех конкурентов на тестах делал

Не, NOD вроде как лучше всего в тестах на отлов "диких вирусов". Но на самом деле обойти их эвристические анализаторы довольно просто, где-то на wasm.ru статья кажется была про это. Вообшем написать такой вирус, с которым антивирусники ничего не сделают - это реальность, просто кто действительно такое может, тот или не делает этого, или не выпускает на волю.

0

18

  • Автор: Dante
  • Админ типа
  • Dante
  • Откуда: Оттуда :)
  • Зарегистрирован: 2006-05-29
  • Приглашений: 0
  • Сообщений: 1529
  • Уважение: +4
  • Позитив: +18
  • Пол: Мужской
  • Возраст: 46 [1978-06-23]
  • Провел на форуме:
    13 часов 10 минут
  • Последний визит:
    2017-08-21 21:06:08

набор из одних символов

Мда, и про это он подумал....

буду форматировать

Очень сожалею, что не в силах помочь  :(
Хотя...
Погоди! А ты NOD использвала прямо на зараженной системе?
Если да, то это не выход.
Попробуй хард на другой незараженный комп воткнуть с предустановленным NOD, тогда вирус не сможет применять активные защитные механизмы.

Вообшем написать такой вирус, с которым антивирусники ничего не сделают - это реальность

Да, валялись у меня где-то эти материалы.

просто кто действительно такое может, тот или не делает этого, или не выпускает на волю.

Ага! Именно так!
Эти люди уже давно стали экспертами по информационной безопасности и т.п.  ;)

0

19

  • Автор: Profugus
  • Завсегдатый
  • Profugus
  • Зарегистрирован: 2006-08-08
  • Приглашений: 0
  • Сообщений: 226
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    3 часа 25 минут
  • Последний визит:
    2007-09-09 23:29:53
SIVIK написал(а):

Погоди! А ты NOD использвала прямо на зараженной системе?
Если да, то это не выход.

ну да... но он вроде нормально сканирует, причем даже находит различные трояны, у меня в папке с TheBat'ом примерно десяток наловил (не активных конечно).

а самое интересное, что теперь программы или вовсе не запускаются на другом компьютере или в определенный момент выдают ошибку. это из-за того, что часть программы заменяется куском вируса, а вот где сам загрузчик вируса найти, который себя собирает и позволяет программам у меня работать? :О тогда бы можно было б отправить его куда-нибудь для анализа.

0

20

  • Автор: Dante
  • Админ типа
  • Dante
  • Откуда: Оттуда :)
  • Зарегистрирован: 2006-05-29
  • Приглашений: 0
  • Сообщений: 1529
  • Уважение: +4
  • Позитив: +18
  • Пол: Мужской
  • Возраст: 46 [1978-06-23]
  • Провел на форуме:
    13 часов 10 минут
  • Последний визит:
    2017-08-21 21:06:08

Загрузчик явно в системных файлах...
Причем на уровне достаточно глубоком.

Такой анализ возможен только на полном эмуле.

Юмор конечно малоуместен, понимаю...
Пошли им весь хард  :)

0

21

  • Автор: REBEL
  • Завсегдатый
  • REBEL
  • Зарегистрирован: 2006-05-27
  • Приглашений: 0
  • Сообщений: 310
  • Уважение: +0
  • Позитив: +0
  • Провел на форуме:
    1 час 19 минут
  • Последний визит:
    2007-08-30 23:04:16
Profugus написал(а):

Но на самом деле обойти их эвристические анализаторы довольно просто, где-то на wasm.ru статья кажется была про это. Вообшем написать такой вирус, с которым антивирусники ничего не сделают - это реальность, просто кто действительно такое может, тот или не делает этого, или не выпускает на волю.

Штошь это очень печально. Но может такой способ подойдет.

Вирус должен запускать процесс пусть все время новый но должен. Ставится программа по татальному контролю за активностью всех процессов системы, по тотальному контролк по работе с хардом. И сидишь цедишь информацию, которые эти программы тебе отсылают.  Только программы должны блокировать активность всепх процессов (как фаервол сеть).

Или вот так  кпримеру, так как этот вирус постоянно меняет свой код, то код exe файлов тое должен меняться. Запоминай код всех exe файлов и постоянно анализируй происходящие изменения.

воПщим :) прийдется тебе неплохо потрудиться. Лично я бы долго заморачиваться не стал (больше недели) и форматнул бы все к чертям, конечно если твой вирус прописывается в биос (хотябы ссылкой) все на много сложнее и простым форматированием делу не поможешь.

0

22

  • Автор: Profugus
  • Завсегдатый
  • Profugus
  • Зарегистрирован: 2006-08-08
  • Приглашений: 0
  • Сообщений: 226
  • Уважение: +1
  • Позитив: +0
  • Провел на форуме:
    3 часа 25 минут
  • Последний визит:
    2007-09-09 23:29:53

Проблема уже решена - format c:

=)

0

23

  • Автор: Dante
  • Админ типа
  • Dante
  • Откуда: Оттуда :)
  • Зарегистрирован: 2006-05-29
  • Приглашений: 0
  • Сообщений: 1529
  • Уважение: +4
  • Позитив: +18
  • Пол: Мужской
  • Возраст: 46 [1978-06-23]
  • Провел на форуме:
    13 часов 10 минут
  • Последний визит:
    2017-08-21 21:06:08

Зато какое ощущение простора и свежести  :)

0

Страница: 1

Вы здесь » Форум клана KENT и тех, кто навсегда AMG » Флуд » Эвристический анализатор