Лидеры форума

Как тот самый "специалист", но не единственный, скорее соглашусь с вами, что создать алгоритм известный всем, но имеющий тайные уязвимости, которые никто не видит, кроме автора, наверное, очень сложно. Это должно быть что-то очень гениальное. И о таких гениальных находках, если их не обнаружила общественность, вряд ли кто сообщит сам, даже после того, как алгоритм устареет морально. Например, никто до сих пор не знает всей правды о DES. Он изучен очень хорошо всеми. Принято считать, что его слабость для спец. служб была в размере ключа. Для тотального перебора, которого надо было иметь соответствующие вычислительные ресурсы, которыми обладало в то время только АНБ. Более того, я думаю, что любая существенная уязвимость в признанном алгоритме может удерживаться в тайне. Например, если этим занимаются спец службы. Мои примеры плохих алгоритмов (A5, Skipjack), скорее, это и подтверждают. Как только плохой алгоритм публикуется, его немедленно атакуют. Я, как постоянный участник конференций, член совета директоров ассоциации РусКрипто приглашаю вас и всех желающих на безалкогольную (если это вас так волнует) конференцию http://www.ruscrypto.ru/infosecurity/, которая состоится 26 октября 2011 года в рамках ежегодной IT-выставки Softool. Последняя информация является ответом и на:

В репорте написано что продукт обнаруживает тестовые утилиты и убивает их процессы вместо того чтобы защищать от атаки. Измененные тестовые утилиты прошибают защиту. Это и называется заточкой.

Вот про это я и говорил, когда предлагал отрубать руки и письку тем, кто 1) разрешил такое 2) реализовал.

Забыли упомянуть 97% BitDefender Internet Security от 27 августа, который "заточился" под Матушека и "мочит" всё, что движется, однако это далеко не помогает выжить юзеру - ставит в тупик или выносит нормальные процессы, попользованные тест-утилитами. На SSS-семейство 100%-ная "заточка", это отражено в репорте. Короче, второй Online Armor. http://www.matousec.com/projects/proactive...14.0.30.357.pdf

Я бы сказал свой target group problems. Скажем, по части лечения Winlock рядом с uVS пока никого нет из названных утилит. в локальной сети uVS вообще незаменимый инструмент, часто анализ состояния удаленной системы, решение проблемы с заражением, в том числе и локерами решается с админской машины не заходя на рабочий стол пользователя. В качестве утилит, используемых для начального анализа состояния зараженных систем (на форумах), а так же для лечения активного заражения с помощью скриптов подходят две: AVZ, uVS. Работать с логами AVZ достаточно утомительно, особенно если мало "зеленки" в html-логе, то все файлы кажутся подозрительными, возможности проверить файлы по хэшам нет, файлы карантинить и проверять на ВТ не очень то и хочется, скорость решения проблемы снижается, то пользователь уйдет покурить, то тебя отвлекают рабочие моменты, теряется логическая нить решения проблемы. uVS как раз позволяет много информации держать в своем окружении, выполнить необходимые и достаточные проверки. +иногда волшебным образом его стандартные операции по очистке мусора, исправлению реестра, изменению настроек реестра таки решают проблему. антируткиты (tdsskiller, gmer) подключаются по мере необходимости, и осознания конечно их применимости в данном случае. по Vba32arkit (v 3.12.5.2) могу сказать, имхо, что он как shark от DrWeb пребывают стабильно в бета состоянии, так что решиться их применять в деле и предложить пользоваться юзерам с темами заражения весьма рискованно. Вот сейчас запускаю vba32arkit (чтобы посмотреть что там есть нового) - запуск происходит сразу же с имитацией защищенного рабочего стола. На предложение "Да". не соглашаюсь. На предложение "нет" выходит сообщение об ошибочном запуске, или невозможности дальнейшей работы. Берите пример с uVS. разделите нормальный (start) и усиленный запуск (startf).

Как показал опыт, есть, как ни странно. Последние варианты видятся только с AVZPM, причём, иногда реальный путь всё равно скрыт, только "подозрение на маскировку" в логах. Как объяснили, антируткит у AVZ устарел. И ещё момент интересный - популярный в последнее время зловред lsass.exe (который Trojan.Win32.Yakes по Касперскому) блокирует открытие "Выполнить скрипт" в меню AVZ. Это я к тому оффтоплю, что с ростом популярности uVS появятся зловреды, ориентированные на противодействие конкретно ему. А может, уже есть такие?

Промышленных масштабов конечно нет, 10-12 раз в день запускаю не больше Однако экономия времени значительна даже в таких скромных масштабах, особенно при работе с удаленной системой. Основное свободное и несвободное время как обычно уходит на вращение колесика мышки и хм... 3D приложения Конечно стоимость времени не окупится по определению, но тут уже сам процесс разработки меня _пока забавляет, да и само лечение стало быстрым и простым процессом чисто на рефлексах, только выброс из процесса обязательной ранее проверки антивирусом дал невероятную экономию времени, не говоря уже о руткитах, отсутствие или присутствие которых теперь можно легко и быстро установить, причем совсем без участия мозга в процессе. Так и должно быть Знаний тут мало, должно быть еще и аналогичный склад ума иначе пользоваться будет совершенно невозможно. Как мне например не получится пользоваться тем же AVZ, просто слишком дико (с моей точки зрения) выглядит его эргономика и внутренне устройство. Поэтому поперепробовав подобные утилитки, очень сильно и очень страшно поматерившись в процессе пришлось выкинуть все это... добро на помойку и скрипя зубами от жутко душившей лени начать писать uVS... хотя потом как-то втянулся. Ага, некоторые уже тоже "жалуются" типа использование uVS приводит к наркотической зависимости и острым приступам лени.

Палево, да. Олег Кругов, Питер, +79523972596 Родился 28 января 1991 г (или 1985) Не автор, конечно же, нихрена, но - беги лола, беги

Собственно, живет он, по представлениям Брайана Кребса, в СПб, имеет ник Fizot, ведет одноименный ЖЖ, а номер его Porsche - с заветной 666. http://krebsonsecurity.com/2011/09/whos-be...he-tdss-botnet/ Какие идеи по поводу всей этой детективщины с антивирусным уклоном? PS: Пока залез в ЖЖ-профайл http://fizot.livejournal.com/profile для проверки, обнаружил, что оный удален, но нек-рое кол-во постов http://fizot.livejournal.com/ сохранилось в кэше.

Просто если делать утилиту только "под себя", то чтобы это себя оправдывало, нужно лечить компы в промышленных масштабах. Но этого не получится, т.к. разработка отнимает, видимо, все свободное и несвободное время. И в реале утилиту приходится самому использовать не часто. Потому может стоит выделить время и потратить его на причесывание интерфейса ? Не надо ля-ля. У всех утилит есть свой target group, про который я спрашивал выше. И это сразу чувствуется при работе с программой. Если это специализированные тулзы типа tdsskiller'а, то они рассчитаны на работу в автоматическом режиме. С минимумом вопросов пользователю, поддержкой удобных и понятных для большинства логов, возможностью использования в корпоративной среде. Т.е. у среднего пользователя/администратора никакого дискомфорта ощущуться не должно. Если говорить об антируткитах, которые используются для поиска новой малвары, то их тоже можно попытаться классифицировать. Если это gmer, avz - минимум лишней информации, заточка только под обнаружение аномалий. В принципе, логи и use cases рассчитаны под пользователя уже чуть выше среднего. Если вспомнить про vba32 arkit, то в ней шла ориентация (и, я думаю, сейчас идет такая же ориентация) на пользователей как выше среднего (к примеру, хелперы или администраторы антивирусной безопасности), так и на более продвинутых исследователей. Это достигается тем, что выдается не только информация, которая понятна среднему пользователю, но и дополнительная информация полезная ресерчеру (к примеру, какие-то адреса в памяти, которые можно потом использовать при отладке; название конкретного метода, используемого при сокрытии модуля в памяти; дополнительная информация о внутренних структурах windows; и т.д.). Ну и, собственно говоря, можно каким-то образом выбирать нужный режим работы. А если вспомнить про xuetr, то дам зуб, что подовляющее большинство пользователей выше среднего, хелперов, администраторов безопасности и даже некоторых системных программистов никогда не разгадают всей той китайской грамоты, которую он выдает. Потому что рассчитан он только на толковых ресерчеров. И это видно хотя бы по отсутствию в нем тех же самых логов. Вот как-то так. Отсюда и мой вопрос. Потому что когда открылось первое окно uVS, я ничего не понял. Хотя отношу себя как минимум к пользователю выше среднего.

Спорав, ты думаешь мы не знаем что ли "что ты делал прошлым летом" ? я вот только не пойму зачем тебе так регулярно это выпячивать ?

по поводу примеров, предлагаю не кидаться подробными темами на три 3-4 страницы, а брать конкретный образ авзапуска и проверять его с чистой базой сигнатур. Лично мне вообше лень по этим ссылкам сейчас ходить и высчитывать процент попадания файликов из набора "усиленный режим работы антивируса". По опыту скажу, после двух-трех случаев излечения... все остальные подобные темы решались влет благодаря действующим сигнатурам, а если еще не полениться, и занести в критерии поиска имена: sysdriver32, systemup.exe, L1REZERV.EXE, SERVICES32.EXE, то практически полный набор не только сразу попадет под детект, но и автоматически сформируется скрипт лечения. и приведу пример темы http://pchelpforum.ru/f26/t68934/ когда практически весь набор "усиленного режима" автоматически попадает сразу под детект и в скрипт.

Поздравляю всех с коммерческим релизом NAV/NIS 2012!

Это не довод SVCHOST и так попадет в подозрительные. Остальное посмотрю.

1. Можно осилить нормальную клавиатуру. iOS не на столько ущербна, надеюсь, что запрещает сторонние клавиатуры? 2. Когда говорят "согласитесь", это явная попытка поднять значимость слов. Она же где-то на уровне плинтуса. Я вообще иногда с телефона пишу (не тут), однако же не позволяю себе заставлять своих читателей ломать мозг.

Mixa, RuJN, что нужно сделать, чтобы вы начали расставлять запятые в своих текстах ? Это просто невозможно читать, даже если не обращать внимания на суть. Сергей Ильин, может стоит подумать об организации подфорума любителей русского языка ? Какие-то онлайн тренинги там проводить. Начать, к примеру, с пунктуации, деепричастных оборотов, потом перейти к правилам слитного и раздельного написания слов с частицей "не". И в качестве возможности отмены бана некоторых товарищей пропускать через экзамен. Не то, чтоб я был грамма-наци, но ваша грамотность, ребята, вводит меня в ступор. Даже в суть ваших постов вникать не хочется.

Обязаны - это неправильное слово по-любому. По какому закону нужно вешать предупреждения обо всех чистых файлах, расположенных на сайте? И чем это не помощь тем людям, которые могут хотеть этот сайт взломать? Что, если бы это была не тестовая утилитка, которая выводит определённое сообщение, а запакованный каким-нибудь хитрым упаковщиком "Блокнот"? Такие вещи тоже могут детектироваться некоторыми антивирусами как вредоносные программы, по упаковщику. А ещё часто производители ПО нарываются на такие "умные" антивирусы, детектящие по упаковщикам, и теряют клиентов. Особенно небольшие производители, у которых больше потребности в защите своих продуктов от разного рода дизассемблирования и пр., ибо продажи не такие большие. Т.е. проблема, здесь озвученная, достаточно уже созревшая. И неплохо бы придумать, как с этим явлением бороться. Доводы "сам виноват" здесь никак не канают.