Лидеры форума

Внезапно, снова Бабушкин: https://2ch.hk/b/res/91631212.html(http://arhivach.org/thread/79240/) Софт/документы/etc: https://yadi.sk/d/IcHeoTQlgFkfA(зеркало - https://mega.co.nz/#!YNQ3DTAQ!Fj187zgwxzyOSRWZqXkuvkv9CheK_yuZXyEaA814RuU) Пароли в треде.

В смысле, что автодятел каспера это кастомный KIS в винде? Не обязательно. Автодятел может быть даже виндой на реальной машине или на базе некоей виртуалки. Суть в снятии определенных данных с маячков и их автоматическая интерпретация. Делается это хуками на все и вся в системе, для этого можно использовать уже готовые решения или забазировать на чем-то своем (т.е модифицированный драйвер КИСа для этого можно использовать). Т.е фактически никакой песочницы нет - с т.ч зрения зловреда это обычная ОС в которой он все может сделать. Простой проверкой существования вмваре-тулз зловред не обнаружит, что он в автодятле, а даже если и обнаружит - это ему особо ничего не даст, он будет все равно в итоге задетектирован благодаря другим этапам анализа сэмпла. Детект и обход эмуляторов на компах у пользователей это немного другое. Целей две: 1. Криптор не должен под эмулем раскрутить и запустить реальный код 2. А если крипта и нет, то реальных действий зловредных код не должен начать как бы делать Но это именно эмуляторы, к песочницам отношение у них очень далекое.

А вы читали то, на что сослались? Там идет речь не о 400 методах именно обхода песочниц, а кое о чем другом. Поясняю: 1. По данным секьюритилаба Симантек обнаружила в 2011 году 400 образцов ВПО, которые умели детектировать то, что они запущены в одной из онлайн-анализаторок поведения (анубисы, комоды, чуки всякие) и в этом случае не работать (проверка по разным системным именам\путям) или работают, но с задержкой (поспят... а к тому времени их анализ уже завершится). 2. По данным самого Симантека (если перейти по ссылке, а не читать кривой перевод студентов), то там мы вообще не найдем упоминания даже о 400 образцах ВПО - там речь идет о 400 лямах малвари в общем виде, а далее идут рассуждения о том, что это все должно по очевидной причине разбираться не вручную в IDA, а автоматизированно по анализу поведения в том числе, а малвари такие нехорошие встречаются - чекают запущенность в анализаторке и ничего вредоносного тогда не делают. Так что вы притянули к своим словам вообще совершенно левую аргументацию. Будьте внимательнее.

SL как всегда радует формулировками. Конечно же, ведь Твиттер - это суперсекретная шпионская социальная сеть.

Пожалуй, только уточню насчет "китайского тестирования". Речь идет о PC Security Labs, чьи тесты признаются, в том числе, и лидерами индустрии. Например, вот этим вендором: http://www.kaspersky.ru/about/news/product/2015/product-goda-po-versii-pc-security-labs