|
Как отличить нормальный exe от вредоносного.
|
|
Nuke  | Дата: Пятница, 28.10.2011, 14:57 | Сообщение # 1 |
Сообщений: 807
| Значит так:
Чтобы узнать что файл мальваре и нормальный, не надо быть аналитиком в антивирусной конторе. Почти все лежит на поверхности.
1. Вирустотал.
43 антивиря сканируют файл.
2.Comodo Analysis
На тотале только статический анализ, гораздо важнее узнать что делает прога после запуска.
3. PEiD
Программа для определения чем закриптована или упакована программа. Почти все нормальные программы либо не запакованы либо запакованы UPX. Если написано Нотинг фонд или что-то в этом роде, то это значит что признаки упаковщика затерты либо использовался неизвестный криптор)
4. Использование обфускации. Обфускация это приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. Пример: PUSHAD;NOP;NOP;NOP;NOP;POPAD;ADD EAX, 0xFFEEPPEE;INC EAX;OR EAX, EAX; 0xFFEEFFEF. На самом деле эта последовательность не несет полезной нагрузки, но может сгодится для замусоривания кода. Что бы определить юзаем любой дизассемблер. Лучше всего IDA
В нормальных прогах не используется.
5. На деббагер можно полагаться только в том случае когда знаешь хотя бы операторов ассемблера и когда файл под деббагером ничем не упакован иначе видеть мы будем не код программы, а код упаковщика.
6. Самые слабые места в аверах это эвристика и сигнатуры. Первое можно легко обмануть добавив эмуляцию системных API, второе затереть.
Писать только в жаббер [email protected]
Сообщение отредактировал Nuke - Пятница, 28.10.2011, 15:12 |
| |
| |
|
| Nuke | Дата: Пятница, 28.10.2011, 15:08 | Сообщение # 3 |
Сообщений: 807
| Самая слабая эвристика в таких аверах:
В касперском, авасте, ноде, тренд микро, панда.
Одна из самых мощных что я встречал это в BitDefender.
Писать только в жаббер [email protected]
|
| |
| |
|
| Snat | Дата: Пятница, 28.10.2011, 15:11 | Сообщение # 5 |
Титул:
Armenian Genocide
Сообщений: 3006
|
АХТЫЖИСПРАВЬОШИБКУ!1
А по теме...давно знал, но пойдет(:
Спасибо.
Сообщение отредактировал Snat - Пятница, 28.10.2011, 15:12 |
| |
| |
| PheOne | Дата: Пятница, 28.10.2011, 15:13 | Сообщение # 6 |
Титул:
Trance. We love
Сообщений: 488
| Nuke, с каких пор ты изучаешь вирусологию? 
[skype]
|
| |
| |
| Snat | Дата: Пятница, 28.10.2011, 15:13 | Сообщение # 7 |
Титул:
Armenian Genocide
Сообщений: 3006
| UbiFox, DDDDDDDDDDD:
ОНДАВНО
|
| |
| |
|
| Nuke | Дата: Пятница, 28.10.2011, 15:18 | Сообщение # 9 |
Сообщений: 807
| UbiFox, да так пару статей в Хакере прочитал. Стало интересно, а сейчас уже примитивы на виртуалке стараюсь разобрать.
Писать только в жаббер [email protected]
|
| |
| |
asdfsimple  | Дата: Пятница, 28.10.2011, 15:19 | Сообщение # 10 |
Титул:  Сообщений: 1735
| Полезная инфа, спасибо.
Разрешение
|
| |
| |
|
AirForce  | Дата: Пятница, 28.10.2011, 15:24 | Сообщение # 12 |
Титул:
Не спорь, у меня 187ci!
Сообщений: 837
| Ну поссон офигеть заслужил плюс
|
| |
| |
|
