На заметку Детект в памяти, принцип и способы обхода

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 2)

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
696
Репутация
1 351
#11
> скинул вам тоже пример.

В который раз готов выразить вам свою признательность и благодарность за ваше доброе сердце и вашу отзывчивость.
Но почему вы решили, что мне это интересно.Возможно я был не верно понят.

> Начнут это использовать школьники и халява кончица, ибо антивирусы тоже монеторят всё.

А, что они будут использовать и какова область применения ?
А, что именно монеторят антивирусы, где как и при каких обстоятельствах,
или речь идёт о слугах их верных тех, что ... ?

> Так-то если-бы обсуждения были, можно-бы более подробно расписать всё,

Для кого более подробно расписать ? для антивирусов или для тех, что ... ?

> Многие боятся этот "детект в памяти".
> Также делал примитивный пакер, тоже детекта в памяти не было, при запуске.
Почему, так происходит, нужно исследовать.

Кто его боится ? Возможно Вы не верно выразились.
На этом борде(как принято называть) на сколько мне не изменяет память не единожды
поднимали вопрос по детекту в памяти у ESET, а именно после обработки криптором
в памяти ловим ту же сигнатуру нода.А какой смысл это обсуждать или иследовать,
вот прочитал.
Малварь по шагам [№3] Детекты в памяти
И вывод напрашивается сам собой или я не прав ?
Многими любимый ESET есть голимый сигнатурщик, что в свою очередь садит его жопай
в одну грядку с фэйкав (простите мне мой французский)

> Правда это будет больше полезно даже антивирусам,
хотя похоже они знают про это и просто забили болт на такой детект ! :)

Я до сих пор не могу понять почему все или многие так пекутся о том, что будет полезно антивирсам ?
И не могу найти ответ на свой вопрос который интересен не только мне,
так что такое Авер и для чего он предназначен ?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
501
Репутация
166
Jabber
#12
Но почему вы решили, что мне это интересно.Возможно я был не верно понят.
Ну раз заходите в эту тему, значит что-то интересно. Иначе зачем заходить ? И тем-более что-то писать ?
И вывод напрашивается сам собой или я не прав ?
Многими любимый ESET есть голимый сигнатурщик, что в свою очередь садит его жопай
в одну грядку с фэйкав (простите мне мой французский)
Вы не правы. Езет не голимый сигнатурщик, у них весьма не плохой эмулятор кода, также и эвристика, есть и облако не плохое. В целом продукт хорошо защищает, от массовых атак.
И не могу найти ответ на свой вопрос который интересен не только мне,
так что такое Авер и для чего он предназначен ?
По мойму всё предельно понятно, антивирусы хорошо справляются от атак на массы. В целом если человек мало понимает в компьютерах, то антивирус не повредит. Если-же человек с головой и не будет открывать странные письма, типо "вам пришел платеж" и будет соблюдать элементарные правила безопасности в сети, то антивирус излишен.

В любом случае, если антивирус будет стоять, хуже не будет.

Другое дело, что всё написанное применимо к ОС виндовс. Например на андройде вообще не вижу смысла в антивирусах, на маке вроде их объявили вообще фейками. В линухе то-же самое.

Ну и последнее, в винде есть свои средства защиты, которые можно использовать. :)

Как-то так вкратце.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#13
virt,

Судя по вашему описанию это что то на подобие морфера. Тоесть после обработки код изменяется протектором, из за чего временно недетект. Но загруженный в память образ по прежнему доступен для чтения. Это чтение может быть сделано в реальной системе или в памяти виртуальной ав машины. Поэтому это обычная сигнатурная чистка и к скрытию в памяти никакого отношения не имеет.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#14
Есть лишь один способ скрыть область памяти Софтверные анклавы.

Но при реализации встаёт проблема ядерной адресации - указатель передаётся в км и оттуда происходит не контролируемая выборка данных. По этой причине код и данные должны быть разделены и находится в различных областях. Тогда код - анклав и чтение его не может быть выполнено, данные же(переменные) используются штатно. В свою очередь это требует спец инфы про бинарный модуль(все указатели на код), либо структура модуля должна быть сформирована на этапе сборки.
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
501
Репутация
166
Jabber
#15
Судя по вашему описанию это что то на подобие морфера. Тоесть после обработки код изменяется протектором, из за чего временно недетект.
Понятно, спасибо за разъяснение !
 

vesorv

Пользователь
Первый уровень
Регистрация
16.01.2019
Сообщения
1
#16
В этой теме пишут Вредоносное ПО в оперативной памяти - Страница 3 - Свободное общение - Dr.Web forum (процитирую)

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича

Значит ли это, что процессы стартовавшие, скажем, до енжино-демонов останутся не проверенными?
да
Значит ли это, что процессы ни фоновой, ни ресканом не перепроверяются, ни напрямую, ни косвенно?
да


не процессы, а память процессов, чтоб все четко
учти только один момент, проверка памяти делается спец. сигнатурами для крайне малого кол-ва сусликов (современных по пальцам посчитать можно). там не используются обычные миллионы сигнатур из vdb.


Во-первых, детект в памяти делается отнюдь не для всех угроз, а только для тех, лечение которых без нейтрализации в памяти невозможно

В начале темы пишут, что троянская программа создает поток в другом процессе , и вредоносную деятельность (Explorer.exe заражает флэшку, которую воткнули, iexplorer не пускает на virustotal ) антивирус уже не обнаруживает, хотя сам троян Trojan.Packed.21815 в антивирусной базе уже есть.

Странно то, что хотя троян уже есть в базе, но после запуска и создания потока в другом процессе доктор веб (в данном случае Curelt) уже не видел угрозу. Видимо, зараженный файл, который запускали, определялся Curelt как Trojan.Packed.21815 .

Правильно ли писали люди в этой теме ?

И ещё вопрос - после внедрения кода в чужой процесс какой компонент антивируса сможет сможет реально обнаружить угрозу ? Только поведенческий блокиратор ? Файловый антивирус будет почти бесполезен ?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
501
Репутация
166
Jabber
#17
это КРАЙНЕ затратная по ресурсам и не очень эффективная фича
Это всё дело 2014 года, а сейчас 2019.

Чего-вы такое старье читаете, да ещё и на сайте аверов, где пишет непонятно-кто...)

Во первых в чем затратность такой проверки ? Есть специальная функция у сканеров, для проверки уже запущенных процессов, тот-же Др. Веб в своей рекламной статье хвастается этой технологией, смысл такой, что даже пропущенные вирусы будут задетектены, после обновления баз...

Есть два типа сигнатурной проверки в памяти:

1)Первая как я уже сказал, проверка после обновления баз (по хешу и другим признакам, в частности и переодическая проверка в облаке).

2)Вторая проверка, при запуске, некоторые вирусы скрываются от сигнатурного детектора, например при помощи шифрования вредоносного кода, так-вот АВ может определять это и детектить вредоносный код в памяти...

Да такой вид проверки имеет ряд недостатков, такие-как:

1. Если морфить код (менять) код в памяти, сигнатура уже незадетектит.
2. Антивирус может и неопределить факт расшифровки, соответственно и детекта никакого не будет.

И ещё вопрос - после внедрения кода в чужой процесс какой компонент антивируса сможет сможет реально обнаружить угрозу ? Только поведенческий блокиратор ? Файловый антивирус будет почти бесполезен ?
Да, может сработать поведенческий детект.
Если внедряемый код уже есть в сигнатуре, то будет детект.

Обычно внедрение в процесс нужен для повышения привелегий в системе, либо скрытия, но не для сбития детекта. Предпологается, что внедряемый код уже "чистый".

Это вкратце, писать много лень.)))
 
Вверх