На заметку Детект в памяти, принцип и способы обхода

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
696
Репутация
1 351
#11
> скинул вам тоже пример.

В который раз готов выразить вам свою признательность и благодарность за ваше доброе сердце и вашу отзывчивость.
Но почему вы решили, что мне это интересно.Возможно я был не верно понят.

> Начнут это использовать школьники и халява кончица, ибо антивирусы тоже монеторят всё.

А, что они будут использовать и какова область применения ?
А, что именно монеторят антивирусы, где как и при каких обстоятельствах,
или речь идёт о слугах их верных тех, что ... ?

> Так-то если-бы обсуждения были, можно-бы более подробно расписать всё,

Для кого более подробно расписать ? для антивирусов или для тех, что ... ?

> Многие боятся этот "детект в памяти".
> Также делал примитивный пакер, тоже детекта в памяти не было, при запуске.
Почему, так происходит, нужно исследовать.

Кто его боится ? Возможно Вы не верно выразились.
На этом борде(как принято называть) на сколько мне не изменяет память не единожды
поднимали вопрос по детекту в памяти у ESET, а именно после обработки криптором
в памяти ловим ту же сигнатуру нода.А какой смысл это обсуждать или иследовать,
вот прочитал.
Малварь по шагам [№3] Детекты в памяти
И вывод напрашивается сам собой или я не прав ?
Многими любимый ESET есть голимый сигнатурщик, что в свою очередь садит его жопай
в одну грядку с фэйкав (простите мне мой французский)

> Правда это будет больше полезно даже антивирусам,
хотя похоже они знают про это и просто забили болт на такой детект ! :)

Я до сих пор не могу понять почему все или многие так пекутся о том, что будет полезно антивирсам ?
И не могу найти ответ на свой вопрос который интересен не только мне,
так что такое Авер и для чего он предназначен ?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
429
Репутация
137
#12
Но почему вы решили, что мне это интересно.Возможно я был не верно понят.
Ну раз заходите в эту тему, значит что-то интересно. Иначе зачем заходить ? И тем-более что-то писать ?
И вывод напрашивается сам собой или я не прав ?
Многими любимый ESET есть голимый сигнатурщик, что в свою очередь садит его жопай
в одну грядку с фэйкав (простите мне мой французский)
Вы не правы. Езет не голимый сигнатурщик, у них весьма не плохой эмулятор кода, также и эвристика, есть и облако не плохое. В целом продукт хорошо защищает, от массовых атак.
И не могу найти ответ на свой вопрос который интересен не только мне,
так что такое Авер и для чего он предназначен ?
По мойму всё предельно понятно, антивирусы хорошо справляются от атак на массы. В целом если человек мало понимает в компьютерах, то антивирус не повредит. Если-же человек с головой и не будет открывать странные письма, типо "вам пришел платеж" и будет соблюдать элементарные правила безопасности в сети, то антивирус излишен.

В любом случае, если антивирус будет стоять, хуже не будет.

Другое дело, что всё написанное применимо к ОС виндовс. Например на андройде вообще не вижу смысла в антивирусах, на маке вроде их объявили вообще фейками. В линухе то-же самое.

Ну и последнее, в винде есть свои средства защиты, которые можно использовать. :)

Как-то так вкратце.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#13
virt,

Судя по вашему описанию это что то на подобие морфера. Тоесть после обработки код изменяется протектором, из за чего временно недетект. Но загруженный в память образ по прежнему доступен для чтения. Это чтение может быть сделано в реальной системе или в памяти виртуальной ав машины. Поэтому это обычная сигнатурная чистка и к скрытию в памяти никакого отношения не имеет.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#14
Есть лишь один способ скрыть область памяти Софтверные анклавы.

Но при реализации встаёт проблема ядерной адресации - указатель передаётся в км и оттуда происходит не контролируемая выборка данных. По этой причине код и данные должны быть разделены и находится в различных областях. Тогда код - анклав и чтение его не может быть выполнено, данные же(переменные) используются штатно. В свою очередь это требует спец инфы про бинарный модуль(все указатели на код), либо структура модуля должна быть сформирована на этапе сборки.
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
429
Репутация
137
#15
Судя по вашему описанию это что то на подобие морфера. Тоесть после обработки код изменяется протектором, из за чего временно недетект.
Понятно, спасибо за разъяснение !
 
Вверх