Малварь как искусство Интересное наблюдение по антивирусной защите

[DikiySan]

> ровёл я небольшое исследование, цель этого исследования был посмотреть как популярные антивирусы (Нод, Касперский, Нортон)

и куда делся хвалёный Symantec WS.Reputation.1 ?
а Dr.Web не популярный или никогда таковым не был ?

 

[MIXA066]

> ровёл я небольшое исследование, цель этого исследования был посмотреть как популярные антивирусы (Нод, Касперский, Нортон)

и куда делся хвалёный Symantec WS.Reputation.1 ?
а Dr.Web не популярный или никогда таковым не был ?

с др вебом никогда проблем не было у меня, там довольно слабая проактивка и сканер

 

[X-Shar]

и куда делся хвалёный Symantec WS.Reputation.1 ?

Я на VT проверял, вот результат скана с так-сказать "Расширенной антиэмуляцией":

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

"Расширенная антиэмуляция" - Это я взял сигнатуры антиэмуля от сюда Исходники криптора на С++ плюс и из этой статьи:ВАЖНО - Учимся обходить детект антивирусов - Часть 1.

Лёгкая антиэмуляция - Это я практически ничего не делал, поставил хук на мышку, сделал задержку, динамическое выделение памяти, короче примитив...

Но всё-равно Др.Веб и симантек, а-там и каспер и Ко не детектят, вот скан:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ну как видите детектит майкрософт, авира и аваст из популярных...

На запуск проверял только Нод и Каспера, т.к. они у меня стоят на реальном железе, остальные нет возможности проверить...

 

[X-Shar]

Ну и да криптовал, оригинальный Дарк.Комет, его детект такой, т.е. почти все его детектят:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[DikiySan]

> Я на VT проверял

как я понимаю в случая с Symantec дальше VT дело не пошло ? жаль, очень жаль.
хотя Мутному я верю больше чем Вам голубчик
где он утверждает что это чуть ли не идеальная защита

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[X-Shar]

Если говорить про "облако", а репутация - то это именно "облако", то там не всё так просто...

Как я это понимаю:

Вот создал ты программу, не важно-что, пусть даже пустая форма, которая запускается и ничего не делает...

Что будет делать антивирус в таком случае ?

Полезет в облако, там будет видно что файл новый, далее идёт проверка по специальным параметрам, что делает файл (Какие API вызывает, что он вообще в принципе делает, как себя ведёт и т.д.).

Но и это ещё не всё, в "облаке" происходит ещё анализ как распространяется файл и ещё много-чего.

На основе всех этих факторов принимается решение о детекте, причём происходит не сразу и как следствие какой-то процент может заразится. :(

Поэтому делать ставку только-лишь на "облако" нельзя.

З.Ы. Мутный говорил, о изменение настроек, по дефолту не блокируется все файлы с нулевой репутацией, а происходит примерно так-как я написал выше.

 

[DikiySan]

> Если говорить про "облако", а репутация - то это именно "облако", то там не всё так просто...
Поэтому делать ставку только-лишь на "облако" нельзя.
нельзя ой нельзя.поискал и нашел от такие гуи и где была эта репутация но как я понимаю сработали другие механизмы защиты

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[virt]

как я понимаю сработали другие механизмы защиты

Чот хреново сработали, по видео видно что какие-то файлы были зашифрованы (На рабочем столе).

И толку, что он там что-то очистил ?

 

[DikiySan]

> Чот хреново сработали, по видео видно что какие-то файлы были зашифрованы (На рабочем столе).

вроде как и документы а может и ещё чего.X-Shar глянь а, а то я очки ф школе оставил без них ничё не разгляжу на линзы денег нет

 

[X-Shar]

Скорей-всего сработал детект по поведению.