• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Описание Маскируемся под виртуалку [fakevm] (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Sosyal-Medyada-Güvende-Miyiz-940x470.jpg
Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту функции антивиртуалки, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.
Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного
GitHub - theevilbit/fakevm: POC kernel driver to make a normal Windows desktop show up as a VM.
Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь HitmanPro.Alert который имеет эту функцию, а так же похожий инструмент который включает в себя и фейковые признаки наличия Olly Debugger.
Полная статья The Evil Bit Blog: Make your desktop a fake Virtual Machine to defend against malware
Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..

Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?

p.s. В дополнение к тексту выше - защита от вредоносных программ с помощью фейковых окон отладчика.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 875
Telegram
Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
 

The First

:)
Форумчанин
Регистрация
19.08.2013
Сообщения
154
Репутация
50
Очень интересная тема, так сказать последний рубеж защиты. А появилось ли что-нибудь в этом направлении для рабочей системы?
 

asar

Житель форума
Форумчанин
Регистрация
23.02.2019
Сообщения
13
Репутация
2
Telegram
ICQ
0
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
Я считаю облако не очень надежной защитой, кто отменял блэклист у малвари для блокировки различными способами, а вот что касается темы очень интересно