Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
Статьи Раздел с интересными статьями! |
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
Опции темы | Опции просмотра |
|
29-05-2014 | #1 | |
Администратор
Последняя активность:
1 минуту назад Регистрация: 16.02.2011
Сообщений: 1,733
Поблагодарили всего: 1,428
за это сообщение: 7 |
[NOD32] Дополнительный модуль сканирования памяти, обзор
egyp7 и valentin_p
coru.ws Источник: [Ссылки могут видеть только зарегистрированные пользователи.] Добрый день! Много споров ходит вокруг новой технологии nod32. Да и признаться, меня тоже смутила надпись "Обнаружена угроза в памяти", при запуске одного криптованного семпла. Неужели ав стали сканировать память процессов, чтобы ловить запакованные семплы сразу после распаковки? Но в таком случае пойдёт прахом вся отрасль криптования, ибо придётся морфить код который исполняется, а не скрывать его за неприступным для эмуляторов слоем криптора. Собственно проблема была интересной, и мы решили провести группу тестов. Тестировать ПО на AV вообще хорошая идея. Действительно, зачем выбрасывать деньги за неактуальный софт, который спалится через 40 минут после прогруза.. Мы взяли поньку, Win32/Fareit по классификации майкрософта, и криптанули её. Чистый семпл сразу сносится нодом, криптованный как ни в чем не бывало сбрасывает отчет на диск. Значит для того что бы стимулировать AV к проверке памяти нужны некие дополнительные условия, чем просто запуск нового процесса. цитата из документации: Модуль HIPS включает в себя дополнительный модуль сканирования памяти, который сканирует выполняющиеся приложения при изменении их состояния с целью обнаружения возможных подозрительных или вредоносных действий. Не очень внятно, особенно в конце. Но выбирать не приходится. Продолжим тесты, теперь возьмём софт, с которым был замечен новый вид детекта, например один граббер. Я пробовал на тест андромеду 2.07, но реакции AV не последовало. После запуска криптованого граббера он успешно отработал вплоть до... внедрения в exporer! Что интересно, детект чистого файла без криптовки и детект файла в памяти, совершенно одинаков. Ок, другой семпл. Малоизвестный RAT, так же криптованный, при запуске получаем это: Пора разобраться, в чем дело. Открываем Ollydbg, трассируем до появления детекта. Как и ожидалось, он происходит при вызове RegSetValueExW, прописывающий наш семпл на авторан. Обычная проактивка! Обдумав все полученные факты, мы пришли к выводу, что т.н. "модуль сканирования памяти" это надстройка над HIPS (HIPS - проактивная технология защиты, построенная на анализе поведения.) При вызове подозрительных апи, например необходимых для инжекта в чужой процесс, NOD останавливает выполнение нашего семпла и проверяет его в памяти. Что разумно, ибо к моменту вызова палевных апи модуль почти наверняка будет в распакованном виде, даже если до этого был качественно закриптован. Используйте качественный софт с поддержкой!
__________________ "Водка взяла верх над ним." © gerry Мануал на тему: "Как получить пароль к криптору?" Обязательно к прочтению всем новичкам. Программы и сервисы, помогающие получить пароль к крипторам. Если кто-то решил пофлудить, предлагаю сначала ознакомиться с нашим банлистом. /banlist.php Халявный сканер файлов на детект (35 антивирусов). Крипторы Онлайн проверка на вирусы бесплатно. http://scanner.fuckav.ru/ Флуд, набивание постов, слив на вирустотал - бан.
|
|
|
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
Метки |
radikal, дополнительный, модуль, обзор, памяти, сканирования |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
страницы для сканирования | mou69 | Помощь | 6 | 23-01-2013 06:10 |
Обзор утилит с Def Con 20 | veterok | Новости | 0 | 15-08-2012 09:15 |
модуль платежей Cyberplat | mciblast | Помощь | 0 | 21-02-2012 10:50 |
Обнаружение сканирования узлов и портов | Alta1re | Библиотека | 2 | 22-11-2010 23:38 |
Дополнительный зароботок | Gryazi.net | Куплю/Продам | 17 | 15-11-2010 15:18 |