 |
|
SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN
| Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
|||||||
| Зона анализа софта Раздел для анализа подозрительного софта |
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
|
Опции темы | Опции просмотра |
|
|
21-07-2013
|
#1 | |||||
Был получен официальный комментарий от сервиса AvDetect:
Цитата:
2. Каждый файл имеет уникальный крипт, по этой причине случайные совпадения контрольных сумм исключены. 3. Твой сервис участник облачной технологии панды, а это значит, что автоматом к аверам панды сливались метаданные (это как минимум). Что такое метаданные можно узнать из аверских статей и тех. документации, ну вот в качестве примера, что пишут так называемые эксперты из лаборатории kaspersky: [Ссылки могут видеть только зарегистрированные пользователи.] Цитата:
Цитата:
Цитата:
[Ссылки могут видеть только зарегистрированные пользователи.] Цитата:
5. Я знаю причину детекта Pand'ой - это был детект эвристиком. Увеличив количество dll'ок в импорте - деткт полностью пропал, это говорит о том, что этот детект был не по контрольным суммам. 6. Если бы в облаке осуществлялся детект по контрольным суммам, то это можно было бы обойти, изменив банально (к примеру, при помощи php при раздаче со связок) участки кода в закриптованном файле (изменив тем самым контрольные суммы для всех раздаваемых файлов) и тем самым убив под корень облачные технологии... 7. Если посмотреть на второй тест, то можно увидеть, насколько сократилось время жизни закриптованных файлов: 1.exe и 2.exe - это примерно так должно быть, когда метаданные не попадали в облако и файл оказался чист. 3.exe и 4.exe - показывают, что произойдет с закриптованными файлами, если слить метаданные аверам и если у файла был, хотя бы под один детект. Вполне возможно, что многие проверяют паблик крипторы на AvDetect и не исключено что такие проверки сокращают время жизни закриптованного файла... Да и тема создавалась для показа и обсуждения тестов, а не для того чтобы здесь выяснять у кого толще и длиннее... каждый смотрит на тесты и делает выводы сам для себя. По-поводу BullGuard - это говнобетка и обертка над Bitdefender. По-сути еще одна хуйня из клонов Emsisoft, F-Secure, GData... (видимо BullGuard во время тестов глючил.) Теперь немного теории: Допустим, какой-то чел имеет крипт-сервис и проверяет на AvDetect закриптованные файлы и делает это часто, в результате в облако панды попадают метаданные со всех проверок. Далее один из проверяемых файлов попадает к аверам на реверс (допустим, какой-то юзер спалил, что что-то не так с системой и обратился за помощью к аверам), аверы сделают анализ закриптованного файла и снимут метаданные, далее сравнят метаданные в облаке и увидят все проверяемые файлы и IP с которых шел слив в облако, далее на основе этих метаданных создадут эвристический детект (у панды это Suspicious file и т.д.) и добавят его в базы, тем самым под замес попадут все проверяемые файлы, которых метаданные попали в облако и это самое безобидное, что может быть... Аверы не будут париться, если к ним попало 1-4 сэмпла, они просто сделают детект по хэшу, а вот огромное количество метаданных в облаке незначительно отличающихся друг от друга (+- на рандом) накалят докрасна их очко ярости, а при эпидемиях вполне возможен сквиртинг огненно-адской лавой и при этом эти брызги удовольствия могут задеть будущее, да и вполне возможно уже существующее поколение крипт-сервисов... |
||||||
|
|
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
| Метки |
| ав-сканеров, было, детект, меня, метаданные, слив, тест, того |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
| Опции темы | |
| Опции просмотра | |
Комбинированный вид
|
|
Часовой пояс GMT +3, время: 00:23.