Сообщений в теме: 6

[Michel]

Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.

Ссылка на источник: http://www.securityl...news/277689.php

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

[E.K.]

Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?...

[GHoST]

Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают , избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955

Прикрепленные изображения

• 

[GHoST]

А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку но тя на этом ФайрВол поймать может OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним , но над этим уже думай сам.
P.S. один ключ в реестре и после перезагрузки он его убьет

KillTask('notepad.exe');
KillTask('iexplore.exe');

//*-*-*-*-*

uses
  Tlhelp32, Windows, SysUtils;

function KillTask(ExeFileName: string): integer;
const
  PROCESS_TERMINATE=$0001;
var
  ContinueLoop: BOOL;
  FSnapshotHandle: THandle;
  FProcessEntry32: TProcessEntry32;
begin
  result := 0;

  FSnapshotHandle := CreateToolhelp32Snapshot
  (TH32CS_SNAPPROCESS, 0);
  FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
  ContinueLoop := Process32First(FSnapshotHandle,
  FProcessEntry32);

  while integer(ContinueLoop) <> 0 do
  begin
	if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
	UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) =
	UpperCase(ExeFileName))) then
	  Result := Integer(TerminateProcess(OpenProcess(
	  PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
	ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
  end;

  CloseHandle(FSnapshotHandle);
end;

а как дальше думай сам...

Сообщение отредактировал CbIP: 20 Май 2007 - 14:18

[CbIP]

С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом
Кстати, не нарушаем правила, конкретно взлом не обсуждаем ...
Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля...

[GHoST]

знаешь не этот так другой , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю
кстати ответьте на мой вопрос если не трудно
http://forum.kaspers...?showtopic=1469

Сообщение отредактировал GHoST: 20 Май 2007 - 14:17

[CbIP]

С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется...
Честно - пока что не вижу путей завершить или ещё что-то сделать с К.
Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя...