Перейти к содержимому


Фотография

Хакеры встраивают в злонамеренный код детекторы виртуальных машин

Правила раздела

В данном разделе форума Евгений Касперский отвечает на корректно оформленные вопросы, не касающиеся сугубо личной жизни.

Перед тем, как задать вопрос, обязательно ознакомьтесь с правилами данного раздела! Их незнание не освобождает от ответственности!

Внимание! Евгений Касперский не оказывает техническую поддержку.

Все вопросы о проблемах с антивирусом (установка | настройка | обновление | ключи) и вирусами (лечение | удаление), пожалуйста,

пишите только в разделы помощь по продуктам и уничтожение вирусов, соответственно. Нарушители будут наказаны.


Вопросы, жалобы, предложения, связанные с партнёрской программой, дистрибьюторской деятельностью и другими видами коммерческого сотрудничества с "Лабораторией Касперского" в данном разделе форума не рассматриваются и будут удалены! Всю необходимую информацию и контакты вы можете найти на официальном сайте компании.

Запрещается отвечать на вопрос до ответа Евгения Касперского.

Участникам официального форума "Лаборатории Касперского" (forum.kaspersky.com) и другим гостям необходимо зарегистрироваться.

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   Michel

Michel

    Kaspersky FC, Israel

  • Основатели
  • Золотые бета-тестеры
  • PipPip
  • Cообщений: 170

Отправлено 23 Ноябрь 2006 - 02:14

Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.


Ссылка на источник: http://www.securityl...news/277689.php

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?
  • 0

#2 OFF   E.K.

E.K.

    E.K.

  • Команда ЛК
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 232

Отправлено 23 Ноябрь 2006 - 19:01

Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК?

Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?...
  • 0

#3 OFF   GHoST

GHoST

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Май 2007 - 22:54

Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают :rolleyes:, избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело :help: ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955

Прикрепленные изображения

  • Untitled_1.jpg

  • 0

#4 OFF   GHoST

GHoST

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 20 Май 2007 - 14:00

А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку :drinks: но тя на этом ФайрВол поймать может :ninja: :yes: OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним :) , но над этим уже думай сам.
P.S. один ключ в реестре и после перезагрузки он его убьет :yes:

KillTask('notepad.exe');
KillTask('iexplore.exe');

//*-*-*-*-*

uses
  Tlhelp32, Windows, SysUtils;

function KillTask(ExeFileName: string): integer;
const
  PROCESS_TERMINATE=$0001;
var
  ContinueLoop: BOOL;
  FSnapshotHandle: THandle;
  FProcessEntry32: TProcessEntry32;
begin
  result := 0;

  FSnapshotHandle := CreateToolhelp32Snapshot
  (TH32CS_SNAPPROCESS, 0);
  FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
  ContinueLoop := Process32First(FSnapshotHandle,
  FProcessEntry32);

  while integer(ContinueLoop) <> 0 do
  begin
	if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
	UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) =
	UpperCase(ExeFileName))) then
	  Result := Integer(TerminateProcess(OpenProcess(
	  PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
	ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
  end;

  CloseHandle(FSnapshotHandle);
end;

а как дальше думай сам...

Сообщение отредактировал CbIP: 20 Май 2007 - 14:18

  • 0

#5 OFF   CbIP

CbIP

    Police Officer

  • Основатели
  • PipPipPipPipPip
  • Cообщений: 888

Отправлено 20 Май 2007 - 14:04

С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом :drinks:
Кстати, не нарушаем правила, конкретно взлом не обсуждаем :ninja:...
Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля...
  • 0

Сделаю юзербар. Ask me to make userbar.
Press any key - означает нажмите RESET
[md5]72dfdb13d1b60b9620fb5f1f9b163b74[/md5]


#6 OFF   GHoST

GHoST

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 20 Май 2007 - 14:10

знаешь не этот так другой :ninja: , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю :drinks:
кстати ответьте на мой вопрос если не трудно
http://forum.kaspers...?showtopic=1469

Сообщение отредактировал GHoST: 20 Май 2007 - 14:17

  • 0

#7 OFF   CbIP

CbIP

    Police Officer

  • Основатели
  • PipPipPipPipPip
  • Cообщений: 888

Отправлено 20 Май 2007 - 14:17

С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется...
Честно - пока что не вижу путей завершить или ещё что-то сделать с К.
Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя...
  • 0

Сделаю юзербар. Ask me to make userbar.
Press any key - означает нажмите RESET
[md5]72dfdb13d1b60b9620fb5f1f9b163b74[/md5]





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных