Michel 15 Опубликовано 22 ноября, 2006 Share Опубликовано 22 ноября, 2006 Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий. Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере. «Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS. Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте. В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут. Ссылка на источник: http://www.securitylab.ru/news/277689.php Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК? Цитата Ссылка на сообщение Поделиться на другие сайты
E.K. 10 085 Опубликовано 23 ноября, 2006 Share Опубликовано 23 ноября, 2006 Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий. Хотелось бы услышать ваши комментарии и каснется ли эта проблема продуктов ЛК? Там же по-русски написано - "усложняя работу антивирусных лабораторий", при чем здесь продукты?... Цитата Ссылка на сообщение Поделиться на другие сайты
GHoST 0 Опубликовано 19 мая, 2007 Share Опубликовано 19 мая, 2007 Да не только на асьме, но и на многом другом причем очень много усилий к этому прикладывают , избавится очень прочто, в одну руку дебагер в другую анпакер, но вот чем ты терь будешь коды на листке писать и анализовать не мое дело ! просто тупа забивай нопами, догружаю картинку с примером, если что пиши ghost@wcalab.org - скоро буду перебои с мыло, наш хост переезжает, но асю не кто не отменял 404-919-955 Цитата Ссылка на сообщение Поделиться на другие сайты
GHoST 0 Опубликовано 20 мая, 2007 Share Опубликовано 20 мая, 2007 (изменено) А вот на счет обхода антивируса... Лови его *.exe бей все адреса 0x00 0хFF, и пока он отключен или перезапускается, отключай с реестра и служб, тут де перезагркзка экстренная, после чего принудительно чить его папку но тя на этом ФайрВол поймать может OutPostFireWall + 4, со внутреней защитой, можно и разобратся с ним , но над этим уже думай сам. P.S. один ключ в реестре и после перезагрузки он его убьет KillTask('notepad.exe'); KillTask('iexplore.exe'); //*-*-*-*-* uses Tlhelp32, Windows, SysUtils; function KillTask(ExeFileName: string): integer; const PROCESS_TERMINATE=$0001; var ContinueLoop: BOOL; FSnapshotHandle: THandle; FProcessEntry32: TProcessEntry32; begin result := 0; FSnapshotHandle := CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS, 0); FProcessEntry32.dwSize := Sizeof(FProcessEntry32); ContinueLoop := Process32First(FSnapshotHandle, FProcessEntry32); while integer(ContinueLoop) <> 0 do begin if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) = UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) = UpperCase(ExeFileName))) then Result := Integer(TerminateProcess(OpenProcess( PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0)); ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32); end; CloseHandle(FSnapshotHandle); end; а как дальше думай сам... Изменено 20 мая, 2007 пользователем CbIP Цитата Ссылка на сообщение Поделиться на другие сайты
CbIP 102 Опубликовано 20 мая, 2007 Share Опубликовано 20 мая, 2007 С Каспером тактие трюки не проходят. Ни с папкой, ни с процессом Кстати, не нарушаем правила, конкретно взлом не обсуждаем ... Когда-то я был маааленький, и писал такие функции на Делфи... Программка была для родительского контроля... Цитата Ссылка на сообщение Поделиться на другие сайты
GHoST 0 Опубликовано 20 мая, 2007 Share Опубликовано 20 мая, 2007 (изменено) знаешь не этот так другой , кстаи о правлих в теме заявлено средства обхода АВ, так что по теме на сколько я это понимаю кстати ответьте на мой вопрос если не трудно http://forum.kasperskyclub.com/index.php?showtopic=1469 Изменено 20 мая, 2007 пользователем GHoST Цитата Ссылка на сообщение Поделиться на другие сайты
CbIP 102 Опубликовано 20 мая, 2007 Share Опубликовано 20 мая, 2007 С процессом К ничегего не получится сделать уже на стадии установки, если галочку посавить. Доступ к реестру тоже блокируется... Честно - пока что не вижу путей завершить или ещё что-то сделать с К. Тема про обход защиты... Но собщения с подчёркнуто вредоносным кодом нельзя... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.