Перейти к содержанию

Вирусы и из сигнатуры

Kalipso

Автор Kalipso
в Беседка

 Поделиться

Рекомендуемые сообщения

Kalipso

Kalipso

Опубликовано
Опубликовано

Доброго времени суток.

Уже сколько файлы проверяю на наличия malware, и часто бывает так, что 10 видят , как вирус, 10 видят как чистый и еще некоторые видят как разного рода нежелательного ПО. Ну и всему этому виновен сигнатуры.

 

Кто нибудь может мне показать как они выглядят? Очень хотелось бы на каком нибудь примере это показать. Я конечно не программист, но понять более менее код могу.
Просто интересно, когда выходит новый вирус, после ручного анализа, вирусолог лаборатории что вносит в базу сигнатур, чтоб обновились антивирусы?
Я думаю это не конфиденциальная информация и у всех антивирусных(и не только) компаний алгоритм почти одинаковый, только базу сигнатур отличаются./

 

Денис-НН

Денис-НН

Опубликовано
Опубликовано

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Kalipso

Kalipso

Опубликовано
  • Автор
Опубликовано

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

Zaitsev Oleg

Zaitsev Oleg

Опубликовано
Опубликовано (изменено)

 

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

 

На самом деле это не совсем так. Дело в том, что вычислив хеш файла, антивирус может по нему запросить репутацию файла и сведения по нему из "облака". Трафик на это практически не тратится, и можно получить актуальную на момент запроса информацию, не дожидаясь обновления баз. Что значительно повышает оперативность реагирования на угрозы.

Более того, опираясь на хеш файла (и подпись, если таковая есть) можно провести проверку по базе чистых, и по сути инвертировать логику принятия решений - сначала распознать все известное и популярное как безопасное, а уже потом разбираться с тем, что останется. Любое изменение в известном легитимном файле является сигналом к тому, что доверять ему уже не стоит.

Это что качается хешей. При этом сигнатуры никто не отменял, в простейшем случае классическая сигнатура - это тот-же хеш некоторого фрагмента файла (или несколько хешей), с указанием того, где и как именно этот фрагмент искать. Чуть более сложный сигнатурный метод - это поиск некоей последовательности байт по заданной маске, см. http://z-oleg.com/secur/avz_doc/script_searchsign.htm- классическая реализация сигнатурного поиска в скрипт-движке AVZ, дающее представление о принципах работы сигнатурного поиска. Если хочется дальше изучать сигнатурный метод, то обязательно советую погуглить про YARA (собственно, см. http://virustotal.github.io/yara/ и https://yara.readthedocs.io/en/v3.8.1/writingrules.html). YARA позволяет создавать достаточно гибкие и сложные правила для детектирования зловредов, при этом правила достаточно легко читаюся.

Плюс очень важно понимать, что сейчас под термином "сигнатура" и "сигнатурная база" может подразумеваться что угодно, я бы определил этот термин как "совокупность признаков, правил и методик классификации объекта". К примеру, в качестве признаков могут быть использованы не последовательности байт в исполняемом файле, а некие поведенческие особенности изучаемой программы, выявленные антивирусом при помощи эмулятора или наблюдения за работой запущенного приложения, или какие-то особенности ее трафика.

Изменено пользователем Zaitsev Oleg
  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • civiero
      Вирус или нет?
      Автор civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Salieri
      Вирус
      Автор Salieri
      Доброго времени суток , появился новый администратор, система блокирует доступ к просмотру, компьютер начал тормозить, греться, хром начал зависать.
      Ниже прикреплю логи!CollectionLog-2023.09.15-17.02.zip
×
×
  • Создать...