Перейти к содержанию

Вирусы и из сигнатуры


Kalipso

Рекомендуемые сообщения

Доброго времени суток.

Уже сколько файлы проверяю на наличия malware, и часто бывает так, что 10 видят , как вирус, 10 видят как чистый и еще некоторые видят как разного рода нежелательного ПО. Ну и всему этому виновен сигнатуры.

 

Кто нибудь может мне показать как они выглядят? Очень хотелось бы на каком нибудь примере это показать. Я конечно не программист, но понять более менее код могу.
Просто интересно, когда выходит новый вирус, после ручного анализа, вирусолог лаборатории что вносит в базу сигнатур, чтоб обновились антивирусы?
Я думаю это не конфиденциальная информация и у всех антивирусных(и не только) компаний алгоритм почти одинаковый, только базу сигнатур отличаются./

 

Ссылка на комментарий
Поделиться на другие сайты

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ссылка на комментарий
Поделиться на другие сайты

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

Ссылка на комментарий
Поделиться на другие сайты

 

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

 

На самом деле это не совсем так. Дело в том, что вычислив хеш файла, антивирус может по нему запросить репутацию файла и сведения по нему из "облака". Трафик на это практически не тратится, и можно получить актуальную на момент запроса информацию, не дожидаясь обновления баз. Что значительно повышает оперативность реагирования на угрозы.

Более того, опираясь на хеш файла (и подпись, если таковая есть) можно провести проверку по базе чистых, и по сути инвертировать логику принятия решений - сначала распознать все известное и популярное как безопасное, а уже потом разбираться с тем, что останется. Любое изменение в известном легитимном файле является сигналом к тому, что доверять ему уже не стоит.

Это что качается хешей. При этом сигнатуры никто не отменял, в простейшем случае классическая сигнатура - это тот-же хеш некоторого фрагмента файла (или несколько хешей), с указанием того, где и как именно этот фрагмент искать. Чуть более сложный сигнатурный метод - это поиск некоей последовательности байт по заданной маске, см. http://z-oleg.com/secur/avz_doc/script_searchsign.htm- классическая реализация сигнатурного поиска в скрипт-движке AVZ, дающее представление о принципах работы сигнатурного поиска. Если хочется дальше изучать сигнатурный метод, то обязательно советую погуглить про YARA (собственно, см. http://virustotal.github.io/yara/ и https://yara.readthedocs.io/en/v3.8.1/writingrules.html). YARA позволяет создавать достаточно гибкие и сложные правила для детектирования зловредов, при этом правила достаточно легко читаюся.

Плюс очень важно понимать, что сейчас под термином "сигнатура" и "сигнатурная база" может подразумеваться что угодно, я бы определил этот термин как "совокупность признаков, правил и методик классификации объекта". К примеру, в качестве признаков могут быть использованы не последовательности байт в исполняемом файле, а некие поведенческие особенности изучаемой программы, выявленные антивирусом при помощи эмулятора или наблюдения за работой запущенного приложения, или какие-то особенности ее трафика.

Изменено пользователем Zaitsev Oleg
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Павел Дмитриевич
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...