Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | |
а как достигается такая высокая скорость сканирования диска на наличие вирусов ? 13.08.03 00:15 Число просмотров: 1317
Автор: tdes <jin> Статус: Member
|
|
|
|
<beginners>
|
может кто объяснит в общих словах, что такое сигнатура ? 12.08.03 23:04
Автор: tdes <jin> Статус: Member
|
|
и как вирус по ней определяется ? а то задумался на этим и не могу сообразить :))
|
|
последовательность байтов в определенном (необязательно) месте которая встречается только у этого объекта 12.08.03 23:11
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
|
| |
последовательность байтов в определенном (необязательно) месте которая встречается только у этого объекта 12.08.03 23:18
Автор: tdes <jin> Статус: Member
|
|
ну предположим написал я вирус, предположим есть у него строго определенная последовательность байтов, но я могу ведь её вручную разбавить ? ( xor AX,AX, ... ) кроме того исходный код может быть совсем не тем, который будет исполняться, может быть запакован чем-нибудь, как при этом в нем будет искаться сигнатура ?
|
| | |
последовательность байтов в определенном (необязательно) месте которая встречается только у этого объекта 13.08.03 00:10
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> ну предположим написал я вирус, предположим есть у него
> строго определенная последовательность байтов, но я могу
> ведь её вручную разбавить ? ( xor AX,AX, ... ) кроме того
> исходный код может быть совсем не тем, который будет
> исполняться, может быть запакован чем-нибудь, как при этом
> в нем будет искаться сигнатура ?
дык сигнатура составляется не по исходному коду - антивирусные компании его в глаза не видели (по идее) а по бинарнику - то есть именно тому что лежит в зараженном файле. все что ты там разбавил или запаковал - тоже сигнатура. кроме того бывают полиморфные вирусы (вернее раньше бывали, сейчас похоже их разучились писать) которые при каждом новом заражении видоизменяли свой код. у очень хороших полиморфиков у двух разных заражений нет ни одного участка повторящегося кода. но все равно даже у таких навороченных вирей количество полиморфных разновидностей ограничено и сигнатуры в антивирусах вешаются на все разновидности.
|
| | | |
последовательность байтов в определенном (необязательно) месте которая встречается только у этого объекта 13.08.03 09:08
Автор: Gormon Статус: Незарегистрированный пользователь
|
> дык сигнатура составляется не по исходному коду -
> антивирусные компании его в глаза не видели (по идее) а по
> бинарнику - то есть именно тому что лежит в зараженном
> файле. все что ты там разбавил или запаковал - тоже
> сигнатура.
Предположим у меня есть сишный исходник вируса, обнаруживаемого AVP.
Если я слегка изменю код, заново скомпилирую бинарник - сигнатура отличаться и AVP будет молчать? А если применить шифрование?
|
| | | | |
последовательность байтов в определенном (необязательно) месте которая встречается только у этого объекта 13.08.03 10:06
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> Предположим у меня есть сишный исходник вируса,
> обнаруживаемого AVP.
> Если я слегка изменю код, заново скомпилирую бинарник -
> сигнатура отличаться и AVP будет молчать? А если применить
> шифрование?
вообще да, но у многих антивирусов есть так называемый эвристический анализатор - он может вычислить даже неизвестный вирус - по алгоритму, причем всякое мелкое шифрование типа XOR'а обходится на ура. както по молодости лет (в 11м классе) написал самошифрующийся вирь под дос, дык вот авп и дрвеб на него вначале дружно ругались - потом я это поборол, против авп было достаточно шифрования XOR'ом (тогда это был еще 3112 platinum edition вроде), а вот дрвеб на шифрование ложил и продолжал находить вирь дальше, проблема решилась когда в алгоритме опознавания exe файла по сигнатуре MZ я слегка извратнулся - вместо того чтобы конкретно сравнивать первые два байта файла с MZ и ZM я считал их сумму и сравнивал с суммой 'Z'+'M' (A7h). такую подлую задумку дрвеб не просек Ж).
|
| | | | | |
литература 13.08.03 11:41
Автор: Gormon Статус: Незарегистрированный пользователь
|
> вообще да, но у многих антивирусов есть так называемый
> эвристический анализатор - он может вычислить даже
> неизвестный вирус - по алгоритму, причем всякое мелкое
> шифрование типа XOR'а обходится на ура.
А вообще, может порекомендуешь, где можно почитать о сигнатурах, эвристическом анализе и методах обхода?
|
| | | | | | |
литература 13.08.03 12:52
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 13.08.03 12:53 Количество правок: 1
|
> > вообще да, но у многих антивирусов есть так называемый
> > эвристический анализатор - он может вычислить даже
> > неизвестный вирус - по алгоритму, причем всякое мелкое
> > шифрование типа XOR'а обходится на ура.
>
> А вообще, может порекомендуешь, где можно почитать о
> сигнатурах, эвристическом анализе и методах обхода?
честно говоря не знаю.. не было у меня никакой литературы, только доки Ж), может в гугле поищи...
ЗЫ и вирусы это вообщето отстой...
|
| | | |
а как достигается такая высокая скорость сканирования диска на наличие вирусов ? 13.08.03 00:15
Автор: tdes <jin> Статус: Member
|
|
|
| | | | |
вполне нормальная скорость... антивирусы же не ламеры на VB пишут.. 13.08.03 00:40
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
|
| | | | | |
вполне нормальная скорость... антивирусы же не ламеры на VB пишут.. 13.08.03 00:49
Автор: tdes <jin> Статус: Member
|
|
К, предположим твоя сигнатура - CD20, сколько времни займет поиск её на диске 40G ? а ведь сигнатур сотни, вот я и не понимаю алгоритм ((
|
| | | | | | |
вполне нормальная скорость... антивирусы же не ламеры на VB пишут.. 13.08.03 00:59
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> К, предположим твоя сигнатура - CD20
int 20h - выход из досовской проги Ж). хорошая сигнатурка...
, сколько времни займет
> поиск её на диске 40G ? а ведь сигнатур сотни, вот я и не
> понимаю алгоритм ((
во первых обычно просматриваются не все файлы а только исполняемые и те в которых вири могут лежать. 40 гиговый винт у обычного юзера на 80% забит мп3 и видео. во вторых - а сам попробуй напиши обход каталогов с чтением каждого файла и глянь скока это времени займет
|
| | | | | | | |
Кроме того, как правильно было указано 13.08.03 13:23
Автор: amirul <Serge> Статус: The Elderman
|
> > К, предположим твоя сигнатура - CD20
> int 20h - выход из досовской проги Ж). хорошая
> сигнатурка...
> , сколько времни займет
> > поиск её на диске 40G ? а ведь сигнатур сотни, вот я и
> не
> > понимаю алгоритм ((
Сигнатура в большинстве случаев приходится на вполне определенное место, то есть или смещение всегда одно и то же или это смещение указано где то в одном и том же месте. И достаточно не искать ее по всему файлу, а просто посмотреть, есть ли она в нужном месте.
Кроме того, int 20 это ОЧЕНЬ плохая сигнатура. Представь сколько будет ложных срабатываний. Сигнатура обычно это не менее пары десятков байт (иногда и сотен), которые встречаются ТОЛЬКО у данного объекта (виря в твоем случае) и нигде больше.
> во первых обычно просматриваются не все файлы а только
> исполняемые и те в которых вири могут лежать. 40 гиговый
> винт у обычного юзера на 80% забит мп3 и видео. во вторых -
> а сам попробуй напиши обход каталогов с чтением каждого
> файла и глянь скока это времени займет
ЗЫ: Искать в гугле "сигнатурный анализ". Под этим между прочим есть неплохая математическая база. Без хотя бы поверхностного понимания этой базы, лучше не соваться :-).
ЗЗЫ: И в частности один из выводов этой математической базы: универсальных антивирусов (которые смогут находить все вирусы) не бывает, так же как и не бывает универсальных вирусов (которые невозможно обнаружить).
|
| | | | | | | | |
Кроме того, как правильно было указано 13.08.03 20:44
Автор: tdes <jin> Статус: Member
|
> Сигнатура в большинстве случаев приходится на вполне
> определенное место, то есть или смещение всегда одно и то
> же или это смещение указано где то в одном и том же месте.
> И достаточно не искать ее по всему файлу, а просто
> посмотреть, есть ли она в нужном месте.
ну уж тогда точно элементарно обойти такую защиту, сложно разве изменять смещение ?
|
| | | | | | | | | |
В частности этим и занимаются полиморфные вирусы 13.08.03 21:07
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> > Сигнатура в большинстве случаев приходится на вполне
> > определенное место, то есть или смещение всегда одно и
> то
> > же или это смещение указано где то в одном и том же
> месте.
> > И достаточно не искать ее по всему файлу, а просто
> > посмотреть, есть ли она в нужном месте.
>
> ну уж тогда точно элементарно обойти такую защиту, сложно
> разве изменять смещение ?
Сабж, а также другими вещами. Кстати, не могу сказать, что народ разучился писать полиморфы, по крайней мере полимфорные вирусы появляются. Но их ценность снизилась в силу возможности использовать всевозможные эксплойты и за считанные часы заражать огромное количество машин. Кстати одновременно снизилась ценность нерезидентных антивирусных программ - то есть они уже практически не нужны стали, потому что обречены опаздывать. Но для обнаружения и обезвреживания полиморф все равно сложнее, поэтому их по-прежнему пишут.
|
| | | | | | | | | | |
Кроме того, "просто поменять смещение" не так просто 14.08.03 12:16
Автор: amirul <Serge> Статус: The Elderman
|
> > ну уж тогда точно элементарно обойти такую защиту,
> сложно
> > разве изменять смещение ?
Потому как вирусу надо хотя бы запуститься. Смещение на начало кода уже есть. Если до начала основного кода и добавить какую нибудь муть (а тем более делать это самостоятельно при каждом новом заражении), то много ее все равно не будет. Если разбавлять код "пустыми" инструкциями, то алгоритм разбавления доступен разработчикам антивируса, из чего следует, что вполне возможно отфильтровывать этот мусор. Есть так же битовые и плавающие сигнатуры. В первом случае это значит, что даже если полиморфик изменит регистры, в которых он производит работу, код операции останется, и последовательность кодов операций - это тоже сигнатура. В случае плавающей сигнатуры имеется в виду, что сигнатура представляет из себя не последовательность байт один за одним, а что-то типа: "если на этом месте встретилась такая-то последовательность символов, потом не более, чем через какое-то количество определенных символов (количество и вид определяется при помощи анализа алгоритма разбавления кода) встретилась другая последовательность, потом еще через некоторый промежуток - третья, значит сигнатура совпадает".
Во всех таких случаях антивирусные базы содержат только данные: тип сигнатуры и собственно саму сигнатуру, но в некоторых особо запущенных случаях, когда ни один из модулей АВ не сможет найти какой-то вирус, какую сигнатуру ему не подсовывай, тогда в АВ базу заносится код (типа плагина), который ищет данный конкретный вирус.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
