Русский / Russian English / Английский

Сейчас на форуме: vasilevradislav, yashechka (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› NOD 32 - Устройство анализа
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 672.3 (! !)
Статус: Участник
CyberMonk

Создано: 31 января 2007 15:04 New!
Цитата · Личное сообщение · #1

Интересная вещь ......... делая некоторые программы ....нод выдает что это не известный ПЕ вирус .... хотя к таковым программа ни как не относилась ......... он постоянно ее удалял ...сразу после сборки Масмом.... причем я так понял врубаясь в процесс сборки ...так как мой линк ...выдавал все кроме того что ехе ....т.е. ехе как бы и нет .................... потом я решил запаковать .....паовал FSG 2 ... потом прошелся сверху криптором Морфином .... в результате все равно выдает неизвестный ПЕ вирус ...........я подумал что дело в размере .............. увеличил размер ...присоединив другую прогу .... опять паковщик и криптр ......но опять без результатов ............. ...... Паковал потом Asprotektom ...... таже фигня ...........

Теперь вопрос ............ !1.по каким еще параметрам он может сделать вывод ..... и 2 . у него есть файл NOd32krnl ..... он работает с привилегиями кернел ?


Версия нода 2.70.25
ESET NOD32 неоднократно доказал, что имеет лучшие показатели обнаружения вирусов, самое быструю скорость сканирования и потребляет минимум системных ресурсов. ESET NOD32 защитит Ваш компьютер от всех разновидностей вирусов, червей, троянов, нежелательных программ шпионского и рекламного характера, о чем свидетельствует множество наград и сертификатов таких авторитетных лабораторий, как Virus Bulletin, Checkmark и других.

информация о самых последних новостях (награды, вирусы, пресс-релизы и т.п.) доступна по адресу: www.esetnod32.ru.




Ранг: 44.2 (посетитель)
Статус: Участник

Создано: 31 января 2007 15:21 New!
Цитата · Личное сообщение · #2

буогого, это вы нам так моск пытаетесь ноебать своими сказкоми, скожите правду что модифицируете гавнопинч, ибо нод с нихуя таг не ругается..




Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 31 января 2007 15:23 New!
Цитата · Личное сообщение · #3

mak пишет:
по каким еще параметрам он может сделать вывод

эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.
еще много разных вариантов - в последнем хакере была статья Криса про методы работы эвристика.



Ранг: 4.6 (гость)
Статус: Участник

Создано: 31 января 2007 20:31 New!
Цитата · Личное сообщение · #4

Ха, тоже встречалсяс этим его поведением. Было что-то типа OpenProcess + WriteProcessMemory + CreateRemoteThread.




Ранг: 279.1 (наставник)
Статус: Участник
wizard

Создано: 31 января 2007 20:54 New!
Цитата · Личное сообщение · #5

mak если несмотры на вердикт NODа ты всёже хочеш получить файл при компиляции ,или запустить что-либо,то просто оключи на время ''Резедентный модуль (AMON) ''.Только юзай не в насторойках,а в разделе ''Резедентные модули и фильтры''.


specz пишет:
ибо нод с нихуя таг не ругается

Иногда бывает и ругается,а иногда когда должен ругаться молчит




Ранг: 75.0 (постоянный)
Статус: Участник

Создано: 31 января 2007 21:15 New!
Цитата · Личное сообщение · #6

В последних версиях НОД-а есть баги, а на на айс он не ругается?




Ранг: 60.1 (постоянный)
Статус: Участник

Создано: 31 января 2007 22:47 New!
Цитата · Личное сообщение · #7

[OffTop]

Блин, что всем так NOD нравится? Не люблю я его за то, что гадости не видит, а на НЕ гадости - ругается...

[/OffTop]




Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 01 февраля 2007 01:22 New!
Цитата · Личное сообщение · #8

Shidla пишет:
Блин, что всем так NOD нравится?

да совсем не нравится.
кстати на Васме был хороший топик по исследованию Нода32, жаль что заглох



Ранг: 228.7 (наставник)
Статус: Участник
malware research

Создано: 01 февраля 2007 02:10 New!
Цитата · Личное сообщение · #9

specz пишет:
скожите правду что модифицируете гавнопинч

Я писал дровину, так он ее тоже обозвал неизвестным вирусом . Судя по всему эвристик сглючило по IAT драйвера. Немного пришлось переделывать, но ХЗ ИМХО он так только будет ложные срабатывания показывать, на реальной малвари обломается. (Судя по тому, что наколоть его оказалось слишком легко). Да и вообще сомнительные способы детекта он использует если ругается на все что ни попадя. Кстати на www.virustotal.com больше ни один авирь кроме НОДа не ругался. Блин, теперь приходится каждый день прогонять все через virustotal....




Ранг: 672.3 (! !)
Статус: Участник
CyberMonk

Создано: 01 февраля 2007 02:16 New!
Цитата · Личное сообщение · #10

specz пишет:
буогого, это вы нам так моск пытаетесь ноебать своими сказкоми, скожите правду что модифицируете гавнопинч, ибо нод с нихуя таг не ругается..

Как не странно на на пинч он не реагирет ...... запакованный ...... и модифицированный bloom пишет:
mak пишет:
по каким еще параметрам он может сделать вывод
эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.
еще много разных вариантов - в последнем хакере была статья Криса про методы работы эвристика.


А ссылочки нет ???
MACKLIA пишет:
mak если несмотры на вердикт NODа ты всёже хочеш получить файл при компиляции ,или запустить что-либо,то просто оключи на время ''Резедентный модуль (AMON) ''.Только юзай не в насторойках,а в разделе ''Резедентные модули и фильтры''.

Можно еще в исключения MACKLIA пишет:
specz пишет:
ибо нод с нихуя таг не ругается
Иногда бывает и ругается,а иногда когда должен ругаться молчит

Вот я про тоже ......



Ранг: 36.0 (посетитель)
Статус: Участник

Создано: 01 февраля 2007 03:24 New!
Цитата · Личное сообщение · #11

Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус.Обнаружение в 90-99% происходит когда он уже отработает (если неизвестный).
У меня стояли антивири разные их exploitили и ничего.Однажды мне мылом в "скрипте" в ящик кинули так он отработал на ура! и никто его не спалил (кроме меня).Так что пока - Антивирус на помойку!




Ранг: 279.1 (наставник)
Статус: Участник
wizard

Создано: 01 февраля 2007 08:34 New!
Цитата · Личное сообщение · #12

atoll пишет:
Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус

Незнаю как у тебы но у меня NOD при открытии папки ,в которой нажодится вир,показывает окно предупреждения (хотя сам файл я еще незапускаю).


atoll пишет:
Антивирус на помойку!

Ну это заветная мечта любого начинающего вирусописателя.




Ранг: 44.2 (посетитель)
Статус: Участник

Создано: 01 февраля 2007 08:52 New!
Цитата · Личное сообщение · #13

единственный антивирь с которым пришлось столкнуться, и у которого много ложных срабатываний, даже на трейнерах это наверное Bitdefender со своей психопатной эвристикой..
а про NOD32 чтобы уж так, то явно видимо глюки, либо хз, т.к. не видел ещё :\



Ранг: 74.4 (постоянный)
Статус: Участник

Создано: 01 февраля 2007 09:08 New!
Цитата · Личное сообщение · #14

bloom пишет:
кстати на Васме был хороший топик по исследованию Нода32, жаль что заглох

Не заглох, просто доразбирали эвристику и вопросов не осталось.

specz пишет:
единственный антивирь с которым пришлось столкнуться, и у которого много ложных срабатываний

вы еще Antivir не юзали

atoll пишет:
Проблема всех антивирусов в том что им нужно время, иногда длительное, что бы задетектить вирус

в АВ конторах нету экстрасенсов, и естественно чтоб составить сигнатуру нужно чтоб вирус попал в руки Аверов (еще не каждому дано туда попасть).

bloom пишет:
эвристик срабатывает.
например если у тебя используется UrlDownloadToFile, который скачвате exe, а затем еще и сразу и запуск оного.

UrlDownloadToFile в открытом виде юзают только тупые вирусы



Ранг: 74.4 (постоянный)
Статус: Участник

Создано: 01 февраля 2007 09:13 New!
Цитата · Личное сообщение · #15

mak пишет:
Теперь вопрос ............ !
1. по каким еще параметрам он может сделать вывод ..... и
2. у него есть файл NOd32krnl ..... он работает с привилегиями кернел ?

1. По многим. Если тебе нужно скомпилить файл просто отключи его и все, необязательно разбирать его эвристику.
2. Что за привилегии такие кернел?



Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 01 февраля 2007 11:40 New!
Цитата · Личное сообщение · #16

Юзай Касперского - и проблем не будет =) почти не будет =)




Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 01 февраля 2007 12:54 New!
Цитата · Личное сообщение · #17

как раз в тему
bypassing the heuristic scan
://opensc.ws/showthread.php?p=10422#post10422




Ранг: 60.1 (постоянный)
Статус: Участник

Создано: 01 февраля 2007 12:56 New!
Цитата · Личное сообщение · #18

kaiZer пишет:
Юзай Касперского - и проблем не будет =) почти не будет =)

+2

Если я не ошибаюсь, то такая тема была на РуБорде... Если она исчё не загнулась...
P.S.: Прошу прощения если повторяю кого-либо...



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 01 февраля 2007 13:38 · Поправил: bash New!
Цитата · Личное сообщение · #19

kaiZer пишет:
Юзай Касперского - и проблем не будет


поймал W32.Beagle.DZ (через простой эксплоит в бровзере).
Так он сцуко каспер вырубил. Не давал ему запуститься. Дал удалиться . Не дал переустановиться. Также не давал установиться НОД'у и др.вебу. Вообще не был виден в процессах через user32 api и через kernell32 api.
Скрывал свои файлы в папке хуком каким-то... и конечно скрывал запись в реестре о своём автозапуске (не помню этот метод, кажется что-то с нейтив апи связано и стандартным способом символы в реестре не читаются, поправте если не прав). Вобщем жесть - продуманая зверушка!

Так вот тут-то я и понял всю прелесть антивирусной утилиты AVZ!
В ней куча инструментов для тех, кто не желает отдавать инициативу полностью в руки антивиря.
Наиболее интересные инструменты:
1. Иccлeдoвaниe cиcтeмы
2. Boccтaнoвлeниe cиcтeмы
3. Диcпeтчep пpoцeccoв
4. Диcпeтчep cлyжб и дpaйвepoв
5. Moдyли пpocтpaнcтвa ядpa
6. Meнeджep aвтoзaпycкa
7. Oткpытыe пopты TCP/UDP
8. еще много интересного!
С AVZ я увидел и убил процесс hidr.exe, удалил его из автозапуска и удалил невидимые файлы.
А антивирусы обосрались прямо на этапе установки. (вот оно слабое место всех антивирей)

Так что не стоит доверять полностью своему "любимому" антивирусу, не лишним будет иметь прозапас эту --> утилитку <-- http://z-oleg.com/secur/avz/download.php , не требующую установки.



Ранг: 36.0 (посетитель)
Статус: Участник

Создано: 01 февраля 2007 13:40 New!
Цитата · Личное сообщение · #20

MACKLIA Не знаю, часто ли запускаешь проги ,но мне приходится часто.NOD у меня был 2 года назад его успешно exploitили через 2-3 дня ,переустановка его ничего не меняла.Трои и вири плодились как хотели.
Мне это надоело и теперь сам определяю.Раньше еще сверялся правда, по-моему панда подтверждала точно,
остальные молчали.Сейчас выработано чутье и ложное определение где-то 0- 5% даже определяю бакдоры
в полне на первый взгляд нормальных(коммерч) приложениях.Сейчас уже чаще встречаю где-то 5 из10 приложений spyware.Запротекченные - вообще можно сразу в VMware грузить - почти каждая!
Замечу - никто их не детектит! ну изредка - что-то типа "подозрително" и то через полный скан всего.
Может сейчас что-то изменилось и в последних АВах но мне лучше собственная бдительность.
Почитай например ...недавний топик -"кейлоггер" И там стоял антивирь!
Enigma пишет:
Юзал пару месяцев назад в фирме друга - Perfect Keylogger 1.64 + Private версия протектора (чтобы скрыть детект антивирусов). Результат: уволено пару мужиков - взято пару телок, сейчас никто уже не шалит!





Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 01 февраля 2007 13:53 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #21

мда) ну вы даёте, с такими мыслями откусите сетевой кабель, залейте свинцом системный блок,
и закапайте на 15-ти метровой глубине! вот тогда можите быть спокойны, коварные вирусы его не достанут...

6 лет компу, ниодного антивиря, из защитного софта только RkUnhooker и The Cleaner...
раз в месяц сканю антивирусником (который сразу удаляю, в основном битдефендер или касперчег)
ловил только Win32 так что вот так...

з.ы. походу ща опять холли вар начнётся... каждый будет проталкивать свой любимый АВ



Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 01 февраля 2007 14:01 New!
Цитата · Личное сообщение · #22

Hellspawn
+1. А ещё можно комп продать - сплошная выгода, да и только



Ранг: 228.7 (наставник)
Статус: Участник
malware research

Создано: 01 февраля 2007 14:05 New!
Цитата · Личное сообщение · #23

bash пишет:
(через простой эксплоит в бровзере

Неужели еще есть люди, которые запускают браузер, ICQ-клинет и т.д. с правами админа? Опомнитесь! Зачем нагружать систему впустую сигнатурным сканером, если намного проще и эффективнее порубать права браузеру? Если так лень создавать пользователя и запускать от его имени - юзайте DropMyRight's, эффект тот же, почти, но запускается все через ярлык.




Ранг: 44.2 (посетитель)
Статус: Участник

Создано: 01 февраля 2007 14:20 New!
Цитата · Личное сообщение · #24

любимого нет и не может быть, у всех есть минусы, хотя я непрочь от антивиря всего с 1 кнопкой - ЗОЩИТИТЬ.. Эдакий кашерный софт, который защитит нетолько от вирусов и троев, но и новодненией, торнадо и ещё хз чего :\



Ранг: 36.0 (посетитель)
Статус: Участник

Создано: 01 февраля 2007 14:31 New!
Цитата · Личное сообщение · #25

specz Есть такие но без кнопок-сносит ФАТы и прошивки.Как то здесь такой выкладывали крэкми для теста.И ты будешь защищен даже от Била



Ранг: 68.8 (постоянный)
Статус: Участник

Создано: 01 февраля 2007 20:47 New!
Цитата · Личное сообщение · #26

Error_Log пишет:
Неужели еще есть люди, которые запускают браузер, ICQ-клинет и т.д. с правами админа?

да, еще есть, но уже одним меньше




Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 02 февраля 2007 00:03 New!
Цитата · Личное сообщение · #27

bash пишет:
А антивирусы обосрались прямо на этапе установки. (вот оно слабое место всех антивирей)

Че тут удивительного.Ламерская техника отключения, в 30-40 строк сишного кода...

И вообще этот топик - полное дерьмо. Поковыряйте сами эти аверы, а не читайте их рекламу.Только тогда оценка будет объективной, и будет смысл о чем-то говорить.А пока, это все - треп ламеров!
Убейтесь! (С) specz



Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 02 февраля 2007 05:30 New!
Цитата · Личное сообщение · #28

bash Ну это конечно зверство =) чтоб все антивири так..




Ранг: 279.1 (наставник)
Статус: Участник
wizard

Создано: 02 февраля 2007 08:37 New!
Цитата · Личное сообщение · #29

Короче господа читайте книгу Криса Касперски "Записки иследователя компьютерных вирусов",скачайте прогу про которую писал bash

bash пишет:
Так что не стоит доверять полностью своему "любимому" антивирусу, не лишним будет иметь прозапас эту --> утилитку <--, не требующую установки.

И незапускайте всякую херню.

Кстати эта прога показывает автозагрузку которую вупор не видит MSConfig ( для тех кто незнает: Пуск->
Выполнить ->MSConfig =Автозагрузка) и вперёд троянов искать.




Ранг: 672.3 (! !)
Статус: Участник
CyberMonk

Создано: 02 февраля 2007 11:43 New!
Цитата · Личное сообщение · #30

Меня вот такая информация интересует ...... посмотрите ))))))))

www.nf-team.org/drmad/zf/zf5/zf5_010.htm
www.nf-team.org/drmad/zf/zf5/zf5_011.htm
www.nf-team.org/drmad/zf/zf5/zf5_012.htm

есть что то вроде этого еще ?


. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› NOD 32 - Устройство анализа

Видеокурс ВЗЛОМ