30.08.2007, 03:53
|
#11 |
|
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Добавлю ещё что сейчас любые антивирусные продукты используют в основном три методики скинирования файлов:
1) Сигнатурный анализ, сверяет сигнатуру (определённый кусок, по которому можно явно идентифицировать файл, как простейщий вариант - точка входа) сканируемого файла по своей базе, если находит - сразу же детект 2) СтрингРеференс - анализ файла на подозрительные строки, импорты, и.т.п. 3) эмуляция (Ака SandBox) - пошаговая эмуляция исполнения файла, с последующим анализом его активности 1-й метод отлетает сразу, любой криптер, пермутатор кода, и сразу же сигнатура меняется, идём дальше - второй метод тоже не тянет, т.к. можно просто сделать какую нибудь шифровку строк с помощью того же TEA или RC4 алгоритма, с последующим подбором ключа расшифровки самой-же программой по ходу декриптовки, ну и третий - сэндбоксинг, так же мимо, простейщий вызов какой нибудь неэмулируемой API функции вроде MoveFileA и эвристику приходится остановить обработку файла, к слову таких апи можно придумать тьму, и никогда ниодин эвристик не научится эмулировать их все.. ну и соответственно импорты - сейчас уже никто в лоб не юзает, обычно вызывают по хэшу + забивают импорт всяким леваком, в итоге ничего подозоительного антивирь не находит. Из всего этого можно сделать вывод что нае%бать любой антивирь не составляет труда если есть голова на плечах Буду рад если кому то пригодится инфа, печатать устал 
|
|
|
| Эти 3 пользователя(ей) сказали Спасибо Quantum за это полезное сообщение: |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Древовидный вид