Вскрытие покажет

Кухня

добавить в избранное

Вскрытие покажет

Прочитали: 5529 Комментариев: 84 Рейтинг: 311

21 марта 2017

Говоря «антивирус», многие подразумевают «сигнатуры». Однако опознать преступника – еще полдела, нужно также выявить соучастников преступления и пострадавших. Иными словами, антивирусу мало уметь выявлять непосредственно сам вредоносный файл, ему нужно обнаружить и используемые этим файлом ресурсы. Такая возможность, в частности, требуется поведенческому анализатору – знание характерных признаков может предотвратить повторное заражение новейшими модификациями вредоносных программ, помочь с настройкой антиспама, черных списков Родительского контроля, правил брандмауэра.

И если получение сигнатур – в большинстве случаев дело достаточно быстрое (естественно, для тех вредоносных программ, у которых они есть), то анализ поведения – процесс долгий, и при чтении новости о новейшей вредоносной программе нужно понимать, что за небольшой заметкой подчас недели труда аналитиков.

Для анализа вредоносных файлов используются специальные программы – как общедоступные, так и создаваемые в стенах антивирусных лабораторий для нужд аналитиков. Таких программ довольно много, остановимся лишь на нескольких их разновидностях.

Также для анализа используется дизассемблер. Практически любой анализируемый файл (кроме, пожалуй, скриптовых) – это набор инструкций процессору.

Дизассемблер принимает на вход либо исполняемый файл, либо некий буфер с кодом. Достаточно важный этап в дизассемблировании – нахождение точки входа, места, с которого нужно начинать анализ файла – например, места, с которого начинается код, внедренный в ранее чистый файл вирусом.

Начав с точки входа, дизассемблер определяет, что это за инструкция, ее длину в байтах, является ли она инструкцией перехода, какие регистры использует, на какие адреса в памяти ссылается и т. п. Проанализировав одну инструкцию, дизассемблер переходит к следующей или, если анализируемая инструкция была инструкцией перехода – перемещается туда, куда указывает адрес перехода. Если инструкция представляет собой условный переход, то дизассемблер помечает следующими к рассмотрению сразу два адреса — адрес следующей инструкции и адрес, на который возможен переход. Если комбинация байт не распознается, процесс дизассемблирования данной ветви останавливается.

Дизассемблер превращает последовательность байт кода в связную структуру, каждый узел которой хранит информацию о выполняемых действиях, используемых данных, местах, откуда вызывается данная инструкция.

https://habrahabr.ru/company/mailru/blog/240655

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162

Недостаток дизассемблера – в том, что для анализа ему нужен код, который может быть недоступен, пока не начнет выполняться. Помочь с анализом такого кода может отладчик.

Отладчик контролирует запущенную программу и, как только она выполняет некое действие, останавливает ее. Отладчик может действовать в двух режимах – ожидая наступления заранее заданного момента, начиная с которого начнется детальный анализ действий программы, или в режиме пошаговой отладки, что напоминает действия дизассемблера. Разница между этими программами – в том, что дизассемблер работает с кодом незапущенной программы, т. е. с ее файлом, а отладчик анализирует активный процесс (хотя, конечно, не откажется и от дополнительных данных, проливающих свет на структуру анализируемой программы). В итоге в случае условного перехода дизассемблер только укажет на него, и затем аналитик будет решать, по какому пути дальше будет выполняться код, в то время как отладчик автоматически перейдет на нужную ветвь кода, а аналитик сможет понять, по какой причине произошел именно такой переход.

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162 #антивирус #технологии_Dr.Web

Антивирусная правДА! рекомендует

Современный антивирус – это чрезвычайно сложная система, которая проходила свое становление в ходе борьбы с целым рядом поколений вредоносных программ. Сегодня лишь немногим компаниям под силу создание антивируса.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sergey
19:44:20 2020-03-19

Рынок антивирусных вендоров уже сформировался. Новичку очень трудно найти место в этом сегменте рынка. Нужно предложить что-то креативно новое и эффективное. Увы, это непростая задача.

tataku
18:12:21 2019-03-24

@admin,Ссылка, указанная как источник, никуда не ведёт.
Предположительно, переехала на https://ru-sfera.org/threads/delaem-svoj-virlab-vvedenie.3162/

tataku
18:12:12 2019-03-24

@admin,Ссылка, указанная как источник никуда не ведёт.
Предположительно, переехала на https://ru-sfera.org/threads/delaem-svoj-virlab-vvedenie.3162/

Денисенко Павел Андреевич
14:36:04 2018-07-26

Dr.Web незаменимый продукт для защиты информации и ценных файлов)

alex-diesel Собкор
16:35:34 2018-04-04

есть ли предел, какие-нибудь разумные границы этого противостояния?
как то жаль ресурсов и времени и талантов с одной стороны, а с другой беспокоит все большая сложность настроек, ежедневных процедур и прочих протоколов безопасности, для простого серфинга требуется все больше мер предосторожности. Радости от интернета с такими предохранениями - все меньше, увы ((

зы а для обычного пользователя эти процедуры пардон - ненужные "танцы с бубном", отнимающие время и вообще досаждающие.

vasvet
15:31:15 2018-04-01

Все действительно очень сложно, пусть Dr.Web разбирается.

Toma
12:28:20 2018-03-15

Создание антивируса - дело очень сложное! Я вбираю Dr.Web!

Вячeслaв Собкор
10:11:08 2017-06-16

@Littlefish, ну если вы специалист по анализу - да почему и нет. У нас есть такие пользователи, анализирующие и присылающие нам новые образцы. Но в массе рядовой пользователь на анализ файлов не способен. Скорее наоборот - заявки в количестве с требованиями отменить вердикт о вредоносности программ

Littlefish Собкор
01:28:03 2017-06-16

Спасибо за технические подробности. Высший пилотаж и главная коммерческая тайна - это конечно специальные программы, создаваемые в стенах антивирусных лабораторий для нужд аналитиков, их нужно тщательно беречь от конкурентов и попадания в сеть, чтобы не допустить знакомство вирусописателей с фирменными методами анализа и детектирования.
Вот только не совсем понятно, почему не рекомендуется проводить первоначальный анализ поведения программ самими пользователями?

djabax
16:46:45 2017-03-30

Process Monitor' ом пользовался раньше и в будущем не исключаю

Natalya_2017
15:07:30 2017-03-30

Теперь будем знать! Благодарю!

philosoph
12:08:32 2017-03-24

Интересно,Буду знать.

SGES Собкор
02:57:44 2017-03-22

На добрый жернов что ни засыпь, все смелется.

razgen Собкор
01:04:54 2017-03-22

Первоначальный анализ поведения программ доступен каждому (хотя мы и не рекомендуем его проводить). Например, бесплатная утилита Procmon (Process Monitor) используется для того, чтобы в режиме реального времени узнать, какие ресурсы использует та или иная программа.
----------
Не буду, не буду проводить Первоначальный анализ поведения программ не сейчас не потом, поэтому выпуск в библиотеку сохранять не буду.

razgen Собкор
01:02:23 2017-03-22

@Неуёмный_Обыватель, ты как-то всё примитивно понимаешь, я просто в своём комменте не стал особо распространяться, конечно нужна защита всего и везде а если подробно это расписывать, то это имеются целые выпуски Антивирусной ПравДЫ.

Дмитpий Собкор
22:41:57 2017-03-21

Спасибо вашему коллективу за труд, и что в процессе его не имеете привычки надувать щёки.
"Ох, нелегкая это работа -
Из болота тащить бегемота!"
/Корней Иванович Чуковский, "Телефон", 1924/
Было время когда восхищались обычным телефоном, полагаю, это стихотворение, почти вековой давности, будь написанным в наши времена могло бы иметь другое название, вы догадываетесь какое :)

Неуёмный Обыватель Собкор
22:39:10 2017-03-21

@razgen, и не только "для работы в сети". Тысячи населенных пунктов живут без интернета, во многих есть только мобильный интернет и не все им пользуются. Так и таскают к себе вирусы и трояны по старинке на флешках и дисках. У таких пользователей антивирус может не обновляться вообще после установки. Да чего уж там... И антивирус-то не установлен иногда. А комп используется как печатная машинка или игровая станция.

razgen Собкор
22:22:54 2017-03-21

Неуёмный Обыватель Собкор
11:47:48 2017-03-21

Да чего уж там, создать антивирус - вообще раз плюнуть! В интернете полно советов по созданию антивируса. Например, вот на сайте "Как просто" под заголовком "Как создать антивирус". Предлагается 2 простоых способа. Первый из 5-ти шагов. А второй вообще из 2-х шагов, с которыми справится даже школьник или домохозяйка. Кто хочет попробовать свои силы, полюбопытствуйте: http://www.kakprosto.ru/kak-103952-kak-sozdat-antivirus
----------
Считаю лучше свои силы попробовать на различные варианты настройки Dr.Web Security Space, подобрав наиболее оптимальный вариант для своей работы в сети.

ai
22:20:35 2017-03-21

Необычно

kva-kva
22:18:06 2017-03-21

отладчик не видел в деле

ek
22:16:43 2017-03-21

тест на любителей?

НинаК
22:11:23 2017-03-21

жаль не поняла

vla_va
21:48:24 2017-03-21

Труд на благо

В...а
21:42:26 2017-03-21

страшные дела

Б...м
21:26:55 2017-03-21

не мое точно

mk.insta
21:09:02 2017-03-21

серьезный труд будет

krant
21:08:13 2017-03-21

Да! Мы такие сложные и... даже дух захватывает...

solec
20:55:44 2017-03-21

Специфическая кухня)

krasserr
20:48:03 2017-03-21

Dr.Web Security Space!

Dvakota
20:39:02 2017-03-21

Загрузили по полной !

mariana
20:37:13 2017-03-21

а аналитик сможет понять!

orw_mikle
20:34:36 2017-03-21

Лучше поручить сложную работу профессионалам.

kozinka.ru Собкор
20:31:47 2017-03-21

@LG, очень даже нужна!
И лично мне весьма интересно содержание этих "вскрытых органов". Вот только таких любопытствующих по этому поводу ровно столько, сколько сисадминов в нашем с вами кругу на этой площадке (ну, может + статистическая погрешность в лице просто любопытных ко всему). А таких, я подозреваю, хватит пальцев на двух руках.

iAFC
20:20:38 2017-03-21

Главное установить надежный антивирус.

Роза
20:13:13 2017-03-21

@Неуёмный_Обыватель, создать антивирус может и просто, но сделать его качественным и эффективным, как Dr.Web будет сложно и не под силу одному человеку. :-)

Роза
20:02:17 2017-03-21

Спасибо за статью!)

Б...а
19:43:22 2017-03-21

Хороший продукт у вас получился )

Luger Собкор
19:35:55 2017-03-21

Dr.Web рекомендует: Сегодня лишь немногим компаниям под силу создание антивируса.
Да,нормальных антивирусов очень мало.

Александр
19:12:15 2017-03-21

Согласен с компанией "Доктор Веб"

aleks_ku
18:18:32 2017-03-21

выявить соучастников преступления и пострадавших - звучит остросюжетно!

Б...а
18:16:12 2017-03-21

впечатляет

Людмила
18:14:19 2017-03-21

@dyadya_Sasha,
улыбнули. вечером трудного дня это не лишнее:)) It is a hard day`s night .. пойду и включу битлов!

dyadya_Sasha Собкор
18:08:23 2017-03-21

@LG, От просмотра того, КАК готовят иногда получаешь намного больше удовольствия, чем от самого блюда, как бы вкусно оно не было. Если и то и другое шедевр, то имеют равное право на то, чтобы о них писали.
Кроме того, где ещё увидишь как на КУХНЕ препарируют)))).

Ovod
17:52:26 2017-03-21

Антивирус – это чрезвычайно сложная система!

Х...р
17:37:07 2017-03-21

Просвещение полезно

Геральт Собкор
17:33:34 2017-03-21

Антивирусы также эволюционирует, как и вредоносы.

Неуёмный Обыватель Собкор
17:16:07 2017-03-21

@LG, почему же не нужна? Некоторым пользователям всё интересно. Да и не только пользователи сюда захаживают иногда. Продолжайте, всё нормально :)

Людмила
17:11:23 2017-03-21

@Karpensky,
"Пользователю внутренний мир антивируса знать совсем не обязательно."
т.е. рубрика Кухня не нужна?

С...й
17:05:41 2017-03-21

Это серьезный труд

АВВ
16:44:01 2017-03-21

Познавательно. Хотя пожалуй для большинства пользователей абсолютно не нужно.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Вскрытие покажет

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей