Пограничники бдят!

Кухня

добавить в избранное

Пограничники бдят!

Прочитали: 18934 Комментариев: 51 Рейтинг: 74

14 мая 2020

Злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом.

Источник

Автор этого выпуска немного перфекционист, поэтому фраза «для обхода антивирусов они обфусцируют вредоносный код» его, мягко говоря, подбешивает. Эта формулировка в различных вариациях используется часто – и она совершенно некорректна.

Дело в том, что в данном случае возможны две ситуации с пропуском вредоносной программы. Первая: ВПО прячется в сервисе, который не контролируется антивирусом (помнится, в древние времена был концепт, который делал так, что одно ядро процессора обслуживало только его). И второй, когда известная антивирусу вредоносная программа модифицируется так, чтобы новая сигнатура отличалась от старой. Для этого файл можно упаковать, обфусцировать (перемешать код) и т. д. И вот именно второй подход называют обходом.

Но это не обход. Антивирус видит программу с измененной сигнатурой, но, проверив код, не реагирует. Вы скажете: какая разница – что так, что эдак – итог один, пропуск. Однако разница есть, и даже две.

Во-первых, необнаружение новой модификации известной программы решается просто обновлением вирусных баз, которое происходит быстро и незаметно для пользователя. Новый же метод контроля – это новая версия антивируса, требование его обновления. А этого пользователи не любят (и не делают).

Второе. Дело в том, что модификации кода программы обманывают методы проверки с помощью вирусных баз. Но после этой проверки вредоносная программа не выходит из-под контроля антивируса. Дальше вступает в силу контроль ее поведения – Превентивная защита.

В ней нет привычных сигнатурных баз, хотя обновления тем не менее выходят, правда не с такой частотой, как для антивирусных баз. Обновляются при этом не антивирусные базы, а алгоритмы превентивной защиты и анализа поведения процессов, базы доверенных приложений.

Условно Превентивная защита держит определенные области системы под наблюдением и следит за всеми исполняемыми процессами, как, что и в какой последовательности исполняется. Кто запускает, какие родительские и какие дочерние процессы исполняется при запуске того или иного файла, откуда и кем был запущен файл и т. д. Это довольно сложный механизм с комплексным подходом, направленный как раз на то, чтобы заблокировать внедрение в систему вредоносного кода, который не может быть распознан стандартным сигнатурным антивирусом.

Детальную информацию рассказать не смогу, т. к. во-первых это коммерческая тайна, а во-вторых алгоритмов слишком много и они слишком разные, чтобы их вообще можно было описать.

Есть и аспекты.

Условный запуск .bat файла может быть не распознан, если Вы просто скачали его на компьютер, скопировали в какую-то папку и затем запустили его, как администратор. Т. е. порядок действий свидетельствует о том, что администратор самостоятельно проводит все манипуляции с указанным файлом и предположительно знает его природу и свойства, манипулируя с объектом.

При этом данный .bat файл вполне может быть распознан, если будет загружен в систему неким заданием во временную папку и попытается оттуда запуститься. В этом случае подобное поведение подозрительно и может быть распознано, как вредоносное, в зависимости от последующих действий.

Т. е. имеет значение не только и не столько «что» Вы запускаете, но и «как» Вы это делаете. И делаете ли это Вы, либо действия производятся автоматически от имени или с правами системы.

Из ответа специалиста технической поддержки «Доктор Веб»

Так что все под контролем. Пограничники бдят!

#вредоносное_ПО #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Антивирусная правДА! рекомендует

Не отключайте Превентивную защиту – это важный рубеж обороны от модифицированных вредоносных программ.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

AlexLevran
20:10:27 2020-12-20

Вот именно: "имеет значение не только и не столько «что» Вы запускаете, но и «как».
Спасение утопающих - дело рук самих утопающих по большей части. Не лезь в воду не зная брода!

Sasha50 Собкор
06:32:39 2020-05-17

"Броня крепка и танки наши быстры".

SGES Собкор
02:37:35 2020-05-15

Мала метелка, да чисто метет.

Lia00 Собкор
00:16:38 2020-05-15

вот как оказывается бывает устроено...

Денисенко Павел Андреевич
23:05:26 2020-05-14

Превентивная защита в Dr.Web работает очень идеально)))Все отлично)

Korney
23:05:17 2020-05-14

Всё всегда включено, паучок на страже, в Багдаде всё спокойно...

Шалтай Александр Болтай Собкор
22:12:49 2020-05-14

Пришли с женой домой из магазина. Сняли маски. Оказалось, жена не моя!
Будьте бдительны!

Шалтай Александр Болтай Собкор
22:08:32 2020-05-14

@TV, Обфусцируют, обфусцируют, да не переобфусцируют. Пограничники Dr.Web не позволят :)

Геральт Собкор
22:01:04 2020-05-14

Хорошо что Доктор Веб бдит.

Dvakota
21:25:10 2020-05-14

Буду делать как рекомендует Dr.Web, без вариантов.

anatol
21:01:28 2020-05-14

С трудом уловил суть, но если Dr.Web рекомендует, то это надежно.

vektor248
20:10:22 2020-05-14

Понимаю что страх ,притягивает угрозу.

Альфа
19:55:12 2020-05-14

Никогда не сомневался, что паучок всегда находится на страже нашей безопасности!

Татьяна
18:42:01 2020-05-14

Очень хорошо, что пограничники Dr.Web всегда на страже! Спасибо!

L1t1um
18:34:46 2020-05-14

Стараюсь только в редком крайнем случае отключать тот или иной модули защиты.

I23
18:17:49 2020-05-14

Такие пограничники - это круто! Удачи вам!

Lenba
18:00:45 2020-05-14

Спасибо, что вы бдите на границе безопасности.

matt1954
17:54:26 2020-05-14

Хороший выпуск,хотя я никогда не отключаю Превентивную защиту.Спасибо!

Toma
17:53:52 2020-05-14

Интересный выпуск. Хорошо, что пограничники бдят!

DrKV Собкор
16:39:06 2020-05-14

Устали от серости повседневных будней?
Ищете острых ощущений?
Отключите Превентивную защиту! Мир засияет новыми красками!

I46
14:49:11 2020-05-14

За зелёных погранцов, с Dr.Web-ом, конечно.

Любитель пляжного футбола Собкор
14:44:21 2020-05-14

Логично, пусть даже у тебя ничем не примечательный код, но если ты ведёшь себя как вредоносная программа, то и действия к тебе должны быть применены такие же, как к вредоносной программе.

Zserg
14:37:18 2020-05-14

Дружи с Превентивную защитой! И всё будет нормально.

yuraorc
14:28:40 2020-05-14

это кем надо быть что бы отключить превентивную защиту ?

Karnegi
14:15:41 2020-05-14

Зеленый Страж, Отважный ПАУЧОК, не спит под тенью сабель...

Masha
13:11:39 2020-05-14

Даже не возникало мысли отключить превентивную защиту.

ka_s
12:52:26 2020-05-14

На практике не сталкивался с задачами, для которых приходилось отключать превентивную защиту. Даже экспериментировать не буду.

achemolganskiy
12:48:36 2020-05-14

Инфа полезна. Бацилла одна (как в медицине), а штаммов-море.

kokuxo
12:43:14 2020-05-14

Все функции Dr.Web включены всегда. Dr.Web всегда на страже!

Slava90
11:56:49 2020-05-14

Спасибо за статью. Приму к сведению информацию.

vinnetou
11:49:48 2020-05-14

Важно, чтобы защита была комплексной и не надо отключать один из её компонентов!!!

gebrakk
11:31:51 2020-05-14

Защита должна быть комплексной и отключать один из ее компонентов по меньшей мере глупо .Следую рекомендациям Доктора Веб поэтому все в порядке

ЕК
11:24:20 2020-05-14

@Alexander, спасибо за интересное сравнение:) Воспользуемся вашей идеей и дарим вам 20 Dr.Web-ок! :)

Alexander Собкор
10:49:53 2020-05-14

Да, кухня - это такое особое место, где творятся волшебные дела. Знаменательно, что именно 999-й выпуск Антивирусной Правды посвящён анализу "приготовления защитного зелья". Андерсен загримированному под свинопаса принцу даёт волшебный горшочек. Великолепный инсайдерский девайс, настоящий кулинарный троян, - он собирает информацию о секретах всех кухонь в округе. И продаёт за поцелуи.

Давно это было, почти 200 лет назад. Тогда ещё не было Dr.Web Security Space. Но сейчас-то Он есть! Поэтому не стоит экспериментировать с отключением Превентивной защиты. Это тем более актуально, что желающих всё знать Принцев и любопытных Принцесс с того времени только прибавилось. И оплата ведётся не в поцелуях…

Dmur
10:46:03 2020-05-14

Превентивная защита и другие функции Dr.Web очень нужны! Спасибо!

admin_29
10:44:08 2020-05-14

Без антивируса в наше время никуда

TV
10:15:22 2020-05-14

Слово заумное понравилось "обфусцируют", возьму его на вооружение в свой набор заморских фраз.

ЕК
09:45:52 2020-05-14

@Пaвeл, действительно, завтра юбилейный выпуск, спасибо за вашу внимательность и участие ! :)

orw_mikle
09:29:19 2020-05-14

Все необходимые функции Dr.Web включены всегда.

ZesMen
09:09:52 2020-05-14

Превенттвная защита рулит!

vkor
09:03:54 2020-05-14

Не все пользователи не любят (и не делают)обновления.
Некорректное обобщение перфекциониста.

Неуёмный Обыватель Собкор
08:12:35 2020-05-14

@tigra, будет показывать корону на экране, которая ничем не будет сниматься? Только аппаратом ИВЛ, то бишь LIVE-диском с CureIT! ;)

Неуёмный Обыватель Собкор
08:10:48 2020-05-14

И что, даже в день пограничника бдят?

Vlad X
08:09:05 2020-05-14

Dr.Web всегда на страже!

Пaвeл Собкор
07:53:08 2020-05-14

Друзья, сегодня мы читаем пограничный 999-й выпуск проекта "Антивирусная правДА!". А завтра нас ждет юбилейный 1000-й выпуск! С чем всех и поздравляю!
@admin, поздравляю создателей проекта с предстоящим юбилейным выпуском! Подготовить 1000 выпусков и при этом сохранить интерес читателей - это серьезное достижение!

Пaвeл Собкор
07:47:09 2020-05-14

Превентивная защита - штука очень замечательная! Все тонкости ее работы мне непонятны (коммерческая тайна :)), но ясно, что работает она на опережение. А поэтому - граница на замке!

marisha-san Собкор
06:54:31 2020-05-14

Всегда следуем Dr.Web рекомендациям.

Sergey
06:33:25 2020-05-14

Важно, чтобы защита от вирусов была КОМПЛЕКСНОЙ. Отключение одного из модулей образует брешь в обороне и неминуемо приведет к заражению системы пользователя. Превентивная защита - действительно очень важный элемент в этой обороне, так как сигнатуры появляются всегда с опозданием - после факта заражения и добавления в вирусные базы.

tigra Собкор
06:13:59 2020-05-14

Интересно, как скоро появится короноВирус для операционных систем?)))

EvgenyZ
05:57:27 2020-05-14

Лучше нанести превентивный удар по вирусам, чем лечить последствия их деятельности.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Пограничники бдят!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей