AC
это песочницы и динамический анализ, как я понимаю ваш случай
Size: a a a
2021 January 10
AS
и еще можно банально склеить два бинарника
AS
то есть прицепить вредоносный файл к блокноту
AS
это песочницы и динамический анализ, как я понимаю ваш случай
без песочницы и сложных проактивных алгоритмов. как работали например антивирусы 80-х? как они понимали что данный файл на ПК вредоносный имея базу
AC
без песочницы и сложных проактивных алгоритмов. как работали например антивирусы 80-х? как они понимали что данный файл на ПК вредоносный имея базу
Так такого не было. Как только повились полиморфные вирусы, появился и поведенческий анализ.
AC
aidstest -> dr.web
AS
меня не интересуют сейчас полиморфные вирусы. простейший случай 1.exe - вредосный. как его сигнатуру добавить в ДБ?
AS
хеш не подойдет поскольку он изменится при компидяторе новой версии
IM
я уже погуглил, и понял что хеш вообще не подходит
Во всем мире используют. А вам почему-то не подходит. 😃
AS
Во всем мире используют. А вам почему-то не подходит. 😃
берете вредоносный файл и компилируете заново. его хеш поменялся, поскольку в бинарнике есть дата компиляции. итог: антивирус не нашел вирус
AS
Во всем мире используют. А вам почему-то не подходит. 😃
TT
Я проделывал немного обратную задачу. Искал сигнатуру для конкретного антивируса. Резал файл по 1 байту, каждому присваивал HEX адрес и после натравливал антивирус на весь скоп.
AS
Я проделывал немного обратную задачу. Искал сигнатуру для конкретного антивируса. Резал файл по 1 байту, каждому присваивал HEX адрес и после натравливал антивирус на весь скоп.
не понял идеи. и что такое хекс адрес? у байта уже есть хекс значение
TT
Во всем мире используют. А вам почему-то не подходит. 😃
Он ведь объяснил, что при при изменении одного байта хэш изменится. А часто хэш =/= сигнатура. Либо хэш является частью сигнатуры. Т.е. антивирус продолжит детектить файл с измененным хэшем в 99%.
AS
Он ведь объяснил, что при при изменении одного байта хэш изменится. А часто хэш =/= сигнатура. Либо хэш является частью сигнатуры. Т.е. антивирус продолжит детектить файл с измененным хэшем в 99%.
так как тогда сигнатуру посчитать, если сигнатура != хэш?
IM
Он ведь объяснил, что при при изменении одного байта хэш изменится. А часто хэш =/= сигнатура. Либо хэш является частью сигнатуры. Т.е. антивирус продолжит детектить файл с измененным хэшем в 99%.
антивирусы пишут не для того чтобы они защищали компьютеры пользователей от вирусов)))
AS
антивирусы пишут не для того чтобы они защищали компьютеры пользователей от вирусов)))
а для чего?
AS
объясните мне пожалуйста: зачм пишут антивирусы?
TT
так как тогда сигнатуру посчитать, если сигнатура != хэш?
Исходя из вышесказанного, рискну предположить, что АВ вендоры заносят в базу сигнатуру в виде соответствия "Адрес/Кусок кода"
IM
Исходя из вышесказанного, рискну предположить, что АВ вендоры заносят в базу сигнатуру в виде соответствия "Адрес/Кусок кода"
как это спасает при шифровании/сжатии/обфускации файлов?