Пограничники бдят!

Кухня

добавить в избранное

Пограничники бдят!

Прочитали: 17193 Комментариев: 51 Рейтинг: 74

2020 ж. 14 мамыр, бейсенбі

Злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом.

Источник

Автор этого выпуска немного перфекционист, поэтому фраза «для обхода антивирусов они обфусцируют вредоносный код» его, мягко говоря, подбешивает. Эта формулировка в различных вариациях используется часто – и она совершенно некорректна.

Дело в том, что в данном случае возможны две ситуации с пропуском вредоносной программы. Первая: ВПО прячется в сервисе, который не контролируется антивирусом (помнится, в древние времена был концепт, который делал так, что одно ядро процессора обслуживало только его). И второй, когда известная антивирусу вредоносная программа модифицируется так, чтобы новая сигнатура отличалась от старой. Для этого файл можно упаковать, обфусцировать (перемешать код) и т. д. И вот именно второй подход называют обходом.

Но это не обход. Антивирус видит программу с измененной сигнатурой, но, проверив код, не реагирует. Вы скажете: какая разница – что так, что эдак – итог один, пропуск. Однако разница есть, и даже две.

Во-первых, необнаружение новой модификации известной программы решается просто обновлением вирусных баз, которое происходит быстро и незаметно для пользователя. Новый же метод контроля – это новая версия антивируса, требование его обновления. А этого пользователи не любят (и не делают).

Второе. Дело в том, что модификации кода программы обманывают методы проверки с помощью вирусных баз. Но после этой проверки вредоносная программа не выходит из-под контроля антивируса. Дальше вступает в силу контроль ее поведения – Превентивная защита.

В ней нет привычных сигнатурных баз, хотя обновления тем не менее выходят, правда не с такой частотой, как для антивирусных баз. Обновляются при этом не антивирусные базы, а алгоритмы превентивной защиты и анализа поведения процессов, базы доверенных приложений.

Условно Превентивная защита держит определенные области системы под наблюдением и следит за всеми исполняемыми процессами, как, что и в какой последовательности исполняется. Кто запускает, какие родительские и какие дочерние процессы исполняется при запуске того или иного файла, откуда и кем был запущен файл и т. д. Это довольно сложный механизм с комплексным подходом, направленный как раз на то, чтобы заблокировать внедрение в систему вредоносного кода, который не может быть распознан стандартным сигнатурным антивирусом.

Детальную информацию рассказать не смогу, т. к. во-первых это коммерческая тайна, а во-вторых алгоритмов слишком много и они слишком разные, чтобы их вообще можно было описать.

Есть и аспекты.

Условный запуск .bat файла может быть не распознан, если Вы просто скачали его на компьютер, скопировали в какую-то папку и затем запустили его, как администратор. Т. е. порядок действий свидетельствует о том, что администратор самостоятельно проводит все манипуляции с указанным файлом и предположительно знает его природу и свойства, манипулируя с объектом.

При этом данный .bat файл вполне может быть распознан, если будет загружен в систему неким заданием во временную папку и попытается оттуда запуститься. В этом случае подобное поведение подозрительно и может быть распознано, как вредоносное, в зависимости от последующих действий.

Т. е. имеет значение не только и не столько «что» Вы запускаете, но и «как» Вы это делаете. И делаете ли это Вы, либо действия производятся автоматически от имени или с правами системы.

Из ответа специалиста технической поддержки «Доктор Веб»

Так что все под контролем. Пограничники бдят!

#вредоносное_ПО #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Антивирусная правДА! рекомендует

Не отключайте Превентивную защиту – это важный рубеж обороны от модифицированных вредоносных программ.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

AlexLevran
20:10:27 2020-12-20

Вот именно: "имеет значение не только и не столько «что» Вы запускаете, но и «как».
Спасение утопающих - дело рук самих утопающих по большей части. Не лезь в воду не зная брода!

Sasha50 Собкор
06:32:39 2020-05-17

"Броня крепка и танки наши быстры".

SGES Собкор
02:37:35 2020-05-15

Мала метелка, да чисто метет.

Lia00 Собкор
00:16:38 2020-05-15

вот как оказывается бывает устроено...

Денисенко Павел Андреевич
23:05:26 2020-05-14

Превентивная защита в Dr.Web работает очень идеально)))Все отлично)

Korney
23:05:17 2020-05-14

Всё всегда включено, паучок на страже, в Багдаде всё спокойно...

Шалтай Александр Болтай Собкор
22:12:49 2020-05-14

Пришли с женой домой из магазина. Сняли маски. Оказалось, жена не моя!
Будьте бдительны!

Шалтай Александр Болтай Собкор
22:08:32 2020-05-14

@TV, Обфусцируют, обфусцируют, да не переобфусцируют. Пограничники Dr.Web не позволят :)

Геральт Собкор
22:01:04 2020-05-14

Хорошо что Доктор Веб бдит.

Dvakota
21:25:10 2020-05-14

Буду делать как рекомендует Dr.Web, без вариантов.

anatol
21:01:28 2020-05-14

С трудом уловил суть, но если Dr.Web рекомендует, то это надежно.

vektor248
20:10:22 2020-05-14

Понимаю что страх ,притягивает угрозу.

Альфа
19:55:12 2020-05-14

Никогда не сомневался, что паучок всегда находится на страже нашей безопасности!

Татьяна
18:42:01 2020-05-14

Очень хорошо, что пограничники Dr.Web всегда на страже! Спасибо!

L1t1um
18:34:46 2020-05-14

Стараюсь только в редком крайнем случае отключать тот или иной модули защиты.

I23
18:17:49 2020-05-14

Такие пограничники - это круто! Удачи вам!

Lenba
18:00:45 2020-05-14

Спасибо, что вы бдите на границе безопасности.

matt1954
17:54:26 2020-05-14

Хороший выпуск,хотя я никогда не отключаю Превентивную защиту.Спасибо!

Toma
17:53:52 2020-05-14

Интересный выпуск. Хорошо, что пограничники бдят!

kozinka.ru Собкор
16:39:06 2020-05-14

Устали от серости повседневных будней?
Ищете острых ощущений?
Отключите Превентивную защиту! Мир засияет новыми красками!

I46
14:49:11 2020-05-14

За зелёных погранцов, с Dr.Web-ом, конечно.

Любитель пляжного футбола Собкор
14:44:21 2020-05-14 Именинник

Логично, пусть даже у тебя ничем не примечательный код, но если ты ведёшь себя как вредоносная программа, то и действия к тебе должны быть применены такие же, как к вредоносной программе.

Zserg
14:37:18 2020-05-14

Дружи с Превентивную защитой! И всё будет нормально.

yuraorc
14:28:40 2020-05-14

это кем надо быть что бы отключить превентивную защиту ?

Karnegi
14:15:41 2020-05-14

Зеленый Страж, Отважный ПАУЧОК, не спит под тенью сабель...

Masha
13:11:39 2020-05-14

Даже не возникало мысли отключить превентивную защиту.

ka_s
12:52:26 2020-05-14

На практике не сталкивался с задачами, для которых приходилось отключать превентивную защиту. Даже экспериментировать не буду.

achemolganskiy
12:48:36 2020-05-14

Инфа полезна. Бацилла одна (как в медицине), а штаммов-море.

kokuxo
12:43:14 2020-05-14

Все функции Dr.Web включены всегда. Dr.Web всегда на страже!

Slava90
11:56:49 2020-05-14

Спасибо за статью. Приму к сведению информацию.

vinnetou
11:49:48 2020-05-14

Важно, чтобы защита была комплексной и не надо отключать один из её компонентов!!!

gebrakk
11:31:51 2020-05-14

Защита должна быть комплексной и отключать один из ее компонентов по меньшей мере глупо .Следую рекомендациям Доктора Веб поэтому все в порядке

ЕК
11:24:20 2020-05-14

@Alexander, спасибо за интересное сравнение:) Воспользуемся вашей идеей и дарим вам 20 Dr.Web-ок! :)

Alexander Собкор
10:49:53 2020-05-14

Да, кухня - это такое особое место, где творятся волшебные дела. Знаменательно, что именно 999-й выпуск Антивирусной Правды посвящён анализу "приготовления защитного зелья". Андерсен загримированному под свинопаса принцу даёт волшебный горшочек. Великолепный инсайдерский девайс, настоящий кулинарный троян, - он собирает информацию о секретах всех кухонь в округе. И продаёт за поцелуи.

Давно это было, почти 200 лет назад. Тогда ещё не было Dr.Web Security Space. Но сейчас-то Он есть! Поэтому не стоит экспериментировать с отключением Превентивной защиты. Это тем более актуально, что желающих всё знать Принцев и любопытных Принцесс с того времени только прибавилось. И оплата ведётся не в поцелуях…

Dmur
10:46:03 2020-05-14

Превентивная защита и другие функции Dr.Web очень нужны! Спасибо!

admin_29
10:44:08 2020-05-14

Без антивируса в наше время никуда

TV
10:15:22 2020-05-14

Слово заумное понравилось "обфусцируют", возьму его на вооружение в свой набор заморских фраз.

ЕК
09:45:52 2020-05-14

@Пaвeл, действительно, завтра юбилейный выпуск, спасибо за вашу внимательность и участие ! :)

orw_mikle
09:29:19 2020-05-14

Все необходимые функции Dr.Web включены всегда.

ZesMen
09:09:52 2020-05-14

Превенттвная защита рулит!

vkor
09:03:54 2020-05-14

Не все пользователи не любят (и не делают)обновления.
Некорректное обобщение перфекциониста.

Неуёмный Обыватель Собкор
08:12:35 2020-05-14

@tigra, будет показывать корону на экране, которая ничем не будет сниматься? Только аппаратом ИВЛ, то бишь LIVE-диском с CureIT! ;)

Неуёмный Обыватель Собкор
08:10:48 2020-05-14

И что, даже в день пограничника бдят?

Vlad X
08:09:05 2020-05-14

Dr.Web всегда на страже!

Пaвeл Собкор
07:53:08 2020-05-14

Друзья, сегодня мы читаем пограничный 999-й выпуск проекта "Антивирусная правДА!". А завтра нас ждет юбилейный 1000-й выпуск! С чем всех и поздравляю!
@admin, поздравляю создателей проекта с предстоящим юбилейным выпуском! Подготовить 1000 выпусков и при этом сохранить интерес читателей - это серьезное достижение!

Пaвeл Собкор
07:47:09 2020-05-14

Превентивная защита - штука очень замечательная! Все тонкости ее работы мне непонятны (коммерческая тайна :)), но ясно, что работает она на опережение. А поэтому - граница на замке!

marisha-san Собкор
06:54:31 2020-05-14

Всегда следуем Dr.Web рекомендациям.

Sergey
06:33:25 2020-05-14

Важно, чтобы защита от вирусов была КОМПЛЕКСНОЙ. Отключение одного из модулей образует брешь в обороне и неминуемо приведет к заражению системы пользователя. Превентивная защита - действительно очень важный элемент в этой обороне, так как сигнатуры появляются всегда с опозданием - после факта заражения и добавления в вирусные базы.

tigra Собкор
06:13:59 2020-05-14

Интересно, как скоро появится короноВирус для операционных систем?)))

EvgenyZ
05:57:27 2020-05-14

Лучше нанести превентивный удар по вирусам, чем лечить последствия их деятельности.

Комментарии к другим выпускам |

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Пограничники бдят!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей