Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 34
> Делаем выводы?
Делаем, только не те, которые вы подразумевали. Оставшиеся два детекта — так называемые false positive, ложное срабатывание. Антивирус не может проверить запароленный архив, не зная пароля, соответственно детектов не должно быть совсем. У некоторых антивирусов в настройках можно указать поведение при обработке зашифрованного архива во время сканирования: пропустить или запросить пароль у пользователя.
Делаем, только не те, которые вы подразумевали. Оставшиеся два детекта — так называемые false positive, ложное срабатывание. Антивирус не может проверить запароленный архив, не зная пароля, соответственно детектов не должно быть совсем. У некоторых антивирусов в настройках можно указать поведение при обработке зашифрованного архива во время сканирования: пропустить или запросить пароль у пользователя.
антивирус может получать имена файлов из архива если тот позволяет. Запароленный exe src или com — оочень подозрительно. ?Gmail, к примеру, вообще не дает заливать архивы внутри которых он обнаруживает exe. Приходится либо переименовывать архив .zip___ либо ставить пароль на архив с запретом чтения имен файлов в архиве. Еле отправишь другу исходники проекта с визуалстудии.
exe в исходниках???
У вас в exe исходники???
Насколько я помню, получить имя файла можно не всегда. Например, RAR-архив с установленной опцией «Шифровать имена файлов» нельзя просмотреть, не зная пароль. ZIP-архив, вложенный в запароленный ZIP-архив, также открыть не получится (по крайней мере Проводником).
Подозрительно-не подозрительно, а понять, что там в этих файлах он не может, так что и детекта на этом основании быть не может.
Оставшиеся два детекта — так называемые false positive, ложное срабатывание. Антивирус не может проверить запароленный архив, не зная пароля, соответственно детектов не должно быть совсем.Я тут совершенно согласен, только странно, что имена W32/Cryakl.ABV!tr и Trojan.Win32.Injector.dxiaae эти два антивируса дали точно такие же, как на первом тестировании. Значит и в первый раз было ложное срабатывание? И причём так удачно совпало? Или там вообще фейковые антивирусы? Я больше не могу объяснений придумать.
А почему бы не подсунуть им свой архив с каким-нибудь безобидным ехе-шником?
Закинул для проверки, запароленный архив (7zip) с безобидным exe'шником — ложных срабатываний не обнаружено
Фолс с тем же именем детекта буква в букву, что и на незапароленном файле? Что-то есть у меня сомнения. Хм. А давайте поступим радикально. Я сейчас кину запрос в НАНО, и если они ответят, опубликую их ответ тут. Годится?
Мой антивирус ловит мышей.
1. Никакой антивирус не может проверять зашифрованные архивы — если они были зашифрованы нормальными продуктами. Насколько я помню единственное исключение — продукты от Лаборатории Касперского, но и им для расшифровки/перепаковки нужно иметь пароль.
2. Антивирус может расшифровывать файлы, если злоумышленниками были допущены ошибки. Примеры расшифровки файлов после шифровальщиков — в наличии
3. Антивирусу не требуется для определения наличия вредоносного файла расшифровывать полученное. Такая технология есть в Dr.Web. Благодаря ей можно находить известные образцы (или определяемые эвристикой) в зашифрованных/упакованных файлах (не архивах!). Затрудняет создание неопределяемых образцов вредоносных файлов (увеличивает время на создание неопределяемого файла), снижает количество записей в базе — не нужно добавлять новые записи на каждый перепакованный файл. Крайне важная фишка на текущий момент
И на что никто не обратил внимание:
Вспоминаем знаменитый эксперимент от Касперского, когда компания поместила в базу записи о заведомо чистых файлах, определяя их как вредоносные. Через некоторое время большинство антивирусных компаний стало определять эти файлы как вредоносные. Тоесть очень многие антивирусные компании не занимаются разбором, а идут вслед за авторитетом, повторяя его шаги — автоматом помещая запись в базу.
Ну и немного позитива. Помнится лет 16 назад на один из первоапрелей Лаборатория Касперского объявила, что будет проверять все зашифрованные архивы (не путать с вышеописанной технологией!) без знания паролей — и действительно что-то выводила на экран. Если тут есть представители Лаборатории — может они чего подробнее расскажут. Помнится пользователи сильно возбудились
2. Антивирус может расшифровывать файлы, если злоумышленниками были допущены ошибки. Примеры расшифровки файлов после шифровальщиков — в наличии
3. Антивирусу не требуется для определения наличия вредоносного файла расшифровывать полученное. Такая технология есть в Dr.Web. Благодаря ей можно находить известные образцы (или определяемые эвристикой) в зашифрованных/упакованных файлах (не архивах!). Затрудняет создание неопределяемых образцов вредоносных файлов (увеличивает время на создание неопределяемого файла), снижает количество записей в базе — не нужно добавлять новые записи на каждый перепакованный файл. Крайне важная фишка на текущий момент
И на что никто не обратил внимание:
пока писал пост, детектов на незапароленный файл еще наползло, на момент отправки поста уже 38.
Вспоминаем знаменитый эксперимент от Касперского, когда компания поместила в базу записи о заведомо чистых файлах, определяя их как вредоносные. Через некоторое время большинство антивирусных компаний стало определять эти файлы как вредоносные. Тоесть очень многие антивирусные компании не занимаются разбором, а идут вслед за авторитетом, повторяя его шаги — автоматом помещая запись в базу.
Ну и немного позитива. Помнится лет 16 назад на один из первоапрелей Лаборатория Касперского объявила, что будет проверять все зашифрованные архивы (не путать с вышеописанной технологией!) без знания паролей — и действительно что-то выводила на экран. Если тут есть представители Лаборатории — может они чего подробнее расскажут. Помнится пользователи сильно возбудились
Шиндоспроблеммы и проблемы неофита. Всегда напрягало что ос (за которую в идеале уплочено) — которая вроде бы логически и архитектурно является целостным продуктом, нужна другая программа для нормальной работы (притом платную без вариантов (дада бесплатные антивирусы просто шикарны))
Я, конечно, извиняюсь, но, по-моему, вы говорите стереотипами. Будто на Windows и минуты без антивируса прожить нельзя.
Отключите антивирус, походите по интеренту. Не надо говорить что это доп условие, машина с ос в полностью изолированной комнате ни кому не нужна.
Отключу и похожу, довольно долго похожу. Ничего не будет.
Я не использую антивирус много лет. Все отлично работает и вирусов нет. Просто качать всякое непотребство непонятно откуда явно не стоит.
Отключите антивирус, походите по интеренту.Ну так не томите же, расскажите что там будет такого, чего не будет в какой-нибудь другой ОС?
К сожалею т.к. я плохиш (кармы нет) ответ всем трём в одном коменте.
xforce
>Отключу и похожу, довольно долго похожу. Ничего не будет.
У вас частная выборка, а вы экстраполируете её на ситуацию вообще. Если антивирус отключить и ничего не будет, тогда почему в мире существуют столько антивирусов и они стоят денег так ещё и люди их активно покупают? По моему опыту это плохо заканчивается (особо выражено на пиратке).
ComradeAndrew
>Я не использую антивирус много лет. Все отлично работает и вирусов нет. Просто качать всякое непотребство непонятно откуда явно не стоит.
Полностью согласен, если ходить только на «белые сайты». Но толку от такой ос? В итоге вы перелагаете безопасность с системы на свою голову и пока вам вроде везёт, но безопасность системы и голова должны работать вместе. Более того ходить только на безопасные сайты не даёт вам гарантии, ни что не мешает скажем хабру быть взломанным и проэксплотировать новую уязвимость в вашем браузере, со всеми вытекающими. Хватит ли вам храбрости и безрассудства работать с интернет банкингом на такой системе или с коммерческими документами (или работать с другой винды в дуалбуте)?
>вирусов нет
Давно на руткиты проверяли?
barker
>Ну так не томите же, расскажите что там будет такого, чего не будет в какой-нибудь другой ОС?
(linux,*BSD)
Не будет выполнения произвольного кода через уязвимость в браузере, а даже если и будет в вашу систему нельзя будет установить вирус или чего там ещё.
xforce
>Отключу и похожу, довольно долго похожу. Ничего не будет.
У вас частная выборка, а вы экстраполируете её на ситуацию вообще. Если антивирус отключить и ничего не будет, тогда почему в мире существуют столько антивирусов и они стоят денег так ещё и люди их активно покупают? По моему опыту это плохо заканчивается (особо выражено на пиратке).
ComradeAndrew
>Я не использую антивирус много лет. Все отлично работает и вирусов нет. Просто качать всякое непотребство непонятно откуда явно не стоит.
Полностью согласен, если ходить только на «белые сайты». Но толку от такой ос? В итоге вы перелагаете безопасность с системы на свою голову и пока вам вроде везёт, но безопасность системы и голова должны работать вместе. Более того ходить только на безопасные сайты не даёт вам гарантии, ни что не мешает скажем хабру быть взломанным и проэксплотировать новую уязвимость в вашем браузере, со всеми вытекающими. Хватит ли вам храбрости и безрассудства работать с интернет банкингом на такой системе или с коммерческими документами (или работать с другой винды в дуалбуте)?
>вирусов нет
Давно на руткиты проверяли?
barker
>Ну так не томите же, расскажите что там будет такого, чего не будет в какой-нибудь другой ОС?
(linux,*BSD)
Не будет выполнения произвольного кода через уязвимость в браузере, а даже если и будет в вашу систему нельзя будет установить вирус или чего там ещё.
Что-же помешает установить зловред в бсд или лине, если есть возможность выполнять произвольный код под учекой браузера? Напомню, большенству современных зловредов рут не нужен (много видели последнее время браузеров запущенных от админа в винде, кстати?), достаточно просто работать с правами пользователя (крипторы) или вообще просто любыми правами с доступом к сети (ботнет).
Во всех этих ос пока помогает малая популярность на десктопах, не более. Если сейчас пойдет рассказ про возможности настройки, то в windows она тоже есть. Чем-то лучше, чем-то хуже.
Во всех этих ос пока помогает малая популярность на десктопах, не более. Если сейчас пойдет рассказ про возможности настройки, то в windows она тоже есть. Чем-то лучше, чем-то хуже.
Не будет выполнения произвольного кода через уязвимость в браузере, а даже если и будет в вашу систему нельзя будет установить вирус или чего там ещё.
Ок, в чём разница одного и того же браузера в разных системах. Возьмём конкретно хром[иум].
xforce, barker
>если есть возможность выполнять произвольный код
её нет
>Ок, в чём разница одного и того же браузера в разных системах. Возьмём конкретно хром[иум].
Не могу найти новость гдето годичной давности в которой google щедро одаривала за найденные уязвимости, при этом приз за произвольный код под хромиум за линью никто не смог вязть.
читаем:
http://bdu.fstec.ru/search?q=Google+Chrome
http://bdu.fstec.ru/search?q=Chromium
и ненадо ни чего говорить про то что хром лучше тестируется, хромиум тестируется нехуже
>если есть возможность выполнять произвольный код
её нет
>Ок, в чём разница одного и того же браузера в разных системах. Возьмём конкретно хром[иум].
Не могу найти новость гдето годичной давности в которой google щедро одаривала за найденные уязвимости, при этом приз за произвольный код под хромиум за линью никто не смог вязть.
читаем:
http://bdu.fstec.ru/search?q=Google+Chrome
http://bdu.fstec.ru/search?q=Chromium
и ненадо ни чего говорить про то что хром лучше тестируется, хромиум тестируется нехуже
Вы знаете, ваши доказательства как-то вяло выглядят, на фоне того, что постоянно обновляемая система подвержена только 0day уязвимостям.
Да, я не использую антивирусы, но постоянно обновляюсь и сам слежу за тем, чтобы чего лишнего не схватить. Как на линуксе, так и на винде. Из этого следует то, что моя безопасность практически такая, а может иногда и больше(в случае когда не обновляются и сами провоцируют появление вирусов), чем у любого использующего антивирусный софт пользователя. Поэтому ваши утверждения о беззащитности винды выглядят по меньшей мере странно и надуманно.
Это все равно что говорить, что софт плохо справляется со своей задачей, когда вы сами расковыряли его компоненты и что-то с ними сделали, провоцируя плохую работу.
Да, я не использую антивирусы, но постоянно обновляюсь и сам слежу за тем, чтобы чего лишнего не схватить. Как на линуксе, так и на винде. Из этого следует то, что моя безопасность практически такая, а может иногда и больше(в случае когда не обновляются и сами провоцируют появление вирусов), чем у любого использующего антивирусный софт пользователя. Поэтому ваши утверждения о беззащитности винды выглядят по меньшей мере странно и надуманно.
Это все равно что говорить, что софт плохо справляется со своей задачей, когда вы сами расковыряли его компоненты и что-то с ними сделали, провоцируя плохую работу.
Не могу найти новость гдето годичной давности в которой google щедро одаривала за найденные уязвимости, при этом приз за произвольный код под хромиум за линью никто не смог вязть.Т.е. вы считаете, что один и тот же хром «за линью» надёжен, а под винду решето? И как это может быть такое?
читаем:
bdu.fstec.ru/search?q=Google+Chrome
bdu.fstec.ru/search?q=Chromium
Иду по вашей ссылке, открываю первую позицию сверху:
2015-10139: Уязвимость браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
…
Операционные системы и аппаратные платформы [Операционная система, под управлением которой функционирует программное обеспечение с обнаруженной уязвимостью]
Сообщество свободного программного обеспечения Linux. x86
Сообщество свободного программного обеспечения Linux. PowerPC
Сообщество свободного программного обеспечения Linux. x64
Apple Inc. Mac OS X x64
Apple Inc. Mac OS X x86
Apple Inc. Mac OS X PowerPC
Microsoft Corp. Windows. x86
Microsoft Corp. Windows. x64
Ответ от разработчиков получил в тот же день, к сожалению не удалось его опубликовать сразу.
Итак, это не фолс — раз. И два — похоже, верный ответ никто не угадал (для нано, по крайней мере):
«Здравствуйте. Спасибо за проявленный интерес к NANO Антивирусу! Описанная вами ситуация (обнаружение шифровальщика в запароленном архиве) имеет простое объяснение — NANO Антивирус умеет проверять содержимое зашифрованных архивов, используя указанный пароль. В антивирусном модуле, развернутом на VirusTotal, имеется список предустановленных паролей — это стандартные пароли, широко используемые для шифрования архивов с инфицированными объектами. NANO Антивирус пытается проверить содержимое зашифрованного архива, используя пароли из этого писка. К архиву „info.zip“ подошел один стандартных паролей из списка, благодаря этому удалось извлечь и просканировать содержимое архива.»
Итак, это не фолс — раз. И два — похоже, верный ответ никто не угадал (для нано, по крайней мере):
«Здравствуйте. Спасибо за проявленный интерес к NANO Антивирусу! Описанная вами ситуация (обнаружение шифровальщика в запароленном архиве) имеет простое объяснение — NANO Антивирус умеет проверять содержимое зашифрованных архивов, используя указанный пароль. В антивирусном модуле, развернутом на VirusTotal, имеется список предустановленных паролей — это стандартные пароли, широко используемые для шифрования архивов с инфицированными объектами. NANO Антивирус пытается проверить содержимое зашифрованного архива, используя пароли из этого писка. К архиву „info.zip“ подошел один стандартных паролей из списка, благодаря этому удалось извлечь и просканировать содержимое архива.»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
А твой антивирус ловит запароленные архивы?