Основная проблема, с точки зрения хакера, это-то что после распаковки такого типа пакеров в ОЗУ ваша программа видна как на ладоне и её можно проверить антивирусом, сдампить и т.д.)
Для понимания происходящего, вот простой пакер UPX, его очень легко сдампить, хоть в ручную, хоть автоматически…
Примерно тоже самое и с пакерами, антивирусы делают это в автоматическом режиме.
Тут можно ещё применить различные антидампы и виртуальные машны, смысл например виртуальной машины, что ваш зверек не будет виден в ОЗУ, а будет виден если по простому интерпретатор виртуальной машины, да эти механизмы могут усложнить исследование программы, но если говорить про детект, то тогда будет детекты на саму виртуальную машину, либо её части.)
Отличная статья спасибо, познавательная, но хочу добавить пару моментов:
Мало кто это понимает, но если мы говорим про серьёзную малварь, не то-что делают скрипт-кидди, то цель крипторов/пакеров немного поменялась, если раньше крипторы использовались именно для обхода антивирусов, например как дело происходило лет наверное десять назад:
Брался уже детектируемый зверек, накрывался протектором и вау-круто, он не детектится...)))
Что происходит сейчас?
Да, статический детект и какую-то эмуляцию кода так можно сбить, но в момент запуска из-под думаю любого антивируса, пусть даже дефендера, что у нас будет происходить:
1. Все антивирусы способны выявить факт распаковки и запуска зверька в памяти.
2. Облако, да это действенное оружие против таких вирусов, а проводил тесты, даже суток не проходит, а иногда даже за пару часов, такого типа вирусы попадают в детект.
3. Детект по поведению так не обойти, но про это сказано в этой статье.)
Так зачем крипторы нужны сейчас?
Всё очень просто, для усложнения исследования и усложнения детекта уже чистых зверьков.
Вот пример, есть у вас чистый зверек, цель именно усложнить детект.
Для этого пакуется зверек, после распаковки в памяти, он может по максимому морфить свой код перед запуском.
Это всё усложнит детекты следующих образцов в облаке, более-того сам криптованный зверек не обязательно паковать в файл, можно например «спрятать» его в картинку и качать с какого-то легального обменника и т.д., что ещё более усложнит детекты чистого файла, т.к. каждый следующий образец будет почти уникальным.)
Если интересно подробнее, как-то делал статьи по крипторам и не только:https://xss.is/threads/37420/
Я-бы почитал вторую, но мне кажется вряд-ли выйдет в этом году, нефакт что вообще выйдет.:(
Семинары выгодней и проще, что-то писать куча времени занимает, а какие-то курсы гораздо легче делать.)
Про мотивацию, судя по его твиттеру там много желающих почитать такую книгу, а-так да это достаточно узкоспециализированные знания, т.е. если спроецировать это всё на монетизацию и затраты, вряд-ли там будет-уж сильная выгода, по фану только если и желание поделится опытом.
А в РФ так и вообще, ещё меньше, я немного удивился что издательство опубликовали перевод.)
Я по Си могу посоветовать Б.В. Керниган, Д.М. Ричи. «Язык C», хоть книга и не совсем новая, но очень классная, если её так хорошо прочитать и вникнуть что там написано.
Следующий уровень после прочтения этой книги, это изучение стандартов безопасного программирования на Си, в зависимости от вашей специальности, такие стандарты как MISRA-C и т.д.
По поводу С++, я мало на плюсах программирую, но то-что я читаю/читал — Это книги:
— Бьерн Страуструп. «Язык программирования С++». Вот у него много книг, есть для совсем новичков, есть для уже кто с опытом.
— Понравилась книга «Освой самостоятельно C++ по одному часу в день », но там совсем для новичков, либо кому нужно вспомнить С++.
А так в сети куча ресурсов по С++ даже не книг, нужно выбирать в соответствии с предпочтениями, уровня и что нужно вообще.
Т.к. есть книги специализированные например:
Такие как, изучение QT.
Системное программирование, где изучается С++ не просто там как изучение каких-то базовых вещей, например «Что такое класс», а идет изучение именно использование С++ для разработки системного ПО.
Я поэтому и говорю, что нужно знать какую-то базу, смысла заморачиваться на изучении какого-то конкретно языка нет.
Язык — Это инструмент, нужно понимать где его использовать потом…
Кстати по алгоритмам, классная книга есть «Грокаем алгоритмы», она не привязана к языку, очень легко читается, сейчас её читаю, но она для новичков.)
Конечно алгоритмы нужно знать, хотя-бы базовые вещи, как минимум потому-что любой код — Это есть алгоритм.)
Другое дело на сколько что-то показывают институтские задачки, которые используются по факту мало где и без подготовки те специалисты, которые не работают с такими задачами регулярно, просто не справятся.
Такие задачи будут щелкать, студенты которые хорошо учились в вузе и помнят это всё, либо олимпиадники.
Ну можно конечно подготовится на таких задачках, но смысл какой в этом?
Только для того что-бы попасть в Яндекс?
Да, можно, но для этого нужна как минимум очень хорошая мотивация.)
Возможно я хреновый спец., вот за десять лет кодинга, не разу не приходилось считать нотификацию О.
Также напрочь забыл, как например обойти граф и т.д.
Ну хрен его знает, вроде работу выполняю по своей специальности, что-то даже и работает.
Если интересно, работа связанна в отрасле ответственного применения.
Ещё немного добавлю:
Почему-то я всегда теряюсь на интервью, и мне реально сложнее вдвойне что-то писать при интервьювере.
Поэтому идеальное для меня интервью, это тестовое задание перед беседой, можно даже какой-то боевой проект, ну и беседа по тестовому заданию, опыту работы и т.д., думаю этого вполне достаточно, что-бы я показал свой уровень.
Другое дело такое поведения на беседах, как у меня говорит о каких-то качествах, которые скорей-всего не подходят компаниям типо FAANG…
Это просто привел себя как соискателя как пример, в общем решил сейчас искать компании, которые дают тестовые задания + нормальное общение на интервью (Опыт работы, какие проекты и т.д.), остальные даже рассматривать не буду, сразу буду говорить это перед интервью, что-бы не тратить время...)
Вопрос к издательству, или может кто в курсе, на сколько сейчас вообще востребовано лоулевел разработка под винду на уровне ядра в РФ?
Под Линукс знаю много всяких проектов, а что с виндой?
Просто интересно на сколько вообще сейчас актуально изучать разработку драйверов именно под винду, в Линуксе там-да другое дело, но как обстоят дела с виндой, в плане что-бы потом можно-было применить эти знания?
Когда ты учишь сам, ты можешь планировать своё время, сегодня я изучу это, а завтро то…
Спринты?
А какой в них смысл? Решение задач на время, для учебного процесса по моему мнению это даже вредно, цель вникнуть в суть, а не научиться решать базовые задачи на время, это нужно-то часто только может в спортивном программировании, где дрочат базовые алгоритмы и решают их на время.
В реальной жизни, важнее посидеть подумать, но выдать стабильный продукт, чем делать что-то второпях, да есть сроки, но редко бывает что прям нужно выдать сейчас, только если очень сильный аврал.
Я не против курсов, но по факту думаю будет тоже самое, если заниматься самому…
А кроме обучения важнее искать ещё реальные задачи, определится с областью, может даже попросить интересные компании дать тестовые задачи и т.д.
Это куда полезней курсов.
Плюс хочу сказать, что С++ это всего-лишь инструмент, который используется много где.
Можно изучить какую-то базу, а дальше уже нужно смотреть область где-кто хочет работать.
Вот пример, моя сфера деятельности — Это разработка ОСРВ, мне важнее знать устройство ОС, устройство оборудования.
Да мы используем язык Си и его тоже нужно очень хорошо знать, НО язык Си можно подтянуть буквально за 1-2 месяца, а вот знания всего остального, на это нужны годы.:(
Смысл моего поста в том-что, знания языка для работы должно-быть достаточны что-бы был какой-то базовый уровень понимания (Знания и понимания ООП и т.д.), всё остальное это уже нужно изучать в своей области...)
Повторюсь важнее даже как вы изучили базовый уровень, решать уже реальные проекты, пусть даже тестовые задания компаний, челленджи и т.д.
Тем самым вы наработаете нужный опыт и интересное портфолио, да и по времени это будет проще, т.к. никто вас не будет торопить.)
Единственный минус такого подхода — Это себя заставить что-то делать, в остальном только плюсы.)))
Хе не так давно тоже пробовал на позицию «Разработчик беспилотных автомобилей» и завалился на алгоритмах, ну там на первом этапе были простые задачи типо обход дерева и вопросы из серии «Что такое стек» и т.д.
По специальности минимум вопросов было…
На втором этапе нужно было сделать реализацию LRU кеша, в итоге я не решил за отведенное время и всё, отказ прям в этот-же день...:(
По началу расстроился, т.к. на эту позицию сделал им ещё тестовое задание, преобразователь Erhernet ->CAN, зачем нужно тестовое задание, если оно ничего не решает непонятно…
Рассчитывал на беседу по специальности, а получилась беседа в области к сожалению где я мало чего знаю, хотя сейчас решил подтянуть алгоритмы.)))
Понятное дело, компании виднее, но утомительные беседы отталкивают всякое желание пробовать ещё раз.
Хотя согласен, что всё-же алгоритмы не плохо-бы подучить, хотя на практике редко приходится их вот так самому с нуля писать.)
Даже в моей области, когда используешь вообще голый Си, где ничего нет, быстрее будет взять уже готовый алгоритм, например алгоритм быстрый сортировки, чем сидеть и тратить время на его реализацию.)
Зачем всё-же знать алгоритмы?
Бывают ситуации, что-бы понять какой выбрать, ну и если есть какие-то ошибки в реализации, для отладки нужно понимать суть.
А-так, да все эти вопросы — это теория, по факту мало чего показывают, но повторюсь компаниям виднее, примерно так спрашивают не только Яндекс, а и тот-же Касперский например, правда там меньше секций, но суть примерно такая-же.)
Поздно узнал про эту тему, скажите а выполнять задания по системному программированию актуально еще?
Сейчас начал делать, вроде относительно не сложно, вернее скажу так три задания не сложно сделать, но есть где нужно посидеть подумать и вопрос имеет-ли смысл продолжать?
Смысл для меня такой, да интересно-бы с вами побеседовать потом, если интересно то работаю также в сфере разработки кастомной ОС.
Ну и как понимаю все необязательно делать, тогда еще вопрос, а сколько нужно решить заданий для прохождения теста?
В целом я планирую все решить для тренировки, но может занять время.)))
1. Закон не будет работать, т.к. непонятно как блокировать эти VPN, по айпи? Кто мешает переодически менять эти айпи, у того-же hideme сотни айпи. :)
2. Блокировки обходят не только через VPN, думаю 20% при помощи впн, есть ещё ТОР, плагины к браузерам и т.д.
3. Никто не мешает поднять свои VPN, а не использовать общедоступный, про него РКН даже и знать не будет! :)
Ну и последнее, никакой общедоступный VPN не будет сотрудничать с РКН, по причине во первых потери клиентов, а во вторых они находятся за пределами РФ.
Честно паника мне не понятно, вроде айтишники все, думаю даже неайтишнику понятно что закон бред и просто попугать.
При отсутствии нижнего порога явки это не протест, а самоустранение от принятия важных решений.
Ну вот я лично не вижу за кого голосовать. Ну вот хорошо, скоро призеденские выборы, ну нет силы которая хотела/могла что-то изменить, коммунисты — толку от них нет, ЛДПР — то-же что и коммунисты, справедливоросы, вообще их создавали просто что-бы были, ИМХО.
Как я уже писал, «Навальным» я не верю.
Поэтому что-вы пришли на выборы, что нет, разницы никакой, что скажет правящая верхушка, то и будут делать остальные, я уже не говорю, что я в принципе не верю в выборы в РФ ! :)
Да и кто здравомыслящий будет светиться в таких местах?
Да везде сейчас контролируют, тот-же фейсбук, не ФСБ, но АНБ, а в чём разница-то, мне например фейс не нравится, давно уже, года три туда не захожу, контакт использую в основном для рекламы сайтов и т.д.
Наверное единственное что никто не контролирует, так это даркнет, но к сожалению в том-же ТОРе кроме Runion так ничего для себя и не нашёл, короче в основном чернуха там, к сожалению, но может в будущем всё поменяется, гос. к этому стремится! :)
Это все звенья одной цепи, суть которой обыватель поймет только ближе к концу.
Думаю все это понимают, другое дело, а что делать? Выходить на улицы, а за кого?
Лично я не вижу смысла в этих Навальных-Отвальных, кроме лозунга, отставки мистера Пу, так ничего и не услышал.
Про гос. думу, а кого там выбирать? Взять этот даже закон с VPN, все три партии поддержали, низкая явка как протест против нынешнего режима, это означает, что и защищать нынешний режим никто не будет, в случае чего, вот они и боятся.
Ну и ещё про блокировки, соц. сети вряд-ли будут блокировать, а те сайты которые возможно и попадут под блокировки, имеют определённую аудиторию, которая в состоянии эту блокировку обойти. :)
Например тот-же рутрекер, кто-там был, там и остался, ну перестали заходить какой-то процент «залетных» с поисковиков, сайту от этого не жарко и не холодно, также как и посетителям…
Ну и ещё про «хомяков», всё зависит ещё что нужно эти «хомякам», если заблокированная информация не важна, то может никто и не заметит, другое дело если люди привыкли к определенным сайтам и информации, то никакие блокировки не спасут, люди всё-равно будут туда заходить, тот-же рутреккер это доказал.
Или вон те-же блокировки соц. сетей в Украине, что там перестали заходить что-ли, да вряд-ли.
Вообще пост был как ответ на удаленную публикацию, но неуспел, поэтому напишу сюда! :(
Во начале, давайте ответим на вопрос, «А почему эти блокировки не эффективны ?», по моему мнению они не эффективны, не из-за того-что существуют всякие-там VPN, ТОР и т.д.
Они не эффективны, потому-что почти все жители страны не приняли эти законопроекты, думаю что почти все, кто пользуется сетью понимают для чего эти блокировки, что реальная цель это цензура и сбор приватных данных, для дальнейшего манипулирования людьми.
Поэтому люди ищут пути обхода, много-ли «среднестатистических домохозяек» знали про VPN или ТОР до введения этих законов?
А что такое VPN или ТОР с точки зрения обычного пользователя? По сути это просто программа, которую потставил и пользуешься, ТОР вообще сейчас как браузер.
Я это к тому-что какие-бы законы не принимались, в данном случае если многие люди не будут понимать почему им лешают доступ к определенным сайтам, они будут обходить эти запреты и будут развиваться технологии опбода.
Это мало вероятно по разным причинам, но давайте предположим, что заблокируют VPN, будут использовать ТОР, заблокируют ТОР.
Все вспомнят про внутренние сети, т.е. i2p, ну или даже в сети провайдера, можно сделать «скрытую» подсеть и т.д.! :)
К чему это я?
А к тому-что, предлагаю ответить на вопрос «А на сколько реально государству нужны эти блокировки и на сколько они готовы закручивать гайки ?».
Вот представьте, начнут люди создавать по настоящиму скрытые сети, которые реально уже точно хрен заблокируешь и как контроллировать? Оно это нужно им?
Или ещё, вот сейчас люди «выпускают пар» в сети, чем-то заняты и т.д. и если всё это отобрать, чем людям заниматься? Многие люди обратят внимание на эту власть. :)
Я уже не говорю, что если слишком сильно закрычивать гайки, то это негативно отразится и на репутации власти, которая итак негативная уже давно, ну и вредит бизнесу, вот из нового, блокировка сбербанка например.
Поэтому по моему мнению, то-что сейчас идёт — Это как говорят военные «Поигрывание мусколами» и не более того. Государству нужно во первых запугать, тех-кто «выступает», а во вторых отвлечь от реальных проблем.
Но а действительно, «Законы о сети» — Это такая мелочь, по сравнению с похожими «по сути» законами об образовании, медицине, пенсиях, семьи, могу долго перечислять, однако про это никто не говорит! :(
То да процессор j1900 может обрабатывать только 8 гигов памяти, т.е. правильней тариф переписать так:8 GB DDR3.
Про само количество памяти и ядер, всё зависит от проекта, я например храню индексы базы в памяти, кеширую сессии и т.д., отъедает не мало памяти между прочим…
Какая-то надёжность для этих данных и не важна в данном случае, т.к. кеш обновляется и мне не важно что там физически за память NON-ECC RAM или ECC, главное что-бы там ничего не сгорело, гы-гы! :)
2)Как понимаю что вы сейчас перепродаёте сервера у LeaseWeb, но при этом оказываете свою ТП, за счёт этого прибыль? Или-же у вас какие-то свои площадки у этого дата-центра?
3)А теперь пожелание как клиента:
— К сожалению нет решения защиты от ддос, несправляетесь даже со слабыми атаками, как на уровне Layer 7, так и на уровне вашей сети, малейший ддос станет проблемой для клиентов, немного странно т.к. такой вроде солидный дата-центр, а защитить своих клиентов не может, тот-же например OVH защищает на всех тарифах и неплохо…
— Почасовая оплата ТП, очень неудобно, уже боишься обращаться в ТП, дабы не получить счёт непонятно за что… :(
Здравствуйте, спасибо за такие развёрнутые ответы!
Док. в статье разумеется видел, но особо не вникал что-там, ибо с английским плохо дружу, но тех. литературу при необходимости в принципе могу читать с переводчиком, ну-да ладно прочитал его более детально и опять таки появились вопросы:
1)Ведь результаты антивирусов в этих тестах могут-лишь незначительно отличаться между собой, например между 3-им местом и 5-ым, 10-ым (Это как пример) может-быть разница-то всего-лишь один процент, а-то и меньше! Вот на сколько это показывает уровень отличия технологий, незнаю?
Сразу скажу, что я не эксперт в этом деле, я не отслеживаю где-какие результаты, но всё-же что-бы не быть голословным, про такое мизирное расхождение в тестах было сказано в статье «Сказки антивирусного леса» (http://habrahabr.ru/post/252755/), даже приводились примеры…
2)Теперь про документ (пдф-ка к статье), глянул более детально результаты и сразу появились вопросы:
— Почему так разнятся результаты?
Поясню что конкретно непонятно:
Ну-вот например антивирус Bitdefender – 63% попадание в топ, однако АВ на его движке G-Data – уже 30%, следующий АВ опять таки на движке бита BullGuard – 31%, F-Secure движок бита и вообще уже 14%?
Эти АВ отличаются-то мизирно между собой BullGuard – Это движок бита + Проактивная защита и файервол от Оутпоста, F-Secure – тот-же бит практически + там по мойму свои наработки файервола и проактивки. Для меня небольшой интерес представляет G-Data, т.к. там более двух движков может-быть (В зависимости от лицензии), если ничего не путаю даже в своё время у них двиг и от ЛК был-нет? Хотя может-быть путаю с TrustPort, но не важно пост не об этом! ;)
В общем-то согласен только в одном, если продукт побеждает в тестах регулярно, то в плане технологий как-минимум достойное решение (А в отношении к ЛК, в этом плане всегда относился с уважением), но вот насколько можно сравнивать АВ, используя конкретно предложенную методологию, для меня не понятно?
Что-то несмог пройти мимо, ибо возникли вопросы по статье, итак:
1)Как понял в ЛК считают чем больше наград получил АВ за последний год, тем скажем-так «круче» АВ, так?
Но мне кажется, что это в корне неправильно, во первых как тут было-уже написано в комменте, «Тесты бывают разные», не только по организации, но по своей методике, например редко-же проверяют всё в комплексе (Поправьте если я не прав !), тестят сигнатурный детект, реакцию на новые угрозы, самозащиту и т.д.
Но ведь если АВ например «Провалил» тест на что-то одно это-же вовсе не означает, что в комплексе он хуже другова АВ, таким образом я считаю можно сравнивать «Силу» АВ только в тестах по какой-то одной методике!
Пример, антивирус «А», за год победил в тестах «Х» которые показывают качество сигнатурного детекта столько-то раз и т.д.
2)Про график в статье, что-то вообще мало-чего понял, да красивые кружочки… Но что они показывают, понял только-что у ЛК кружочек больше-всех! :)
В коменте таблицу разумеется видел, но опять мало информации что за тесты, меня интересует тип тестов, т.е. сигнатурный детект, проактивная защита, или что-то ещё… Так-хоть картина будет больше видна сильных/слабых сторон АВ!
3)Непонятно как происходит оценка «Воровства детекта» в тестах и вообще происходит-ли такая оценка. Нехочу делать кому-то антирекламу, но пример Qihoo 360 смотрю аж 43% попадание в ТОП 3 (Из таблицы), НО делал я свои тесты (Любительские…), достаточно залить вирус на VT, если этот вирус кто-то детектит, то и Qihoo 360 начинает автоматом детектить через какое-то время!
Причём сам детект можно сбить банальным изменением пары некритичных для работы вируса байт в экзешнике :) Зато много отличных отзывов про этот АВ! ;)
4)Ну и четвёртое, вот мне интересно, а кому больше нужны все эти тесты, антивирусным компаниям, или пользователям (Т.е. потенциальным покупателям АВ)?
Поясню, что мне не понятно! Вот на сколько люди «Смотрят» на результаты этих-самых тестов?
Я например как потенциальных покупатель какого-то АВ, захожу на сайт антивирусного ПО, в общем-то практически везде написано «Неоднократный победитель Virus Bulletin», или отлично проявил себя в тесте Х. Но ведь покупатель не будет разбираться что за тесты, что даже за организация проводила тест и как?
Или всё-же я что-то непонимаю и результаты тестов как-то могут повлиять на продажу топовых АВ прежде всего?
P/S: Про рекламу с гугла, хоть к моему коменту отношения не имеет, но выступлю в этом случае в защиту ЛК:
Это рекламная сеть гугла – Там существуют алгоритмы (Гугловские) кому и как показывать рекламу, ЛК навряд-ли к этим алгоритмам имеет отношение, т.к. они могут только купить размещение своей рекламы, а дальше уже сама система Гугла решает как показывать рекламу…
Поэтому весь негатив лучше в адрес гугла, в этом случае!
В ЛК не работаю, также как и к индустрии АВ не имею никакого отношения, это для меня из разряда «Поболтать на форумах»! ;)
Что-бы отключить сервис Microsoft Security Essential, нужно если включён UAC повысить себе привелегии, т.е. обойти уак, а сделать это нетак просто…
Если интересно напишите программу, которая вырубает сервис, в той статье на «Хакере» есть исходник и при включенном UAC не сработает, нужно сделать манифест, тогда будет запрос пользователю, что программа-типо пытается повысить права… Обойти UAC очень тяжело, особенно если будете работать под ограниченной учёткой! ;)
Что-то несмог сдержаться, вставлю и я свои «Пять копеек»:
Скажу сразу, что я не работаю в сфере ИБ, но для меня ИБ как небольшое хобби, причём интересны не только средства защиты, но и методы их обхода, но не считайте меня малварьщиком, малварь я не распространяю, итак:
Давайте в начале определимся «Что такое антивирус», зачем он нужен, от каких угроз он защищает, а от каких нет!
Итак что-же такое АВ в моём понимании, поправьте если я неправ:
АВ — это программа, которая защищает от угроз направленных на массовое распространение. Если АВ вначале не сможет определить угрозы, т.е. пропустит, НО когда «Хакер» начнёт распространять вирус, рано или поздно он всё-равно попадёт в вирлаб и его задетектит АВ!
Теперь скажу, что все здесь отписавшиеся имеют хорошие знания в сфере IT, ну и разумеется эти знания можно применить для создания ОЧЕНЬ хорошей защиты от угроз, без использования АВ, но вопрос способны-ли это сделать другие пользователи, которые не имеют таких знаний в IT, Информационной безопасности и т.д.
Приведу пример: Человек использует компьютер для общения в соц. сетях, может-там поиграть, музыку послушать и т.д. И тут приходит ему файлик (На почту например), «Горячая блондинка (фото), хочу познакомится для секса, гы-гы...», вроде и всё похоже на картинку, он не будет анализировать файл (Вес, расширение и т.д.), поверьте он на этот файлик кликнет, со всеми вытекающими от сюда последствиями… :)
Теперь про бесплатные АВ и стандартные средства защиты Windows:
В общем-то согласен, что бесплатные АВ мало чем уступают платным аналогам, может где-то нет такого функционала как у платников, например удобный файервол, песочница и прочее-прочее…
К тому-же если рассматривать Windows, то там есть UAC, если его не отключать то для многих вирусов станет камнем преткновения! Ну и считаю что Microsoft Security Essential не заслуженно-уж так сильно обругали, считаю что при всех своих недостатках со своей задаче справляется…
А если всё использовать в комплексе: Microsoft Security Essentia+UAC+Блокировщик рекламы (Зачем он нужен напишу ниже)+файервол, то защита будет ничем не хуже чем Kaspersky Internet Security 2015, жду опровержение представителя ЛК! :)
Ну ещё немного про угрозы хочу сказать:
1)Не секрет, что «Хацкеры» используют в своём арсенале часто уже «Заезженным» софтом, это трояны и вирусы, которые изначально не детектит только ленивый, основная задача малварьщика — это «Обойти» детект, это можно делать различными способами, самый распространенный на сегодняшний день — это использование крипторов!
Думаю многие (если не все) здесь знают что-это такое, но вратце распишу что это такое:
«Хакер» берёт уже известную малварь (которая уже детектится почти всеми), далее делает специальную программу (Конструктор), которая шифрует сам вирус (Алгоритм шифрования вообще-то неважен, можно даже обычным XOR), далее в «Тело зашифрованного вируса», в начало исполнения программы, помещается маленькая програмка (Стаб), которая расшифровывает вирус в памяти и запускает его прям в памяти…
Если по простому, то криптор это: Антиэмуляция (Что это такое ниже) — Расшифровка вируса- Антиэмуляция- Запуск вируса
Ну и АВ хитры, они неплохо так эмулируют код, можно зашифровать вирус, но он задетектится во время раскриптовки или запуска, для это и нужна антиэмуляция!
Кстати эмуляция Microsoft Security Essential по мойму самая мощная, уж очень не просто её обойти, это кстати про качество этого АВ…
Но не буду вдаваться в подробности крипторов, ибо тема ОЧЕНЬ серьёзная можно всю жизнь потратить на их изучение и совершенствование, да и пост не об этом! ;)
Хочу подвести итог своей этой писанины:
1)Обойти любой ав может каждый, было-бы желание и время, НО расскажу по секрету в чём зарыта собака:
Если вы начнёте распространять свой вирус, АВ начнут детектить ваш троянчик и вся атака сведётся либо к минимуму, либо вообще на ноль…
2)Как говорят «Профи» в этом деле, написать свой криптор например нетак сложно, сложно его постоянно поддерживать, т.е. «Чистить» после детекта, сделать так что-бы он максимально долго не детектился, знаю что есть адварь, которая автоматом перепаковывается (При помощи различных скриптов) и т.д.
3)Ну и ещё хочу сказать про распространение Адвари/малвари, да взлом сайтов имеет место быть, но за частую всё просто — Это ненадёжные рекламные партнёрские сети, которые вебмастера сами-же и устанавливают на свои сайты, про это кстати сам Евгений Касперский в своём интервью говорил, грозился даже все такие сайты заблокировать в своём продукте, на что-то до этого дело не дошло, гы-гы… Поэтому нармальный блокировщик рекламы, может ОЧЕНЬ хорошо защитить от вирусов на сайтах !
Основная проблема, с точки зрения хакера, это-то что после распаковки такого типа пакеров в ОЗУ ваша программа видна как на ладоне и её можно проверить антивирусом, сдампить и т.д.)
Для понимания происходящего, вот простой пакер UPX, его очень легко сдампить, хоть в ручную, хоть автоматически…
Примерно тоже самое и с пакерами, антивирусы делают это в автоматическом режиме.
Тут можно ещё применить различные антидампы и виртуальные машны, смысл например виртуальной машины, что ваш зверек не будет виден в ОЗУ, а будет виден если по простому интерпретатор виртуальной машины, да эти механизмы могут усложнить исследование программы, но если говорить про детект, то тогда будет детекты на саму виртуальную машину, либо её части.)
Мало кто это понимает, но если мы говорим про серьёзную малварь, не то-что делают скрипт-кидди, то цель крипторов/пакеров немного поменялась, если раньше крипторы использовались именно для обхода антивирусов, например как дело происходило лет наверное десять назад:
Брался уже детектируемый зверек, накрывался протектором и вау-круто, он не детектится...)))
Что происходит сейчас?
Да, статический детект и какую-то эмуляцию кода так можно сбить, но в момент запуска из-под думаю любого антивируса, пусть даже дефендера, что у нас будет происходить:
1. Все антивирусы способны выявить факт распаковки и запуска зверька в памяти.
2. Облако, да это действенное оружие против таких вирусов, а проводил тесты, даже суток не проходит, а иногда даже за пару часов, такого типа вирусы попадают в детект.
3. Детект по поведению так не обойти, но про это сказано в этой статье.)
Так зачем крипторы нужны сейчас?
Всё очень просто, для усложнения исследования и усложнения детекта уже чистых зверьков.
Вот пример, есть у вас чистый зверек, цель именно усложнить детект.
Для этого пакуется зверек, после распаковки в памяти, он может по максимому морфить свой код перед запуском.
Это всё усложнит детекты следующих образцов в облаке, более-того сам криптованный зверек не обязательно паковать в файл, можно например «спрятать» его в картинку и качать с какого-то легального обменника и т.д., что ещё более усложнит детекты чистого файла, т.к. каждый следующий образец будет почти уникальным.)
Если интересно подробнее, как-то делал статьи по крипторам и не только:https://xss.is/threads/37420/
Семинары выгодней и проще, что-то писать куча времени занимает, а какие-то курсы гораздо легче делать.)
Про мотивацию, судя по его твиттеру там много желающих почитать такую книгу, а-так да это достаточно узкоспециализированные знания, т.е. если спроецировать это всё на монетизацию и затраты, вряд-ли там будет-уж сильная выгода, по фану только если и желание поделится опытом.
А в РФ так и вообще, ещё меньше, я немного удивился что издательство опубликовали перевод.)
Следующий уровень после прочтения этой книги, это изучение стандартов безопасного программирования на Си, в зависимости от вашей специальности, такие стандарты как MISRA-C и т.д.
По поводу С++, я мало на плюсах программирую, но то-что я читаю/читал — Это книги:
— Бьерн Страуструп. «Язык программирования С++». Вот у него много книг, есть для совсем новичков, есть для уже кто с опытом.
— Понравилась книга «Освой самостоятельно C++ по одному часу в день », но там совсем для новичков, либо кому нужно вспомнить С++.
А так в сети куча ресурсов по С++ даже не книг, нужно выбирать в соответствии с предпочтениями, уровня и что нужно вообще.
Т.к. есть книги специализированные например:
Такие как, изучение QT.
Системное программирование, где изучается С++ не просто там как изучение каких-то базовых вещей, например «Что такое класс», а идет изучение именно использование С++ для разработки системного ПО.
Я поэтому и говорю, что нужно знать какую-то базу, смысла заморачиваться на изучении какого-то конкретно языка нет.
Язык — Это инструмент, нужно понимать где его использовать потом…
Кстати по алгоритмам, классная книга есть «Грокаем алгоритмы», она не привязана к языку, очень легко читается, сейчас её читаю, но она для новичков.)
Конечно алгоритмы нужно знать, хотя-бы базовые вещи, как минимум потому-что любой код — Это есть алгоритм.)
Другое дело на сколько что-то показывают институтские задачки, которые используются по факту мало где и без подготовки те специалисты, которые не работают с такими задачами регулярно, просто не справятся.
Такие задачи будут щелкать, студенты которые хорошо учились в вузе и помнят это всё, либо олимпиадники.
Ну можно конечно подготовится на таких задачках, но смысл какой в этом?
Только для того что-бы попасть в Яндекс?
Да, можно, но для этого нужна как минимум очень хорошая мотивация.)
Возможно я хреновый спец., вот за десять лет кодинга, не разу не приходилось считать нотификацию О.
Также напрочь забыл, как например обойти граф и т.д.
Ну хрен его знает, вроде работу выполняю по своей специальности, что-то даже и работает.
Если интересно, работа связанна в отрасле ответственного применения.
Ещё немного добавлю:
Почему-то я всегда теряюсь на интервью, и мне реально сложнее вдвойне что-то писать при интервьювере.
Поэтому идеальное для меня интервью, это тестовое задание перед беседой, можно даже какой-то боевой проект, ну и беседа по тестовому заданию, опыту работы и т.д., думаю этого вполне достаточно, что-бы я показал свой уровень.
Другое дело такое поведения на беседах, как у меня говорит о каких-то качествах, которые скорей-всего не подходят компаниям типо FAANG…
Это просто привел себя как соискателя как пример, в общем решил сейчас искать компании, которые дают тестовые задания + нормальное общение на интервью (Опыт работы, какие проекты и т.д.), остальные даже рассматривать не буду, сразу буду говорить это перед интервью, что-бы не тратить время...)
Под Линукс знаю много всяких проектов, а что с виндой?
Просто интересно на сколько вообще сейчас актуально изучать разработку драйверов именно под винду, в Линуксе там-да другое дело, но как обстоят дела с виндой, в плане что-бы потом можно-было применить эти знания?
Хочу отметить, что вопрос именно про РФ.)
Да, у вас драйвер неподписан, нужно перевести систему в тестовой режим, а для продакшена нужно подписать драйвер.
Хе, я ради фана перевел эту книгу, по вопросу создания и отладки драйвера, вот можете почитать мой перевод главы посвященной вашему вопросу:https://ru-sfera.online/threads/windows-kernel-programming-glava-2-nachalo-raboty-s-instrumentami-razrabotchika-jadra.3945/
Также я выкладывал и другие главы, но это любительский больше даже пересказ, а не перевод.
Книга класс, большое спасибо издательству, рекомендую купить, кому интересна разработка драйверов.)
Но книга больше для новичков, т.е. рассматнивает базовые вещи системного программирования для винды.)
В чем эффективность и быстрота?
Когда ты учишь сам, ты можешь планировать своё время, сегодня я изучу это, а завтро то…
Спринты?
А какой в них смысл? Решение задач на время, для учебного процесса по моему мнению это даже вредно, цель вникнуть в суть, а не научиться решать базовые задачи на время, это нужно-то часто только может в спортивном программировании, где дрочат базовые алгоритмы и решают их на время.
В реальной жизни, важнее посидеть подумать, но выдать стабильный продукт, чем делать что-то второпях, да есть сроки, но редко бывает что прям нужно выдать сейчас, только если очень сильный аврал.
Я не против курсов, но по факту думаю будет тоже самое, если заниматься самому…
А кроме обучения важнее искать ещё реальные задачи, определится с областью, может даже попросить интересные компании дать тестовые задачи и т.д.
Это куда полезней курсов.
Плюс хочу сказать, что С++ это всего-лишь инструмент, который используется много где.
Можно изучить какую-то базу, а дальше уже нужно смотреть область где-кто хочет работать.
Вот пример, моя сфера деятельности — Это разработка ОСРВ, мне важнее знать устройство ОС, устройство оборудования.
Да мы используем язык Си и его тоже нужно очень хорошо знать, НО язык Си можно подтянуть буквально за 1-2 месяца, а вот знания всего остального, на это нужны годы.:(
Смысл моего поста в том-что, знания языка для работы должно-быть достаточны что-бы был какой-то базовый уровень понимания (Знания и понимания ООП и т.д.), всё остальное это уже нужно изучать в своей области...)
Повторюсь важнее даже как вы изучили базовый уровень, решать уже реальные проекты, пусть даже тестовые задания компаний, челленджи и т.д.
Тем самым вы наработаете нужный опыт и интересное портфолио, да и по времени это будет проще, т.к. никто вас не будет торопить.)
Единственный минус такого подхода — Это себя заставить что-то делать, в остальном только плюсы.)))
Не ну серьёзно, темы:
Умные указатели, move-семантика, полиморфизм и наследование, RAII, variadic templates…
Этот базовый набор везде рассматривается, более того и не нужно тратить по 4 часов в день, достаточно по часу читать и делать упражнения…
Про проекты тоже самое:
Json, вектора и т.д., это разве портфолио?
Да при устройстве может и будет плюсик, но вряд-ли это как-то сильно-уж повлияет.:(
Вывод такой, курсы это хорошо, но лучше учиться самому, и желательно на реальных проектах, а вот где взять реальные задачи, это уже вопрос.)
По специальности минимум вопросов было…
На втором этапе нужно было сделать реализацию LRU кеша, в итоге я не решил за отведенное время и всё, отказ прям в этот-же день...:(
По началу расстроился, т.к. на эту позицию сделал им ещё тестовое задание, преобразователь Erhernet ->CAN, зачем нужно тестовое задание, если оно ничего не решает непонятно…
Рассчитывал на беседу по специальности, а получилась беседа в области к сожалению где я мало чего знаю, хотя сейчас решил подтянуть алгоритмы.)))
Понятное дело, компании виднее, но утомительные беседы отталкивают всякое желание пробовать ещё раз.
Хотя согласен, что всё-же алгоритмы не плохо-бы подучить, хотя на практике редко приходится их вот так самому с нуля писать.)
Даже в моей области, когда используешь вообще голый Си, где ничего нет, быстрее будет взять уже готовый алгоритм, например алгоритм быстрый сортировки, чем сидеть и тратить время на его реализацию.)
Зачем всё-же знать алгоритмы?
Бывают ситуации, что-бы понять какой выбрать, ну и если есть какие-то ошибки в реализации, для отладки нужно понимать суть.
А-так, да все эти вопросы — это теория, по факту мало чего показывают, но повторюсь компаниям виднее, примерно так спрашивают не только Яндекс, а и тот-же Касперский например, правда там меньше секций, но суть примерно такая-же.)
Поздно узнал про эту тему, скажите а выполнять задания по системному программированию актуально еще?
Сейчас начал делать, вроде относительно не сложно, вернее скажу так три задания не сложно сделать, но есть где нужно посидеть подумать и вопрос имеет-ли смысл продолжать?
Смысл для меня такой, да интересно-бы с вами побеседовать потом, если интересно то работаю также в сфере разработки кастомной ОС.
Ну и как понимаю все необязательно делать, тогда еще вопрос, а сколько нужно решить заданий для прохождения теста?
В целом я планирую все решить для тренировки, но может занять время.)))
Благодарю за интересные задачи.)
1. Закон не будет работать, т.к. непонятно как блокировать эти VPN, по айпи? Кто мешает переодически менять эти айпи, у того-же hideme сотни айпи. :)
2. Блокировки обходят не только через VPN, думаю 20% при помощи впн, есть ещё ТОР, плагины к браузерам и т.д.
3. Никто не мешает поднять свои VPN, а не использовать общедоступный, про него РКН даже и знать не будет! :)
Ну и последнее, никакой общедоступный VPN не будет сотрудничать с РКН, по причине во первых потери клиентов, а во вторых они находятся за пределами РФ.
Честно паника мне не понятно, вроде айтишники все, думаю даже неайтишнику понятно что закон бред и просто попугать.
У меня всё! ;)
Ну вот я лично не вижу за кого голосовать. Ну вот хорошо, скоро призеденские выборы, ну нет силы которая хотела/могла что-то изменить, коммунисты — толку от них нет, ЛДПР — то-же что и коммунисты, справедливоросы, вообще их создавали просто что-бы были, ИМХО.
Как я уже писал, «Навальным» я не верю.
Поэтому что-вы пришли на выборы, что нет, разницы никакой, что скажет правящая верхушка, то и будут делать остальные, я уже не говорю, что я в принципе не верю в выборы в РФ ! :)
Да везде сейчас контролируют, тот-же фейсбук, не ФСБ, но АНБ, а в чём разница-то, мне например фейс не нравится, давно уже, года три туда не захожу, контакт использую в основном для рекламы сайтов и т.д.
Про месседжеры тоже их контролируют, есть даже мнение что Telegram — ФСБ проект ! :)
Наверное единственное что никто не контролирует, так это даркнет, но к сожалению в том-же ТОРе кроме Runion так ничего для себя и не нашёл, короче в основном чернуха там, к сожалению, но может в будущем всё поменяется, гос. к этому стремится! :)
Думаю все это понимают, другое дело, а что делать? Выходить на улицы, а за кого?
Лично я не вижу смысла в этих Навальных-Отвальных, кроме лозунга, отставки мистера Пу, так ничего и не услышал.
Про гос. думу, а кого там выбирать? Взять этот даже закон с VPN, все три партии поддержали, низкая явка как протест против нынешнего режима, это означает, что и защищать нынешний режим никто не будет, в случае чего, вот они и боятся.
Ну и ещё про блокировки, соц. сети вряд-ли будут блокировать, а те сайты которые возможно и попадут под блокировки, имеют определённую аудиторию, которая в состоянии эту блокировку обойти. :)
Например тот-же рутрекер, кто-там был, там и остался, ну перестали заходить какой-то процент «залетных» с поисковиков, сайту от этого не жарко и не холодно, также как и посетителям…
Ну и ещё про «хомяков», всё зависит ещё что нужно эти «хомякам», если заблокированная информация не важна, то может никто и не заметит, другое дело если люди привыкли к определенным сайтам и информации, то никакие блокировки не спасут, люди всё-равно будут туда заходить, тот-же рутреккер это доказал.
Или вон те-же блокировки соц. сетей в Украине, что там перестали заходить что-ли, да вряд-ли.
Вставлю и я свои пять копеек в это обсуждение.
Вообще пост был как ответ на удаленную публикацию, но неуспел, поэтому напишу сюда! :(
Во начале, давайте ответим на вопрос, «А почему эти блокировки не эффективны ?», по моему мнению они не эффективны, не из-за того-что существуют всякие-там VPN, ТОР и т.д.
Они не эффективны, потому-что почти все жители страны не приняли эти законопроекты, думаю что почти все, кто пользуется сетью понимают для чего эти блокировки, что реальная цель это цензура и сбор приватных данных, для дальнейшего манипулирования людьми.
Поэтому люди ищут пути обхода, много-ли «среднестатистических домохозяек» знали про VPN или ТОР до введения этих законов?
А что такое VPN или ТОР с точки зрения обычного пользователя? По сути это просто программа, которую потставил и пользуешься, ТОР вообще сейчас как браузер.
Я это к тому-что какие-бы законы не принимались, в данном случае если многие люди не будут понимать почему им лешают доступ к определенным сайтам, они будут обходить эти запреты и будут развиваться технологии опбода.
Это мало вероятно по разным причинам, но давайте предположим, что заблокируют VPN, будут использовать ТОР, заблокируют ТОР.
Все вспомнят про внутренние сети, т.е. i2p, ну или даже в сети провайдера, можно сделать «скрытую» подсеть и т.д.! :)
К чему это я?
А к тому-что, предлагаю ответить на вопрос «А на сколько реально государству нужны эти блокировки и на сколько они готовы закручивать гайки ?».
Вот представьте, начнут люди создавать по настоящиму скрытые сети, которые реально уже точно хрен заблокируешь и как контроллировать? Оно это нужно им?
Или ещё, вот сейчас люди «выпускают пар» в сети, чем-то заняты и т.д. и если всё это отобрать, чем людям заниматься? Многие люди обратят внимание на эту власть. :)
Я уже не говорю, что если слишком сильно закрычивать гайки, то это негативно отразится и на репутации власти, которая итак негативная уже давно, ну и вредит бизнесу, вот из нового, блокировка сбербанка например.
Поэтому по моему мнению, то-что сейчас идёт — Это как говорят военные «Поигрывание мусколами» и не более того. Государству нужно во первых запугать, тех-кто «выступает», а во вторых отвлечь от реальных проблем.
Но а действительно, «Законы о сети» — Это такая мелочь, по сравнению с похожими «по сути» законами об образовании, медицине, пенсиях, семьи, могу долго перечислять, однако про это никто не говорит! :(
Интересная статья, всегда приятно когда хобби становится чем-то больше, даже частью жизни…
Но не со всем в статье согласнен, поясню с чем несогласен, за одно задам пару вопросов/пожеланий:
1)Ваше предложение «RAM и ЦПУ на сервере, это marketing bullshit», верно лишь с оговорками, вот вы привели пример сервера:
j1900 / 16 GB DDR3 / 1 TB HDD WD RE4 / 100 mbit / 1 IPv4 = $25/m
То да процессор j1900 может обрабатывать только 8 гигов памяти, т.е. правильней тариф переписать так:8 GB DDR3.
Про само количество памяти и ядер, всё зависит от проекта, я например храню индексы базы в памяти, кеширую сессии и т.д., отъедает не мало памяти между прочим…
Какая-то надёжность для этих данных и не важна в данном случае, т.к. кеш обновляется и мне не важно что там физически за память NON-ECC RAM или ECC, главное что-бы там ничего не сгорело, гы-гы! :)
2)Как понимаю что вы сейчас перепродаёте сервера у LeaseWeb, но при этом оказываете свою ТП, за счёт этого прибыль? Или-же у вас какие-то свои площадки у этого дата-центра?
3)А теперь пожелание как клиента:
— К сожалению нет решения защиты от ддос, несправляетесь даже со слабыми атаками, как на уровне Layer 7, так и на уровне вашей сети, малейший ддос станет проблемой для клиентов, немного странно т.к. такой вроде солидный дата-центр, а защитить своих клиентов не может, тот-же например OVH защищает на всех тарифах и неплохо…
— Почасовая оплата ТП, очень неудобно, уже боишься обращаться в ТП, дабы не получить счёт непонятно за что… :(
Док. в статье разумеется видел, но особо не вникал что-там, ибо с английским плохо дружу, но тех. литературу при необходимости в принципе могу читать с переводчиком, ну-да ладно прочитал его более детально и опять таки появились вопросы:
1)Ведь результаты антивирусов в этих тестах могут-лишь незначительно отличаться между собой, например между 3-им местом и 5-ым, 10-ым (Это как пример) может-быть разница-то всего-лишь один процент, а-то и меньше! Вот на сколько это показывает уровень отличия технологий, незнаю?
Сразу скажу, что я не эксперт в этом деле, я не отслеживаю где-какие результаты, но всё-же что-бы не быть голословным, про такое мизирное расхождение в тестах было сказано в статье «Сказки антивирусного леса» (http://habrahabr.ru/post/252755/), даже приводились примеры…
2)Теперь про документ (пдф-ка к статье), глянул более детально результаты и сразу появились вопросы:
— Почему так разнятся результаты?
Поясню что конкретно непонятно:
Ну-вот например антивирус Bitdefender – 63% попадание в топ, однако АВ на его движке G-Data – уже 30%, следующий АВ опять таки на движке бита BullGuard – 31%, F-Secure движок бита и вообще уже 14%?
Эти АВ отличаются-то мизирно между собой BullGuard – Это движок бита + Проактивная защита и файервол от Оутпоста, F-Secure – тот-же бит практически + там по мойму свои наработки файервола и проактивки. Для меня небольшой интерес представляет G-Data, т.к. там более двух движков может-быть (В зависимости от лицензии), если ничего не путаю даже в своё время у них двиг и от ЛК был-нет? Хотя может-быть путаю с TrustPort, но не важно пост не об этом! ;)
В общем-то согласен только в одном, если продукт побеждает в тестах регулярно, то в плане технологий как-минимум достойное решение (А в отношении к ЛК, в этом плане всегда относился с уважением), но вот насколько можно сравнивать АВ, используя конкретно предложенную методологию, для меня не понятно?
Что-то несмог пройти мимо, ибо возникли вопросы по статье, итак:
1)Как понял в ЛК считают чем больше наград получил АВ за последний год, тем скажем-так «круче» АВ, так?
Но мне кажется, что это в корне неправильно, во первых как тут было-уже написано в комменте, «Тесты бывают разные», не только по организации, но по своей методике, например редко-же проверяют всё в комплексе (Поправьте если я не прав !), тестят сигнатурный детект, реакцию на новые угрозы, самозащиту и т.д.
Но ведь если АВ например «Провалил» тест на что-то одно это-же вовсе не означает, что в комплексе он хуже другова АВ, таким образом я считаю можно сравнивать «Силу» АВ только в тестах по какой-то одной методике!
Пример, антивирус «А», за год победил в тестах «Х» которые показывают качество сигнатурного детекта столько-то раз и т.д.
2)Про график в статье, что-то вообще мало-чего понял, да красивые кружочки… Но что они показывают, понял только-что у ЛК кружочек больше-всех! :)
В коменте таблицу разумеется видел, но опять мало информации что за тесты, меня интересует тип тестов, т.е. сигнатурный детект, проактивная защита, или что-то ещё… Так-хоть картина будет больше видна сильных/слабых сторон АВ!
3)Непонятно как происходит оценка «Воровства детекта» в тестах и вообще происходит-ли такая оценка. Нехочу делать кому-то антирекламу, но пример Qihoo 360 смотрю аж 43% попадание в ТОП 3 (Из таблицы), НО делал я свои тесты (Любительские…), достаточно залить вирус на VT, если этот вирус кто-то детектит, то и Qihoo 360 начинает автоматом детектить через какое-то время!
Причём сам детект можно сбить банальным изменением пары некритичных для работы вируса байт в экзешнике :) Зато много отличных отзывов про этот АВ! ;)
4)Ну и четвёртое, вот мне интересно, а кому больше нужны все эти тесты, антивирусным компаниям, или пользователям (Т.е. потенциальным покупателям АВ)?
Поясню, что мне не понятно! Вот на сколько люди «Смотрят» на результаты этих-самых тестов?
Я например как потенциальных покупатель какого-то АВ, захожу на сайт антивирусного ПО, в общем-то практически везде написано «Неоднократный победитель Virus Bulletin», или отлично проявил себя в тесте Х. Но ведь покупатель не будет разбираться что за тесты, что даже за организация проводила тест и как?
Или всё-же я что-то непонимаю и результаты тестов как-то могут повлиять на продажу топовых АВ прежде всего?
P/S: Про рекламу с гугла, хоть к моему коменту отношения не имеет, но выступлю в этом случае в защиту ЛК:
Это рекламная сеть гугла – Там существуют алгоритмы (Гугловские) кому и как показывать рекламу, ЛК навряд-ли к этим алгоритмам имеет отношение, т.к. они могут только купить размещение своей рекламы, а дальше уже сама система Гугла решает как показывать рекламу…
Поэтому весь негатив лучше в адрес гугла, в этом случае!
В ЛК не работаю, также как и к индустрии АВ не имею никакого отношения, это для меня из разряда «Поболтать на форумах»! ;)
Но пара важных моментов:
Что-бы отключить сервис Microsoft Security Essential, нужно если включён UAC повысить себе привелегии, т.е. обойти уак, а сделать это нетак просто…
Если интересно напишите программу, которая вырубает сервис, в той статье на «Хакере» есть исходник и при включенном UAC не сработает, нужно сделать манифест, тогда будет запрос пользователю, что программа-типо пытается повысить права… Обойти UAC очень тяжело, особенно если будете работать под ограниченной учёткой! ;)
Скажу сразу, что я не работаю в сфере ИБ, но для меня ИБ как небольшое хобби, причём интересны не только средства защиты, но и методы их обхода, но не считайте меня малварьщиком, малварь я не распространяю, итак:
Давайте в начале определимся «Что такое антивирус», зачем он нужен, от каких угроз он защищает, а от каких нет!
Итак что-же такое АВ в моём понимании, поправьте если я неправ:
АВ — это программа, которая защищает от угроз направленных на массовое распространение. Если АВ вначале не сможет определить угрозы, т.е. пропустит, НО когда «Хакер» начнёт распространять вирус, рано или поздно он всё-равно попадёт в вирлаб и его задетектит АВ!
Теперь скажу, что все здесь отписавшиеся имеют хорошие знания в сфере IT, ну и разумеется эти знания можно применить для создания ОЧЕНЬ хорошей защиты от угроз, без использования АВ, но вопрос способны-ли это сделать другие пользователи, которые не имеют таких знаний в IT, Информационной безопасности и т.д.
Приведу пример: Человек использует компьютер для общения в соц. сетях, может-там поиграть, музыку послушать и т.д. И тут приходит ему файлик (На почту например), «Горячая блондинка (фото), хочу познакомится для секса, гы-гы...», вроде и всё похоже на картинку, он не будет анализировать файл (Вес, расширение и т.д.), поверьте он на этот файлик кликнет, со всеми вытекающими от сюда последствиями… :)
Теперь про бесплатные АВ и стандартные средства защиты Windows:
В общем-то согласен, что бесплатные АВ мало чем уступают платным аналогам, может где-то нет такого функционала как у платников, например удобный файервол, песочница и прочее-прочее…
К тому-же если рассматривать Windows, то там есть UAC, если его не отключать то для многих вирусов станет камнем преткновения! Ну и считаю что Microsoft Security Essential не заслуженно-уж так сильно обругали, считаю что при всех своих недостатках со своей задаче справляется…
А если всё использовать в комплексе: Microsoft Security Essentia+UAC+Блокировщик рекламы (Зачем он нужен напишу ниже)+файервол, то защита будет ничем не хуже чем Kaspersky Internet Security 2015, жду опровержение представителя ЛК! :)
Ну ещё немного про угрозы хочу сказать:
1)Не секрет, что «Хацкеры» используют в своём арсенале часто уже «Заезженным» софтом, это трояны и вирусы, которые изначально не детектит только ленивый, основная задача малварьщика — это «Обойти» детект, это можно делать различными способами, самый распространенный на сегодняшний день — это использование крипторов!
Думаю многие (если не все) здесь знают что-это такое, но вратце распишу что это такое:
«Хакер» берёт уже известную малварь (которая уже детектится почти всеми), далее делает специальную программу (Конструктор), которая шифрует сам вирус (Алгоритм шифрования вообще-то неважен, можно даже обычным XOR), далее в «Тело зашифрованного вируса», в начало исполнения программы, помещается маленькая програмка (Стаб), которая расшифровывает вирус в памяти и запускает его прям в памяти…
Если по простому, то криптор это: Антиэмуляция (Что это такое ниже) — Расшифровка вируса- Антиэмуляция- Запуск вируса
Ну и АВ хитры, они неплохо так эмулируют код, можно зашифровать вирус, но он задетектится во время раскриптовки или запуска, для это и нужна антиэмуляция!
Кстати эмуляция Microsoft Security Essential по мойму самая мощная, уж очень не просто её обойти, это кстати про качество этого АВ…
Но не буду вдаваться в подробности крипторов, ибо тема ОЧЕНЬ серьёзная можно всю жизнь потратить на их изучение и совершенствование, да и пост не об этом! ;)
Хочу подвести итог своей этой писанины:
1)Обойти любой ав может каждый, было-бы желание и время, НО расскажу по секрету в чём зарыта собака:
Если вы начнёте распространять свой вирус, АВ начнут детектить ваш троянчик и вся атака сведётся либо к минимуму, либо вообще на ноль…
2)Как говорят «Профи» в этом деле, написать свой криптор например нетак сложно, сложно его постоянно поддерживать, т.е. «Чистить» после детекта, сделать так что-бы он максимально долго не детектился, знаю что есть адварь, которая автоматом перепаковывается (При помощи различных скриптов) и т.д.
3)Ну и ещё хочу сказать про распространение Адвари/малвари, да взлом сайтов имеет место быть, но за частую всё просто — Это ненадёжные рекламные партнёрские сети, которые вебмастера сами-же и устанавливают на свои сайты, про это кстати сам Евгений Касперский в своём интервью говорил, грозился даже все такие сайты заблокировать в своём продукте, на что-то до этого дело не дошло, гы-гы… Поэтому нармальный блокировщик рекламы, может ОЧЕНЬ хорошо защитить от вирусов на сайтах !
Фуу, устал писать! Я закончил! Всем добра! ;)