Мне прислали вопросы, но я думаю, лучше ответить здесь, всем и сразу
> 1. Есть разница в скриптах между saVerun_user и saferun_user
Разницы нет. В теле батника, просто всё написано через «saFerun_user», а в тексте поста через «saVerun_user», но смысл не меняется)
> 2. Под русской W7 Ult.
>
> net localgroup users saferun_user_***6 /delete
> Системная ошибка 1376.
>
> Указанная локальная группа не существует.
Да, в русской версии Windows 7 надо писать
«net localgroup пользователи saferun_user_***6 /delete»
> 3. Если скрипт запустить при запущенном FireFox, скрипт зависнет на предложении при xcopy — попытка доступа к открытым ресурсам.
При запущенном Firefox'e xcopy должен сказать «sharing violation» на файл parent.lock, но зависнуть ни чего не должно. Дождитесь, пожалуйста, пока профайл просто полностью скопируется. Время ожидания зависит от размера профайла на диске. По этой же причине долгого ожидания в батнике закомменчена работа с Chrome'ом.
Предвижу ответ, что трояны, запущенные с пользовательскими правами, не будут мешать работе остальным пользователям… + Ни кто не запрещает рисовать «Full Screen» + «Always on Top» окно блокерам.
> Детектирование вредоносных программ — это как происходит?
Детектирование зависит от модуля в антивирусе, которым производится блокировка работы трояна. Если речь идёт о сигнатурном сканере, то просто ищем подходящие байты в файле и делаем на них запись в антивирусной базе.
>Вы вручную перебираете миллионы файлов и скриптов, пока не найдете что-то подозрительное?
Нет. Конечно есть роботы, которые проделывают основную часть работы, остальное ручками.
>Написание прототипов — это как и зачем?
Прототипирование на любом удобном языке программирования. Зачем? Чтобы доказать или опровергнуть работоспособность какой-либо идеи.
> Вы сами выдумываете вирусы, чтобы тут же думать, как от них защититься?
Там в тексте есть ответ.
> Написание аналитики — это выборка из БД и предоставление результата в понятном менеджеру виде?
Нет. В основном имеется в виду это www.securelist.com/ru/analysis
Формально в мои обязанности (как ведущего вирусного аналитика) входят 3 задачи:
1. Анализ и детектирование вредоносных программ
2. Программирование прототипов
3. Написание аналитики
Вроде все.
Ну да. Читаем их новости и блоги. По продуктам смотрим White Paper'ы и презентации. В IDA'е продукты конкурентов мы не смотрим, если Вы об этом спрашиваете)
Не переживайте, IE используется только для внутренних сайтов с авторизацией через определённую проксю. Для инета, конечно используется FireFox+NoScript. А вообще это может быть тема для отдельного поста, как организовано место аналитика…
Глупости — это когда генерация ключей происходит, например, в зависимости от времени, любезно указанного в PE header'е. Если считаете, что крипта Вас спасёт, то флаг в руки.
> 1. Есть разница в скриптах между saVerun_user и saferun_user
Разницы нет. В теле батника, просто всё написано через «saFerun_user», а в тексте поста через «saVerun_user», но смысл не меняется)
> 2. Под русской W7 Ult.
>
> net localgroup users saferun_user_***6 /delete
> Системная ошибка 1376.
>
> Указанная локальная группа не существует.
Да, в русской версии Windows 7 надо писать
«net localgroup пользователи saferun_user_***6 /delete»
> 3. Если скрипт запустить при запущенном FireFox, скрипт зависнет на предложении при xcopy — попытка доступа к открытым ресурсам.
При запущенном Firefox'e xcopy должен сказать «sharing violation» на файл parent.lock, но зависнуть ни чего не должно. Дождитесь, пожалуйста, пока профайл просто полностью скопируется. Время ожидания зависит от размера профайла на диске. По этой же причине долгого ожидания в батнике закомменчена работа с Chrome'ом.
Еще вопросы?
> Детектирование вредоносных программ — это как происходит?
Детектирование зависит от модуля в антивирусе, которым производится блокировка работы трояна. Если речь идёт о сигнатурном сканере, то просто ищем подходящие байты в файле и делаем на них запись в антивирусной базе.
>Вы вручную перебираете миллионы файлов и скриптов, пока не найдете что-то подозрительное?
Нет. Конечно есть роботы, которые проделывают основную часть работы, остальное ручками.
>Написание прототипов — это как и зачем?
Прототипирование на любом удобном языке программирования. Зачем? Чтобы доказать или опровергнуть работоспособность какой-либо идеи.
> Вы сами выдумываете вирусы, чтобы тут же думать, как от них защититься?
Там в тексте есть ответ.
> Написание аналитики — это выборка из БД и предоставление результата в понятном менеджеру виде?
Нет. В основном имеется в виду это www.securelist.com/ru/analysis
1. Анализ и детектирование вредоносных программ
2. Программирование прототипов
3. Написание аналитики
Вроде все.
— (FF) Ну ты, козел, скажи свой свой IP'шник!!!
— (User123) 127.0.0.1
(Пользователь FF вышел из чата)
1. www.oxygen-forensic.com/ru/
2. speechpro.com/
На Хабре есть сотрудники этих компаний? Очень хочется подробностей…