Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 27

За чуть более чем 1 час уже было опубликовано 3 топика про уявзимости.

Сегодня и вправду день уязвимостей на хабре.
Всего голосов 2: ↑2 и ↓0+2
Видать программисты вчера наславу погуляли ;-)
Всего голосов 1: ↑1 и ↓0+1
Щас придут ребята из ЛК и начнут выражать Вам дизреспекты =))
Всего голосов 1: ↑0 и ↓1-1
Небось ребята из ЛК уже получили по голове и вовсю выкатывают новый патч
Всего голосов 1: ↑0 и ↓1-1
А вы это не заметите — обновления эмулятора выходят вместе с обычными базами.
Комментарий пока не оценивали0
Потенциально положена на лопатки эвристика. Радует, что она была так хороша, что единственной отмечала потенциально небезопасное действие из всех антивирусов, и печалит, что её так просто обошли.
Всего голосов 1: ↑1 и ↓0+1
Какой же IRabinovich молодец! Дать инвайт за статью, где опускается один из главных конкурентов. Браво! :)
Всего голосов 12: ↑12 и ↓0+12
Да, я тоже заметил :) Опубликовал ссылку на ВИ — она была ещё в песочнице. И сразу отхабрили :) А по инвайту сразу понял, кто, от и даже почему ;)
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
При чём здесь скудность эмуляции? Тут тема была в том, что эмуляция проводилась на недостаточно низком уровне и легко перехватывалась.
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Данная статья посвящена эмулятору или обнюхивателю — как угодно. При чём здесь проактивка? :)
Комментарий пока не оценивали0
… и что-то мне подсказывает, что мы говорим о разных вещах.
Комментарий пока не оценивали0
Проактивная защита — защита которая работает в рантайме и контроллирует вызовы апи программой, а эмулятор это часть проверки файла на диске, когда сам антивирус берет файл и скрытно раскручивает его на своей виртуальной машине, анализируя как апи, так и промежуточные сигнатуры.
Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь
A сейчас лк выложили патч «b» для 2011 версии, мне в нем дырки считать уже надоело =)
Всего голосов 1: ↑1 и ↓0+1
Респект!
Хоть я и не системный программист, тем более не хакер, читать такие посты одно удовольствие.
Комментарий пока не оценивали0
Ребятки, такой нескромный вопрос, на главной сие появится должно, как я понял, по достижения определенного количества баллов, так вот, есть где глянуть текущее? Спасибо.
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
Эмм, а разве этот блог не тематический? =) Вроде же в него и перенёс.
Комментарий пока не оценивали0
По-моему эмуль нужен для того, чтобы ловить поделки всяких чудаков с конструкторами, найденными в Инете, а также китайские, которые берут не красотой, а массой. Против серьезных вещей создаются другие линии обороны; эмуль — самая первая.
Комментарий пока не оценивали0
А стек кто будет балансировать?
Это Вам не _cdecl!
Комментарий пока не оценивали0
А зачем? Ведь до возврата из функции дело-то все равно не дойдет.
Комментарий пока не оценивали0
Ну, в примере — согласен.
Но в «реале» эти хаки — зло, источники трудно-уловимых ошибок.
ну и RtlLockHeap не только с LocalSize-a вызывается.
Комментарий пока не оценивали0
В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)
Комментарий пока не оценивали0
>>>В «реале» всё что надо было бы сделать — восстановить оригинальные байты хученой функи =)
В «реале-product code» такое использовать нельзя.
А такие проблемы надо решать «долгими feedback-ами/wishlist-aми» с производителями.

P.S.: если интересно- попробуйте также выполнение кода с:
1) TLS или DllMain(для .dll);
2) задействовать SEH;
3) выполнение со стека или кучи.
Помню года 4 назад антивирусы TLS даже не знали.
Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr