Почему антивирусы ругаются на кейгены
Подскажите, проверяли ли вы обнаружение антивирусами «вредоносного кода» упакованного более серьезными утилитами, например msfencode?
Если да, то насколько изменился процент обнаружения?
Спасибо за спасибо. Рад, что понравилось.
Отвечая на Ваш вопрос — msfencode вроде ж как с 2015 года уже не разрабатывается?
Как показала практика, движки нормально распаковать упырь не смогли, так что думаю, что всё более серьёзное будет детектится просто по сигнатуре упаковщика. Что по сути даст гору фалсов на любой код, упакованный этим упаковщиком (epic).
На самом деле целью статьи было вовсе не расписание поэтапно процедуры полноценного снятия детекта — при запуске всё равно eicar вылезет и сработает резидент. Так что молодые вирусописатели могут успокоиться )))
Целью было показать, что на настоящий момент проблема детектирования упакованного кода так и не решена даже на уровне базовых, опенсорсных упаковщиков.
Я понимаю, что аналитики-специалисты по распаковке кода — самые редкие и ценные в любой антивирусной лаборатории, я понимаю, что распаковка сопряжена с тратой ресурсов системы — но я не понимаю, почему антивирусы обрастают свистоперделками, жрущими эти самые ресурсы, лицензии дорожают — а качество выполнения прямых обязанностей остаётся на уровне, который был 10-15 лет назад.
Вот Вам, кстати, ситуацию из жизни.
Свеженький кейлоггер. Файл абсолютно вредоносен. Вот итог скана на Virustotal:
Как видим, Касперский его не видит :) Ну как не видит…
То есть — опасность есть, но рисков нет :)
Ещё про детекты из реальной жизни с реально хорошо упакованными файлами продолжать? )))
>То есть — опасность есть, но рисков нет :)
Нужно учитывать, что при сигнатурном детектировании ВТ использует вирусные базы, загружаемые с серверов вендора, иногда — с некоторым лагом. То есть, детект уже добавлен в базу, но движок на ВТ еще не успел ее обновить. Отсюда возникают подобные ситуации: на клиентах семпл детектится, на ВТ — еще нет.
Ну так пример выше показал, что на клиенте семпл не вызывает рисков )))
Смешно не отсутствие детекта на ВТ — с кем не бывает, смешна трактовка на Kaspersky Application Advisory.
Я перестал пользоваться касперским, как раз после того, как обнаружил, что он ничего не обнаруживает в явно подозрительных вложениях с xls-файлами, содержащими vba-скрипт. Базы у локального антивируса были наипоследнищие. При этом проверка этого файла через сервис в тот же момент на их сайте успешно обнаруживала вирус. Локальный антивирус начинал детектить эти файлы через 3-10 дней (вирусописатели продолжали слать подобные письма с разными, но однотипными файлами, так что материала для проверки мне хватало).
Тех.поддержка не смогла ни решить эту проблему, ни дать какой-либо вразумительный ответ почему это происходит. После месяца переписки с тех.поддержкой мне надоело, и я выкинул антивирус в корзинку.
Да, все эти файлы через какое-то время начинали обнаруживаться антивирусом. Но вирусописатели к этому моменту уже успевали прислать как минимум пару новых версий. Эта статья прекрасно дополнила мой опыт общения с антивирусами.
Если я правильно помню, детектор кейлоггеров и программ удаленного доступа включается в настройках отдельно. Не знаю правда, почему он по умолчанию выключен…
Неправильно помните. То, что Вы помните — это настройка проактивной защиты. А то, о чём написал я — детект файловой сигнатуры, которая всегда включена.
Ну во-первых — использование кейгенов незаконно.
А во вторых — чистых их становится всё меньше в свете проверок ключей на серверах, а потому они дополняются патчами.
Использование самих кейгенов вполне законно. Не законно использование ключей полученных с помощью кейгенов для получения полнофункционального ПО.
так то кейген, а тут-то кейлоггер
я не очень понял а в чём смысл, virustotal тестирует только сканнер файлов. Неочевидно то что у кого детекта нет дадут запустить файл т.к тот же oas на распаковке скорее всего зарежет eicar. Почему вы считаете что эмулятор антивируса должен догадываться о том какой пароль у содержимого распаковывать самому и детектить eicar? Вполне резонно, что всё это ведет к эвристическуму детекту?
Потому что резидент работает по тому же движку, что и сканер.
И суть не распаковывает содержимое.
Итог я Вам сейчас покажу.
Вот детект страшного вируса — исполняемого файла foobar2000, сжатого NSPack. Пароля там нет.
То есть вирусом является не код, а тот факт, что антивирусный движок не смог этот код распаковать? Вам это не кажется странным?
И я скажу Вам по секрету: эвристики в последних редакциях представляют собой не какие-то мифические угадыватели, а эмуляторы кода. И эмулируя код в моих примерах из статьи пароль очень даже известен )
ну в предложенный ссылки детекты в основном китайских ав. В av comparatives я их имена не видел.
Про эвристики да они в основном на эмуляторе, но вроде акцентируется в основном на системные вызовы и вызов тех или иных системных компонентов. Вот оно и будет эмулироваться с точки зрения их, а никак не искать что это за бинарь не 7za ли, да это же опция password, надо срочно эту область с ним распаковать и просканировать
Да уж. Sophos, F-Prot, Yandex и Vipre — явно китайские антивирусы :)
Простите, но AV Comparatives не является окончательной инстанцией и абсолютной истиной.
К тому же у Вас несколько неполные знания о работе эвристического эмулятора кода.
Очевидно, вы проделали достаточно большую работу — это вызывает уважение. Но с формулировкой выводов я не согласен.
на самом деле таковым не является. В моём понимании «обмануть антивирус» (если навскидку) — это «успешно выполнить вредоносный код на ПК с корректно настроенным и работающим антивирусом, включенными защитными механизмами и актуальными базами». А у вас приведена ситуация «как протащить на ПК пользователя контейнер с вредоносным кодом», ну или «как обмануть файловый сканер антивируса». Пфф, да протащите вы хоть миллион таких файлов — и будут они там лежать до скончания века, пока не запустятся. Вот в момент запуска и начинается самое интересное — а этого в вашей статье нет. ¯\_(ツ)_/¯
Заголовок у статьи хороший, не жёлтый — а вот про выводы я такого, увы, сказать не могу. Если бы вы взяли несколько популярных антивирусов, установили их на стенд и успешно выполнили бы вредоносную нагрузку — тогда вывод про «обманули антивирус» я бы признал. Охотно верю, что при желании и такой эксперимент вам по силам — но это уже, согласитесь, всё-таки заметно более трудоёмкое мероприятие, чем упаковка исполняемого файла в 7z или однократное применение UPX)
Сканеры, конечно, далеко не идеальны. Но антивирус на ПК всё же штука полезная, так как
в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем
Как уже говорил неоднократно — статья представляет собой РоС. Для обхода резидента достаточно перевести распаковку в область памяти, для обхода проактивки — ещё несколько штрихов. Но каждый дополнительный «штрих» добавляет специфичности к продукту, объёма работы и т.д. Подобные доклады, равно как и найденные решения — это уже немного не тот масштаб.
Но Ваше мнение принимается.
Нет, не указали))
Очевидно, на этот файл нет отдельной сигнатуры. Вместе с тем, будет ли он заблокирован антивирусом на ПК — совершенно непонятно (вполне может сработать проактивная защита).
А «штрихи» — это и есть самое интересное. Цель-то — это выполнить нагрузку; протащить её — только часть дела, хоть и тоже по-своему непростая.
Но проактивная защита является пользователь-зависимой, не так ли? Как поступит простая домохозяйка, когда у неё появится алерт, что процесс Х желает запустить процесс У?
Вы проверяли?
По-моему, это уже от конкретного антивируса зависит. Скорее всего, часть поведенческих сигнатур отрабатывает и без взаимодействия с пользователем. Особенно явная жесть типа модификации всех подряд исполняемых файлов (пример совершенно абстрактный; какое именно поведение отлавливать — это уже вопрос к разработчикам сигнатур).
Проверял. Домохозяйка = хороший пример, она регулярно сталкивается с таким поведением при установке любой программы или выполнением любого обновления. Поэтому лишний раз такой алерт её напугает.
Мне неизвестно ни одного надёжного полностью автоматического проактивного механизма, который бы нравился пользователям. Либо он напрочь отрежет любую активность, подозревая её во вредоносности — и бедный сисдамин такой организации! — либо защитит постольку поскольку.
Если Вам известен пример обратного — сообщите о таком решении и его настройках.
А по поводу сигнатур: на Sality и Petya она была.
Почему же эта сигнатура сбивалась простым UPX? Почему считанные эвристические эмуляторы проверили выполнение кода с распаковкой по моему сценарию и обнаружили угрозу?
Так скорее всего сигнатуры и были не эвристическими, а файловыми. Файл поменялся — сигнатура сбилась.
Внедрение в сканер эвристики вообще довольно затратная штука: слишком большие расходы времени / ресурсов на проверку. Тоже, кстати, хороший вопрос, какие антивирусы это делают и какие настройки движков применены на VirusTotal.
Ну это означает, что Вы совершенно невнимательно прочитали мою статью, а также не понимаете, как выглядит файловая сигнатура и эвристическая.
ОК, возьмём проверенный вариант — Petya. Детекты выше были, их было 61 — хороший, надёжный детект.
Накрываем его UPX — старый, известный и опенсорсный упаковщик:
Осталось 47 детектов. Кто с файлового сменился на эвристический — не буду комментировать, разбирайтесь. Кстати, UPX — это уже нормальный пакер, такой пройдёт резидентную защиту, если сканер ничего не обнаружил, это уже не детский сад на пальцах, описанный в моей статье.
Едем дальше — NSPack 3.7 2006 года выпуска:
41 детект.
ASPack 2.28 2011 года:
27 детектов.
Поверьте, я могу поиграть ещё немного и сделать Петю безопасным, как блокнот Windows — но моя цель не показать это и заразить полмира (а чего, амбициозно!), я просто хочу сообщить о проблеме, доступно изложить её детали. Этого я и добивался.
[zanuda mode]Сделать на уровня блокнота windows не сможете — у вас нет цифровой подписи от microsoft
Вы не показали, получится ли полученную нагрузку выполнить на ПК. То что сканнер рапортует что ок, это не значит что ав продукт даст вам что-то запустить, даже если распаковывать в память будете скорее всего будет детект проактивкой. Понятное дело что можно написать vm protection на бинарь который обломает уровень эмуляции hipsа, но это будет совершенно не такой уровень.
С учетом того, что для SHA1 подобрали-таки коллизию, можно считать, что на нотепаде цифровой подписи больше нет.
Поэтому провести атаку с подменой файла, подписанного SHA1, всё ещё выглядит нереальным. Скорее, более уязвимыми в этом плане являются сами сертификаты, при помощи которых осуществляется подпись, т.е. CA, которая их выдаёт.
Если я правильно понимаю эти каталоги безопасности в виндах, то подписывается сертификатом там не файл, а список хэшей, т.е. для того, чтобы программа считалась подписанной, нужно, чтобы её хэш был в списке, и вероятно, чтобы путь к ней совпадал с указанным в каталоге (я не увидел, хранит ли каталог безопасности путь к файлу, или что-либо ещё). Таким образом, атака подменой исполняемого файла выглядит вполне реализуемой.
В такой ситуации, это то, что называется preimage attack, т.е. у вас есть известный хеш, вам надо создать файл с таким же хешем.
Это для SHA1 пока-что не реализуемо (не нашли такую уязвимость в алгоритме, которая позволит понизить требуемую вычислительную мощность для перебора и уйти от прямого brute-force).
Поэтому само по себе подменить один заданный файл на второй файл с таким же хешем пока не выйдет.
Поэтому как раз подмена файла на файл с таким же хешем выглядит маловероятно.
На данный момент гораздо более вероятной выглядит угроза компрометации сертификатов. Поэтому CA так торопятся уйти от SHA1 одними из первых.
Это справедливо и для файлов, которые заверены подписью в PE заголовке или отдельно, через catroot.
В любом случае, если злоумышленник хозяйничает в каталоге ОС, то уже поздно. Это просто плюс один способ дольше оставаться незамеченным.
Диалог начался с того предположения, что подписи нет вообще. По факту она есть, просто не в PE заголовке.
Но почему некоторые проскакивают и про них ничего не пишет?
. У меня Norton, на всякий случай.
их пишут люди, которые пишут трояны и тд.. .
антивирусы продеряют файлы по машинному языку, а так как коды что троянов, что кейгенов совпадают, антивирус распознает их как вредоносное
потому что многие антивирусники специально, по заказу производителей софта, в большинстве случаев относят их к вирусам и троянам. …
потому что у них нет лицензионной подписи, и по суте дела активность этих программ антивириснук после запуска отслеживать не сможет, вот и паникует.
Касперский
Пехотный батальон. Становится лагерем вокруг компьютера, роет окопы и противотанковые рвы, минирует все к чертовой матери, обматывает колючей проволокой в сорок рядов, распределяет сектора обстрела орудий и пулеметов. Получившуюся оборону можно прорвать лишь при пятикратном (как минимум) численном превосходстве и только после многочасовых бомбардировок.
Преимущества: Враг сможет пройти лишь одним способом - превратив компьютер в выжженую пустыню.
Недостатки: Солдат надо кормить, а минные поля и окопы затрудняют перемещение гражданских, так что от ресурсов системы не остается почти ничего.
AVG
Батальон фольксштурма. Вооружен до зубов, но пользоваться оружием не умеет совершенно, периодически стреляя по своим и накрывая артиллерией совсем не те квадраты, отчего очень часто страдают гражданские. При появлении противника на горизонте начинает судорожно разворачиваться в боевой порядок и пытается рыть окопы прямо под пулями, так как совершенно не позаботился о заблаговременной организации обороны. В итоге ничего сделать не успевает, плюет на все и лупит по наползающим танкам из винтовок - разумеется, без особого толку.
Преимущества: Фольксштурмовцы обходятся подножным кормом, так что ресурсы системы практически не страдают.
Недостатки: Беспорядочная пальба по своим и по гражданским, высокая вероятность сдать позиции за считанные минуты при появлении реального противника.
Avast
Артиллерийская батарея. Эффективна против лобовой атаки - врага, наступающего на нее с фронта, способна перемолоть практически в любых количествах, почти без потерь для себя. Однако для ударов c фланга и, тем более, против заброшенных в тыл диверсантов, весьма уязвима. Разумеется, после того, как орудия будут развернуты в нужном направлении, перемалываются и диверсанты, но на это требуется время.
Преимущества: Артиллеристы кормят себя сами. Не спрашивайте, как - не знаю. Но система остается почти незатронутой.
Недостатки: Низкая оперативность.
Panda
Женский батальон, составленный из институток, вооруженных старенькими винтовками. При малейшем шорохе начинают истошно визжать и палить наугад (обычно - в небо) . При виде противника падают в обморок или разбегаются.
Преимущества: Практически не заметен.
Недостатки: Полезный эффект тоже не заметен.
NOD32версия 4
Кавалерийский эскадрон. Оборону держать не обучен вовсе, при виде врага тут же бросается на него в атаку. Пытается взять нахрапом, обычно - психической атакой с шашками наголо. Если это не удается с первого раза, рассеивается по оврагам, уходит в партизаны и ждет подходящего момента чтобы повторить процедуру.
Преимущества: Лучшая оборона - это нападение, так что подобная тактика срабатывает всегда, пусть и не с первого раза.
Недостатки: Иногда приходится ждать очень долго. У местных красоток уже рождаются первые детки, похожие на солдат неприятеля, а эскадрон все еще партизанит по лесам и пускает под откос вражеские поезда с женскими подвязками.
McAfee
Танковая бригада. Рычат моторы, пахнет смазкой, чумазые танкисты хватают пробегающих мимо девушек за округлые места, и где-то за лесом идет пальба. Выглядит внушительно и весомо, в бою работает быстро, эффективно и безжалостно. Враг внутрь проникнуть не может хотя бы просто от страха.
Преимущества: Надежность.
Недостатки: Танковая смазка нынче очень дорога, не говоря уже о снарядах и горючем. Иногда забывают за врагов, если вокруг сильно много девушек.
Norton
Вражеская оккупационная армия. Офицеры на правах победителей бесплатно пьют шнапс в роскошных ресторанах, солдаты бегают по дворам, реквизируют съестное, лапают женщин и занимаются мелким бытовым мародерством. Другой-то враг в страну, конечно, уже не пролезет, это да. Но и жизнь в условиях оккупации, знаете ли, тоже не сахар.
Преимущества: Граница на замке. Намертво.
Недостатки: Враг уже внутри.
Dr. Web
Батальон карателей. Окружает компьютер двойным оцеплением, устанавливает военное положение, круглосуточное патрулирование, комендантский час и
в такой ситуации я смотрю описание на вирус
если описание есть, то очевидно это вирус, если нет, то существуют варианты:
1 пробую найти другой способ взлома
возможно что кряк воспринятый как вирус, есть не вирус, но не факт
2 провожу тестирование, т. е. вначале на эмуляторе (Virtual PC)
потом внедряю в систему и делаю дальнейшие анализы.. .
Здесь всё зависит в рациональности, желания. Также нужно иметь опыт работы в системе.. .
К примеру обычный командный файл для сброса ключа касперского воспринимается как вирус,
если его немного модифицировать и запаролить, то можно спокойно использовать
есть такой антивирус Symantec Endpoint Protection
он убьет кейген, кряк или генератор только если в нем действительно есть зараза! он не для дома, потому и не реагирует на них!
остальные, одни больше придираются, другие меньше! - они для домашнего пользователя - борьба с пиратством!
наверное самый придирчивый McAfee, он рубит всё левое )))
С компютером дело имею уже больше 8 лет. С интернетом 4 года. За все это время антивирус у меня стоял только первый год. Все остальное время обхожусь без этой бесполезной "примочки". Раз в пол года переустанавливаю винду, а поскольку хард у меня разбит - то не приходится заново все устанавливать, ну за исключением нескольких программ. Так что выкинуть все антивирусы в корзину и не забивать этими проблемами себе голову.
Макс Бегун
Раз в пол года переустанавливаю винду а че не каждый день то.
У меня уже три года винда установлена и не жалуюсь. Переустанавливать не собираюсь.
Да ну не нужен. У меня вот стоит каспер лицензионный, и живет он ствоей жизнью, жрет 20 мегабайт оперативки + блокирует почти всю рекламу ну или это браузер xD - я уже не помню, что я настроил на блок рекламы. Один раз настроил и все. Дело в том, что если попадется какой-нибудь кейлоггер то прощай аккаунты вместе с почтами и тд, правда если лазить по нормальным сайтам, то можно и не подцепить ни чего, но я не привык сидеть на одних и тех же сайтах. Вот неделю назад у меня друг сидел спокойно с майкрософтским браузером и в один прекрасный день у него все украли, но ему повезло - он привязал к телефону и восстановил, но это не стоит того, что антивирус будет жить своей жизьнью иблокировать эту дрянь
Все остальное время обхожусь без этой бесполезной "примочки".
Тебя не достали всплывающие окна в браузере?
Раз в пол года переустанавливаю винду,
У меня одноклассник тоже всегда утверждал, что лучший антивирус - FORMAT C:, только как возможность появилась почему-то он Каспера сразу поставил.
А ведь пан спортсмен прав. И даже иногда возникают сомнения, а не сам ли антивирус создаёт "тревогу" и тут же её благополучно устраняет? На другом компе вообще ничего нет. Где только небыл, какую порнуху незырил, всё жив здоров. Брандмауер сам обо всём позаботиться. Просто с антивирусом спокойнее.
Соглашусь с автором. Сидел на WinXP, которая была установлена в далеком 2009-ом, до мая 2012-го, причем без всяких антивирусов. А вообще, лучший антивирус - это прямые руки.
Если не запускать что угодно, скаченное откуда угодно, то антивирус не нужен. Но не всегда известно - а можно ли отсюда это скачать ? Если там новый вредонос - то никто ничего не узнает и раздачу не прикроют.
Антивирус не нужен, если запускают проги с правами пользователя, используют Software Restriction Policies, HIPS и качают проги с официальных сайтов и старых раздач .
Очередная странная оценка лучшего антивируса:
1. Kaspersky.
2-4. (тут реально не понятно) BitDefender, Avast, Dr.Web.
В общем-то результаты очевидны, но это за последнюю пару лет только оценка.
З.Ы.Anmawe, а Вы HIPS нашли без антивируса?
MSE отлчично себя показал, правда жрал сначала пользовательские кряки и экзешники, но потом сам (хз как) отучился. РАди приличия прогоняю иногда другими, вроде чисто.
З.ы. А на деле - руки если перед едой моешь, то никакую заразу не подцепишь )))
Уже больше трёх лет Касперский установлен для галочки. Включаю лишь когда захожу/качаю что-то подозрительное.
Комплект Firefox-WOT-AdBlock-NoScript почти полностью защищает присутствие в интернете.
А у меня MSE отвратительно себя показал. В один момент заменил им Касперского. Пока стоял этот антивирус заразился дрянью которая постепенно убивала все .exe файлы, MSE на это не как ее реагировал. В итоге поставил снова Касперского, и двумя полными проверками излечил весь компьютер.
РикоЧико
Если одной проверки не хватает - это не хорошо. Вирус что ли размножается в процессе проверки (было что-то вроде такого).
Эль Тарно
Каким другим? Реально надежным можно считать только Каспер (мощности их тулсы вполне хватает для борьбы с реальным заражением - сам заражал). Так же под вопросом, чистит ли MSE хорошо реестр - от этого зависит, будет ли ось работать после лечения опасных зловредов.
А с количеством сигнатур к тому же Dr.Web большой вопрос. Некоторые антивирусы перевалили за 6 миллионов ещё в 2012 году, а Dr.Web их меньше сейчас (у AVG даже чуть больше, но так это примерно на одном уровне).
VITYA_KOLYADENKO
Насчет касперыча согласен. Но привычка))) В идеале не лечить надо, а не допускать заражения) Я так думаю. А MSE устраивает тишиной, и работой без нареканий. Насчет реестра ничего не скажу, т.к. периодически подчищаю и оптимизирую его другими прогами.
Эль Тарно
Вот про реестр. Я правда не понял, как "это у автора получалось", но был не совсем винлок в тесте антивирусов, а просто вирус который заменил explorer.exe с сохранением функционала. Антивирус его удаляет, реестр не чистит. Пример относительно удачного лечения из того теста:
"Вирус удален, но после каждой перезагрузки на рабочем столе в блокноте открывается файл desktop.ini".
А неудачное лечение - это когда во всех ветках реестра вместо одной dll-ки процесса csrss.exe прописывается созданный вирусом файл, который легко удаляется антивирусом. А другой антивирус (Аваст) вообще может удалить зараженный драйвер ndis.sys (особо умные антивирусы просят после этого вставить установочный диск Винды и все исправляют) или какой-то другой (и тогда не просто не будет работать сеть, а вообще Винда не загрузится).
1. Kaspersky.
2-4. (тут реально не понятно) BitDefender, Avast, Dr.Web.
З.Ы. Я таки смог на их форуме написать и они тот детект добавили.
З.З.Ы. А вообще нормальный антивирус может поймать 98% известных ему вирусов. Остальное можно чистить KVRT и реестр прогами вроде HijackThis.
Так что выкинуть все антивирусы в корзину и не забивать этими проблемами себе голову.
Антивирус защищает от угроз, которые есть в вирусной базе. Так что выкидывать не стоит .
Вы по ходу дела самоубийцы своих компов. Можете и дальше думать что антивирус совсем не нужен.
- Антивирус обычно новые угрозы не обнаруживает
- Когда антивирус ругается на кряк/кейген/трейнер/патч и т.д.,то многие его отключают. Вопрос- зачем тогда антивирус, если вы не верите ему.
- Вирус, троян - это не черная магия, они не попадают просто так на комп. Наличие/Отсутствие антивируса не влияет на вероятность заражения . Тут дело совсем в другом.
А вообще нормальный антивирус может поймать 98% известных ему вирусов
Антивирус ловит 100 % известных ему вирусов и 0 % неизвестных. Это подтверждают все вирусные эпидемии с троянами шифровальщиками, винлоками и т.д.
мдаа))) в наше время без лицензионного каспера, как без рук. Винду он переустанавливает через каждые полгода ох рассмешил, а я как поставил семерку х64 года четыре назад, так и не трогаю, и летает все четка!)))
Denis Nikonov
Антивирус ловит 100 % известных ему вирусов и 0 % неизвестных. Это подтверждают все вирусные эпидемии с троянами шифровальщиками, винлоками и т.д.
Против неизвестных может защитить проактивка, защита MBR от записи и другие штуки.
мдаа))) в наше время без лицензионного каспера, как без рук.
А я знаю многих людей, у которых каспера нет, и вирусня не беспокоит. И какая связь между установленным каспером и количеством вирусни на компе, которая беспокоит ?
И есть полно компов, где стоит антивирь, и вирусня беспокоит. Зайдите на любой компьютерный форум в раздел "Борьба с вирусами", "Помощь по лечению" и т.д.
Против неизвестных может защитить проактивка, защита MBR от записи и другие штуки.
Ну допустим, проактивка пишет "Процесс пытается получить низкоуровневый доступ к диску" - VITYA_KOLYADENKO, как ты узнаешь - это MBR-винлок пытается пролезть, или эта программа невредоносная ? Здесь можно предположить, но точно нельзя сказать.
Если там винлок и ты разрешил - не повезло
Если там винлок и запретил - повезло
Если там нет винлока и разрешил - повезло
Если там нет винлока , запретил и программа перестала работать - повезло, что нет винлока, а вот программа перестала работать, то есть не повезло .
Смотря, какая программа. Кейгену и трейнеру не надо в MBR ковыряться, любые попытки расценивать как несанкционированный доступ.
Denis Nikonov
как ты узнаешь - это MBR-винлок пытается пролезть, или эта программа невредоносная ?
Я узнаю, использую я программу для записи MBR или нет. Я не запускаю паралельно с кряками/кейгенами переразбивку разделов. Я знаю, что обычно MBR изменяют с помощью загрузочного диска/флешки.
Только 2 продукта честно написали, что это просто HackTool, Софос просто не рекомендует.
Ikarus ворует детекты у касперского, другие антивирусы на вирустотал тоже воруют друг у друга неправильные вердикты ""Воры антивирусного детекта. Кто они? http://www.anti-malware.ru/forum/index.php?showtopic=24658""
Действительно, а зачем нужен антивирус ? Новые угрозы пропускает, на безобидные кряки ругается, а когда антивирус ругается и программу добавляют в исключения или отключают антивирус - зачем тогда антивирус установлен. если антивирус пишет "угроза", а ты не веришь антивирусу, и веришь, что это не угроза.
Если Вам лень ставить настоящий антивирус, то Вам необходимо для начала:
1) скачать AVZ и установить MBAM.
2) сканировать установщик программы обеими утилитами;
2.1) если есть детект - решайте сами :);
2.2) если в детекте хотя бы одного антивируса Trojan.AVKiller у Вас могут быть средние проблемы (намного меньше, чем переустановка Винды), если Trojan.HDDKill - большие проблемы (восстановление данных, но может и без переустановки Винды).
3) запускаете установщик;
3.1) он делает 1 из 2:
а) предлагает, куда установить;
б) сам устанавливает что хочет и куда хочет :).
4) сканируете MBAM - папку установки и процессы/реестр;
4.1) если в пункте 3.1 вышел пункт "б", то сканируйте папку c:\windows\system32\ или любую другую, которая Вам понравится. Могу предложить большой список папок, куда ставятся вирусы, трояны или всякие фейковые Аськи.
5) если в пункте 4 (4.1) Вы ничего не нашли, или догадываетесь, что нашли не все, то сканируете то же самое AVZ с включенными галочками типа "процессы" и "эвристика";
5.1) при обнаружении чего-то - сканируйте ещё те папки, где что-то было обнаружено.
6) Повторяете пункты 4 и 5 для MBAM, если AVZ нашло что-то в другой папке, которую он ещё не сканировал.
P.S. В частности, к пункту 5 рекомендую посмотреть в папке пользователя папку appdata\roaming\ и добавить к сканированию папки по таким критериям:
а) папки программ, которых у Вас вроде не должно быть;
б) папки типа microsoft\, которые наоборот, у всех должны быть.
Ну это для тех, кому интерестно, есть ли вирусня на компе (которая не беспокоит).
Если ничего не беспокоит - то и беспокоиться не надо - есть ли вирусня или нет. Какая разница, есть или нету - ведь ничего не беспокоит!
Вирусняк может быть в любой папке ! В Ключах реестра, отвечающие за автозагрузку, указан путь к файлу. А файл может быть где угодно !
Еще вирусняк может внедрить код в другой процесс и завершить работу. Например, процесс e34567.exe внедряется в explorer.exe и процесс e34567.exe завершают работу. Теперь процесс explorer.exe будет выполнять деструктивную активность. И в диспетчере задач не будет виден странный процесс e34567.exe !
Люди верят в то, что "Я поставил крутой антивирус и мне вирусня не грозит" до тех пор, пока не попадется вирусняк, который обойдет антивирус.
С антивирусом конечно удобнее - не надо скачивать всякие утилиты, заливать на вирустотал. Есть антивирус, он всё просканирует сразу, если сможет - сразу вылечит.
Denis Nikonov
Вирусняк может быть в любой папке ! В Ключах реестра, отвечающие за автозагрузку, указан путь к файлу. А файл может быть где угодно !
У КурИт! - скан всего компа. У него есть неплохой скан реестра (в том числе - файлы в разделе Service). Но вот подстава - не любой ключ в разделе HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run дает на скан. Так что - либо полный скан компа, либо анализ прог типа HiJack!
Еще вирусняк может внедрить код в другой процесс и завершить работу
Заражение процесса тоже может детектироваться, но это конечно не миллионы сигнатур.
З.Ы. 1. Плюс AVZ - ей можно удалить файл (причем либо скриптом, либо из меню) даже в том случае, если на него нет детекта. Она может подозревать, а может - говорить конкретно (в таком случае работает автоматическая очистка, в т.ч. - реестра).
З.Ы. 2. У Вас какой антивирус?
З.Ы. 3. Я не беспокоился, пока комп не начал пробовать отсылать спам. Потом нашел антивирус 139 зараженных файлов и ещё минимум 1 (хотя скорее 5) не нашел. Из этих 5 файлов 4 появились в системе буквально за неделю до установки антивируса. Вероятно, что все 5 файлов связаны друг с другом, а те 4 до сих пор не имеют детекта (наверное); не скажу, когда проверял - может как раз через 3 года после установки антивируса.
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Взять и посмотреть, что программа делает :-D
Дык она честно может и показать окно кейгена
А в это время тихо делать свое черное дело.
Взять и посмотреть, что программа делает :-D
Дык она честно может и показать окно кейгена
А в это время тихо делать свое черное дело.
Я написал "что делает", а не "что показывает" :-)
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Спасибо,мне компьютер пока не очень надоел Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Сейчас не вспомню какой именно антивирус, но иногда прибавляют в наименовании "Patcher"
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Только детальный ручной анализ, в общем случае.
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Keep yourself alive
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Сюда же можно отнести Адоб.
Неспроста дорого. Но жизненно необходимо тем, кто работает в сфере полиграфии (около 60 тыщ минимальный комплект).
А, например, шрифты? Паратайповская полная коллекция стоит 120 тыщ (. ).
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
сегодня там правильные кряки а завтра там бонус будет в комплекте. такое понятие к ним не очень применимо, ибо по природе такое.
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
скажем я отношусь с подходом, что если мне нужно чтото(для работы во всяком случае), то либо это чтото стоит достаточных денег чтобы преобрести соответствующее по или нужно подберать по попроще, подешевле или вообще бесплатное, вместо автокада можно попользовать компас, вместо фотошопа к примеру гимп, или вы предлагаете пользоваться ломаным(или хз как это правильно назвать, не в названии дело) докторвебом?
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Сюда же можно отнести Адоб.
Неспроста дорого. Но жизненно необходимо тем, кто работает в сфере полиграфии (около 60 тыщ минимальный комплект).
А, например, шрифты? Паратайповская полная коллекция стоит 120 тыщ (. ).
если жизненно необходимо, то нужно естественно пакупать, если денег жалко значит не так и нужно
Про по-проще вопрос спорный..Как правило не используете и 30 % возможностей (на примере офиса/ов это очень видно,про акады/сапр вообще молчу). А узко-специализированное ПО вам все равно придется или покупать или крякать(ну или писать самому,что маловероятно).
Например. В техникуме учили спец. ПО для вырезания на листе метала опред фигуры (соответственно фигуры строились благодаря мат.функциям),далее нужно было разместить необходимые вырезки для наибольшей экономии(меньше резки,меньше отходов). Аппаратура специфическая, ПО тоже. Стандарты нашего оборудования и западного соответственно не совпадали. ПО вообще разное было(хотя все команды на русском ).
Keep yourself alive
скажем я отношусь с подходом, что если мне нужно чтото(для работы во всяком случае), то либо это чтото стоит достаточных денег чтобы преобрести соответствующее по или нужно подберать по попроще, подешевле или вообще бесплатное, вместо автокада можно попользовать компас, вместо фотошопа к примеру гимп, или вы предлагаете пользоваться ломаным(или хз как это правильно назвать, не в названии дело) докторвебом?
Подход этот хорош, пока не приходится выполнять достаточно специфические задачи
А доктор стоит вполне посильных денег.
Я знаю конторы, приобретшие автокад, и адоб. Но еще больше контор их не приобретали, я уже не говорю о частниках, ибо - непосильно. Есть такая вещь, как промышленные стандарты. Там работы в таких поделках, как корел, компас, гимп - просто не прокатят.
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Взять и посмотреть, что программа делает :-D
Дык она честно может и показать окно кейгена
А в это время тихо делать свое черное дело.
Взять и посмотреть, что программа делает :-D
Дык она честно может и показать окно кейгена
А в это время тихо делать свое черное дело.
Я написал "что делает", а не "что показывает" :-)
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Спасибо,мне компьютер пока не очень надоел Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Если серьезно: когда пишут "Patch" это понятно.Или четких критериев нет?
Сейчас не вспомню какой именно антивирус, но иногда прибавляют в наименовании "Patcher"
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
Только детальный ручной анализ, в общем случае.
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Keep yourself alive
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Сюда же можно отнести Адоб.
Неспроста дорого. Но жизненно необходимо тем, кто работает в сфере полиграфии (около 60 тыщ минимальный комплект).
А, например, шрифты? Паратайповская полная коллекция стоит 120 тыщ (. ).
Вопрос:как отличить кряк,кейген по сигнатуре других антивирусов на Вирус тотал от реального вредоноса, который на них часто клеят? Не хочется посылать лишний мусор в вирусный мониторинг.
сегодня там правильные кряки а завтра там бонус будет в комплекте. такое понятие к ним не очень применимо, ибо по природе такое.
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
скажем я отношусь с подходом, что если мне нужно чтото(для работы во всяком случае), то либо это чтото стоит достаточных денег чтобы преобрести соответствующее по или нужно подберать по попроще, подешевле или вообще бесплатное, вместо автокада можно попользовать компас, вместо фотошопа к примеру гимп, или вы предлагаете пользоваться ломаным(или хз как это правильно назвать, не в названии дело) докторвебом?
кстати есть достаточно простой вариант: пользоваться лицензионным софтом, тогда кряки не нужны
Всегда встаёт вопрос о его (AutoCAD) необходимости
Если что-то стоит дорого, то обычно не спроста.
Сюда же можно отнести Адоб.
Неспроста дорого. Но жизненно необходимо тем, кто работает в сфере полиграфии (около 60 тыщ минимальный комплект).
А, например, шрифты? Паратайповская полная коллекция стоит 120 тыщ (. ).
если жизненно необходимо, то нужно естественно пакупать, если денег жалко значит не так и нужно
Про по-проще вопрос спорный..Как правило не используете и 30 % возможностей (на примере офиса/ов это очень видно,про акады/сапр вообще молчу). А узко-специализированное ПО вам все равно придется или покупать или крякать(ну или писать самому,что маловероятно).
Например. В техникуме учили спец. ПО для вырезания на листе метала опред фигуры (соответственно фигуры строились благодаря мат.функциям),далее нужно было разместить необходимые вырезки для наибольшей экономии(меньше резки,меньше отходов). Аппаратура специфическая, ПО тоже. Стандарты нашего оборудования и западного соответственно не совпадали. ПО вообще разное было(хотя все команды на русском ).
Keep yourself alive
скажем я отношусь с подходом, что если мне нужно чтото(для работы во всяком случае), то либо это чтото стоит достаточных денег чтобы преобрести соответствующее по или нужно подберать по попроще, подешевле или вообще бесплатное, вместо автокада можно попользовать компас, вместо фотошопа к примеру гимп, или вы предлагаете пользоваться ломаным(или хз как это правильно назвать, не в названии дело) докторвебом?
Подход этот хорош, пока не приходится выполнять достаточно специфические задачи
А доктор стоит вполне посильных денег.
Я знаю конторы, приобретшие автокад, и адоб. Но еще больше контор их не приобретали, я уже не говорю о частниках, ибо - непосильно. Есть такая вещь, как промышленные стандарты. Там работы в таких поделках, как корел, компас, гимп - просто не прокатят.
Читайте также: