staspro
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не хотел писать, но что то не держание меня победило Соглашусь с WatsonRus Цитата: В таком случае, они все там (в заду). | Я бы сказал в глубокой ..., все что может поймать АВ это только те сигнатуры файлов что включены в их базы и не более, все что они не узнают либо прибьют, либо оно будет развлекаться как сможет Вот простой тест, в гуле нашел сырки трояна благо он был уже скомпилирован и достаточно стар, дата создания файла 18.08.2009, основная цель -> что бы он был не упакован Первый этап: Скормил его virustotal ну результат не плохой 34 / 44, думаю те 10 АВ что поставили -, можно исключить из списка живущих Второй этап: Пакую этот троян EXECryptor версии 2.4.1.0 хороший пакер и он достаточно старый, основная цель -> что бы в паблике был и анпакер // есть такой захотите найдете Скормил его virustotal ну что результат ожидаем 9 / 44 Третий этап: Скармливаю virustotal файл примера из тутора по распаковке EXECryptor, файл абсолютно безопасен, но упакован тем же пакером что и троян Результат впечатляет те же 9 / 43, и если откинуть АВ с одинаковыми ответами на 2 и 3 этапы (т. е. им по барабану что внутри они реагируют только на пакер) то в сухом остатке останутся только 5 АВ которые детектировали трояна, но они сами не знают что детектировали поскольку ни одного ответа из первого этапа не видно // имею ввиду АВ-> ник зловреда Четвертый этап: Скармливаю virustotal барыжью коммерческую утиль dc-unlocker2client, почему барыжья? если интересно то по гуглите и сами поймете, главное то что она накрыта тем же пакером что и троян Результат 0 / 43, а между тем утиль проверяет регистрацию на своем сайте т. е. не просто свой рег. номер в их базах, а ваши логин и пароль и кто знает какие команды с сервера может исполнить эта утиль, по крайней мере АВ об этом не узнает Так что думайте сами PS Интересна реакция АВ на инфу с virustotal, завтра проверю с теми же файлами | Всего записей: 862 | Зарегистр. 20-02-2006 | Отправлено: 00:37 20-10-2012 | Исправлено: staspro, 00:57 20-10-2012 |
|