gyra Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Обзор и тестирование антивирусов и других средств безопасности на их основе под Windоws 98/XP/Vista/7/8/8.1/10 Закрываемся от вируса-шифровальщика WannaCry Карта распространения WannaCry в реальном времени | Ещё карта Правила публикации ссылок на образцы | Правила проведения и оформления тестов... Хостинги для скриншотов | Online-сервисы для комплексного анализа подозрительных файлов Основные вендоры антивирусной индустрии... | Таблица Отправка подозрительных файлов одновременно всем вендорам... Более или менее независимые тестовые лаборатории антивирусных решений Набор поведенческих онлайн анализаторов AVZ | AdwCleaner — дополнение к стационарным антивирусам Антивирусы не требующие инсталяции | Смежные темы на Ru-Board Всего записей: 7932 | Зарегистр. 18-02-2006 | Отправлено: 11:06 29-10-2017 | Исправлено: molchel, 11:34 25-01-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: упаковщик не может быть нипричём, потому что облако не знает эту новую упаковку, и даёт сигнал проактивке - фас А с отключенным интернетом или если нет связи с облаком, кто дает сигнал проактивке фас?   Добавлено: Цитата: Окончательного вердикта Валькирии пока нет Валькирия с окончательным вердиктом не спешит. Минимум пару дней пройдет а то и больше. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 16:18 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А с отключенным интернетом или если нет связи с облаком, кто дает сигнал проактивке фас? ну у Эмса например, если нет связи с облаком, подозрительное действие на дефолте будет разрешено, никакой команды фас не последует. У Каспера, без связи с облаком не будет работать расширенная облачная эвристика в проактивном модуле, а это тоже чревато. В продуктах Bitdefender облако тоже помогает проактивке, там ведь есть облачная база с белыми списками. Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 16:28 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ну у Эмса например, если нет связи с облаком, подозрительное действие на дефолте будет разрешено, никакой команды фас не последует. У Каспера, без связи с облаком не будет работать расширенная облачная эвристика в проактивном модуле, а это тоже чревато. В продуктах Bitdefender облако тоже помогает проактивке, там ведь есть облачная база с белыми списками. ESET на запуск Process Monitor.exe не реагирует. А вот NoVirusThanks 1.4 срабатывает на powershell.exe   Date/Time: 22.02.2018 16:34:40 Process: [9660]C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe Parent: [9600]E:\Process Monitor.exe Rule: BlockPowerShellEncodedCommands Rule Name: Block execution of PowerShell encoded commands Command Line: powershell -noP -sta -w 1 -enc  SQBmACgAJABQAFMAVgBlAFIAUwBpAE8AbgBUAEEAQgBsAEUALgBQAFMAVgBFAFIAUwBJAG8ATgAuAE0AYQBqAE8AUgAgAC0AZwBlACAA Signer:   Parent Signer:     Еще он палит виртуалку   The input sample contains a known anti-VM trick details Found VM detection artifact "CPUID trick" in "401e181a3d7819f72614242ce2c2ca872dbef609f72674d4191dc5928c646bb3.exe.bin" (Offset: 1469139) source Extracted File relevance 5/10 research Show me all reports matching the same indicator Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 16:38 22-02-2018 | Исправлено: AVGast, 16:44 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ESET на запуск Process Monitor.exe не реагирует. А вот NoVirusThanks 1.4 срабатывает на powershell.exe   powershell.exe запускается недоверенным приложением и выполняет закодированные команды. сверхчувствительная проактивка NoVirusThanks на это реагирует блокировкой. вот и весь секрет Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 16:49 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: powershell.exe запускается недоверенным приложением и выполняет закодированные команды. сверхчувствительная проактивка NoVirusThanks на это реагирует блокировкой. вот и весь секрет Я знаю эти секреты. Жду ответа от ESET. Файл уже передан в лабораторию. Они быстро работают. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 16:56 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я знаю эти секреты. Жду ответа от ESET. Файл уже передан в лабораторию. Они быстро работают.   всегда смотрите на тенденцию. если в течении 6-ти последних часов после засвета образца количество детектируемых движков на ВТ так и не увеличилось - значит это не угроза (с большой степенью вероятности). UDS кстати, это такая вещь, которую обмануть по-факту невозможно. Он снимает любую упаковку и крутит-вертит образец как хочет уже давно был бы детект Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:04 22-02-2018 | Исправлено: Maks_I, 17:15 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: всегда смотрите на тенденцию. если в течении 6-ти последних часов после засвета образца количество детектируемых движков на ВТ так и не увеличилось - значит это не угроза (с большой степенью вероятности). Я ориентируюсь в первую очередь на анализе в Hybrid Analysis. Было и не раз, когда на ВТ первый анализ был 2 недели назад и детект был у пару движков и это был 100% вирус. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 17:15 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я ориентируюсь в первую очередь на анализе в Hybrid Analysis. Было и не раз, когда на ВТ первый анализ был 2 недели назад и детект был у пару движков и это был 100% вирус. с чего вы взяли что то был вирус???  какой детект был и у каких движков? PS вирусы сейчас практически не встречаются, по причине своей бесполезности Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:18 22-02-2018

Gall Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: и детект был у пару движков и это был 100% вирус. Бывало и такое,когда на ВТ невзрачный детектишко,а оказывался шифратор. Всего записей: 2358 | Зарегистр. 23-01-2017 | Отправлено: 17:28 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: с чего вы взяли что то был вирус???  какой детект был и у каких движков?   PS вирусы сейчас практически не встречаются, по причине своей бесполезности   Вот пример, 5 месяцев назад выкладывал на comss После того как я слил доктору А после понеслось Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 17:31 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Бывало и такое,когда на ВТ невзрачный детектишко,а оказывался шифратор. первые детекты, сверхпараноидальная эвристика Rising сработала. В любом случае, МАКСИМУМ через часов 8 будет детект UDS, либо эвристического движка Каспера, либо если шифратор известный - сразу сигнатура. Сейчас всё это происходит ещё быстрее.   Добавлено: Цитата: Вот пример, 5 месяцев назад выкладывал на comss нет, ну бывает всякое конечно. но это очень редкие случаи Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:36 22-02-2018 | Исправлено: Maks_I, 17:40 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: МАКСИМУМ через часов 8 будет детект UDS, либо эвристического движка Каспера Есть же видео, где последняя проверка на VT была 23 часа назад а Касперский со свистом пропустил шифратора. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 17:40 22-02-2018

Gall Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: первые детекты, сверхпараноидальная эвристика Вот на эти первые детекты никто не обратит внимания,посчитают за ложняк.Это я к тому,что может быть по всякому.К примеру так https://www.virustotal.com/ru/file/59e88f74c0fcfde8686086ce448e03b2c7dffa1d37645c3fb78ef972c9bef42c/analysis/ но эсету пофиг на мнение остальных. Всего записей: 2358 | Зарегистр. 23-01-2017 | Отправлено: 17:41 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Есть же видео, где последняя проверка на VT была 23 часа назад а Касперский со свистом пропустил шифратора видео можно снимать, можно не снимать. я видел видео, где у китайца вообще не работал KSN в его KIS, а тест проводить надо, и что дальше? я же говорю, чего только не случается в этой жизни Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:43 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: нет, ну бывает всякое конечно. но это очень редкие случаи Мне попадались и не раз шифраторы когда еще на ВТ было чисто. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 17:43 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вот на эти первые детекты никто не обратит внимания,посчитают за ложняк.Это я к тому,что может быть по всякому.К примеру так   https://www.virustotal.com/ru/file/59e88f74c0fcfde8686086ce448e03b2c7dffa1d37645c3fb78ef972c9bef42c/analysis/ но эсету пофиг на мнение остальных.   ага, вижу, редкий случай, когда ESET вообще молчит Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 17:45 22-02-2018

Gall Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ага, вижу, редкий случай, когда ESET вообще молчит Случай не частый,но бывает много что интересного.Так что идеалов нет.Все фолсят,все пропускают Всего записей: 2358 | Зарегистр. 23-01-2017 | Отправлено: 17:48 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ага, вижу, редкий случай, когда ESET вообще молчит У меня был случай когда он файл двух летней давности в упор не видел, на запуск не реагировал. После отправки добавили.   Добавлено: Репутация после отправки изменилась, значит скоро будет детект.   Добавлено: Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 17:50 22-02-2018

Maks_I Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: У меня был случай когда он файл двух летней давности в упор не видел, на запуск не реагировал. После отправки добавили есть детект, ха ха ха, как я и говорил, пропатченная перепаковка, ПНП Всего записей: 2497 | Зарегистр. 05-09-2017 | Отправлено: 18:34 22-02-2018 | Исправлено: Maks_I, 18:35 22-02-2018

AVGast Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: есть детект, ха ха ха, как я и говорил, пропатченная перепаковка, ПНП Не ПНП. Всего записей: 1602 | Зарегистр. 19-10-2017 | Отправлено: 18:42 22-02-2018

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 12)

gyra (16-03-2018 18:07): Обзор и тестирование антивирусов под Windows (часть 13)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование