Добрый день гайзы и гирлы. Влияет ли фунционал малвари на детектирование и обнаружение? Ну например у меня есть троян_1 для удалённого доступа с функцией чтения/записи и загрузкой/выгрузкой файлов. И есть троян_2 с дудосилкой (хз как она называется, сорян), клиппером, стиллером и прочими плюшками. Первый троян же дольше будет оставаться в системе чем второй, верно ли я ошибаюсь!?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Увеличивает ли функционал трояна детект?
- Автор темы Aztek
- Дата начала
Невозможно ответить точно, слишком много факторов. Зависит, как написан троян_1, насколько он часто юзался, и так далее. Но вообще, при равных условиях, то конечно проживет дольше тот, у которого максимально беспалевный функционал.
Всё зависит исключительно от реализации. Механизмов персистенса, и подобного.
Расскажите лучше какие АВ используют Runtime анализ, сейчас везде про это пишут, но нет упоминания о конретных продуктах, которые создают проблемы
Nod32, Windows Defender (RS4+) - memory sign scanner (нужен морфер)
Kaspersky, Dr.Web, Malwarebytes premium - HIPS на правилах
Comodo, 360 total security - HIPS, который спрашивает каждый пук
AhnLab, BullGuard, Emsisoft - ебан#е хуилы параноики. Эмсисофт однажды у меня выбил детект на хром (карл!). Ахнлаб умудряется кидать детект на корейском если видит файл впервые в жизни. А ты сиди ищи переводчиков кто скрин переведет, ска. Булгард меня обосрал даже с ев-сертом
Symantec/Norton - трафик хорошо умеют разъебывать + ML статик движок, который работает только с включенным интернетом (поэтому на статик сканерах молчат)
а вообще, dyncheck.com (не реклама)
UPD: платные версии, соответственно
Последнее редактирование:
- Автор темы
- Добавить закладку
- #6
А какие модули менее всего привлекает внимание у АВ? На одном форуме было сказано, что кейлоггеры которые обращаются к WinAPI для захвата данных с клавиатуры паляться чуть ли не на подлёте. В какую сторону копать чтобы стало ясно - каким должен быть троян, чтобы максимально долго оставаться в системе
Aztek, Кейлоггер можно реализовать по разному, в зависимости от метода и будет детект, чаще всего ставят глобальный хук на нажатие клавиши SetWindowsHook(WH_KEYBOARD_LL), что считается подозрительным. Скорее всего все АВ ставят юзермодные хуки на большое количество функций, и в зависимости от порядка вызова этих функций реагируют, .юзермодные хуки можно обойти.
Но к сожалению драйверы АВ устанавливают нотификаторы создания процессов, загрузки модулей, обращению к реестру и файловой системе, а по набору внутренних правил реагируют на это. К примеру фильтр FS видит что некий не стандартный процесс создает EXE файл, а потом в нотификаторе ловит что этот же процесс стартует этот EXE файл, это похоже на действие лоадера, другое дело если это будет делать процесс explorer.exe, что вполне для него нормально.
Но к сожалению драйверы АВ устанавливают нотификаторы создания процессов, загрузки модулей, обращению к реестру и файловой системе, а по набору внутренних правил реагируют на это. К примеру фильтр FS видит что некий не стандартный процесс создает EXE файл, а потом в нотификаторе ловит что этот же процесс стартует этот EXE файл, это похоже на действие лоадера, другое дело если это будет делать процесс explorer.exe, что вполне для него нормально.