• XSS.stack #1 – первый литературный журнал от юзеров форума

вопрос знающим работу ав

Отслеживать
Tobikun

Tobikun

RAID-массив
Пользователь
Регистрация
01.10.2019
Сообщения
67
Реакции
18
Кто реверсил ав есет или знает его алгоритм прохода по каталогам?
Как именно он ходит по директориям в алфавитном, по дате модификации.
Можно ли как-то его запутать среди немеренного количества темповых директорий и фейковых файлов, где очень глубоко через пайлод залить малварь.
Ведь он много времени потратит чтобы дойти до малвари, теоретически.
Так же в таком случае поможет ли бамп и задержка малвари?
 
Проактив ориентир на эвенты, запись, создание, загрузка. Если просто проверка системы скажем первичная начнут ее с автозапусков вы ведь не станете пихать в авторун миллиард мусорных файлов =) вы короче совсем неверным путем идете и не туда думаете.
 
Whisper сказал(а):
Проактив ориентир на эвенты, запись, создание, загрузка. Если просто проверка системы скажем первичная начнут ее с автозапусков вы ведь не станете пихать в авторун миллиард мусорных файлов =) вы короче совсем неверным путем идете и не туда думаете.
Я пока не рассматриваю хипс систему, интересует только защита файловой системы.
А так я знаю что там есть эвенты записей в реестр и т.д. но если инжектить в системный процесс это все отлетает.
Вопрос больше как лучше спрятать чтобы при автозапуске малварь не отлетала.
 
Автозагрузка вся как на ладони и чтото прописывая в автозагрузку вы считайте что выставляете это под прожектора.
Вывод обеспечить автозагрузку не прописывая в автозагрузку, один из вариантов длл хайджек...но всеравно у вас должен быть ну очень красивый модуль а раз вы подняли такую тему и опять же то как вы сформулировали проблему говорит о том что самый простой путь для вас это найти хорошего криптовщика, даже будь вы в 100раз скиловее модуль вашего бота все равно должен быть очень красивым.
Тема весьма заезжена и аверы собаку съели на всяких неочевидных авторунах. Опять же если вам нужно положить модуль на который авторуна не будет просто так чтоб его не чекали, то достаточно пройти проверку на скантайм.
Но допустим вам интересен конь в вакууме и вы хотите знать что пройдет мимо скана, берете чистую систему где никогда небыло ав который вас интересует, ставите процесс монитор, ставите ав и запускаете скан.
Прцесс монитор вам даст список всех файлов которые открывал ав и так же порядок в каком они были открыты, сравниваете это со списком всех файлов и видите какие файлы ав не проверял.
 
Whisper сказал(а):
Автозагрузка вся как на ладони и чтото прописывая в автозагрузку вы считайте что выставляете это под прожектора.
Вывод обеспечить автозагрузку не прописывая в автозагрузку, один из вариантов длл хайджек...но всеравно у вас должен быть ну очень красивый модуль а раз вы подняли такую тему и опять же то как вы сформулировали проблему говорит о том что самый простой путь для вас это найти хорошего криптовщика, даже будь вы в 100раз скиловее модуль вашего бота все равно должен быть очень красивым.
Тема весьма заезжена и аверы собаку съели на всяких неочевидных авторунах. Опять же если вам нужно положить модуль на который авторуна не будет просто так чтоб его не чекали, то достаточно пройти проверку на скантайм.
Но допустим вам интересен конь в вакууме и вы хотите знать что пройдет мимо скана, берете чистую систему где никогда небыло ав который вас интересует, ставите процесс монитор, ставите ав и запускаете скан.
Прцесс монитор вам даст список всех файлов которые открывал ав и так же порядок в каком они были открыты, сравниваете это со списком всех файлов и видите какие файлы ав не проверял.

С монитором попробую тему, крипт сейчас люто палится особенно у есета.
 
С монитором это не тема! учитывая вашу проблему это потеря времени для вас не более. Посмотреть мониторинг это просто исследование не более, то что выполняеться в обязательном порядке но не проверялось ав вам не поможет с вероятностью 99%.
Я специально указал что конь в вакууме, вы рискуете потерять время с нулевой пользой по факту проблемы.
 
Скажем так если для вас сигнатурная палевность это проблема, то мониторинг с выводами к рабочему концепту это уже такой ваш уровнь на котором проблемы с палевным криптом просто не существуют.
То есть просто не ваш уровень на данный момент. Ищите криптовщика.
 
500mhz сказал(а):
По факту просто стоит minifilter в ядре, который ловит нужные евенты, FS, создание процессов итд
Интересно даже стало, есть ли вулны в ос чтобы создавать фейковые эвенты или заменять.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх