Крипт и облака

[nagasaki]

Многие АВ в случае, если файл чуть подозрителен, отправляют его себе на анализ. И если даже облако "пропустит" файл, он все равно очень быстро спалится. Так у NOD32, например, если файл достаточно подозрителен для отправки в облако, детект появляется меньше, чем через сутки.

Есть какие-то сервисы, которые проверяют файлы не только на наличие сиюминутного детекта, но и на попытку отправки в облако, но без отправки?

 

[Bozon]

Было бы хорошо иметь возможность реверснуть облако авера и посмотреть как у них все устроено ?
Назови авер, который тебя "беспокоит" и подробнее информацию по зверьку - что делает и т.п.
Обычно, всегда в облако улетает хэш и другие мета-данные. В случае, если срабатывают маркеры подозрительности - улетает файл целиком.

 

[nagasaki]

Ну облака всех аверов никак не реверснуть
Беспокоит не какой-то конкретный, а все. На данный момент для меня это представляет только академический интерес.
В случае с нодом32, я держал виртуалку с авером под виндебагом и в нем перехватывал и блокировал попытки отправки данных в облако. Мониторил все это дело вручную. Для каждого из 40 аверов писать драйверы для детекта и поддерживать их в актуальном состоянии - неблагодарное дело.
А вот с авирой получилось проще, оказалось достаточным делать DNS sinkhole и парсить логи.
Другие АВ не смотрел еще.